Руслан Косарим: Безопасность под ключ
Дебаты о том, можно ли передавать информационную безопасность в чужие руки, разрешать доступ посторонних в святая святых – к инфраструктуре компании, – идут давно. У этого подхода есть как сторонники, так и противники. Первые говорят о том, что аутсорсинг непрофильных функций выгоден для бизнеса, вторые опасаются утечек чувствительной информации. Как сейчас аутсорсинговые компании защищают клиентские данные, о преимуществах модели MSS рассказывает Руслан Косарим, заместитель генерального директора компании Angara Security — системного интегратора и поставщика услуг по кибербезопасности.
Чем, на ваш взгляд, продиктован растущий интерес компаний к аутсорсингу ИБ?
Думаю, что тектонические сдвиги начались с пандемией, когда произошло изменение ИТ-ландшафта. Компании постепенно переходят на цифровые бизнес-процессы, появляется потребность в новой экспертизе. С ростом технологий возникает необходимость их защищать. Часто защищать самостоятельно сложнее, чем с помощью компаний, которые предоставляют услуги ИБ. В 2022 году сформировались два фактора, которые вызвали дополнительный интерес к аутсорсингу. Первый — это уход иностранных производителей решений по кибербезопасности с отключением обновлений и поддержки. Второй – острый дефицит кадров на российском рынке, который и раньше был, но в прошлом году многие ИТ-специалисты покинули Россию и дефицит еще более увеличился, найти инженера с хорошими профессиональными навыками стало намного сложнее. Поэтому и вырос интерес к аутсорсингу ИБ.
Ранее многие компании опасались отдавать защиту информации на сторону, боялись давать доступ к своим данным, но сейчас ситуация другая. Чем, на ваш взгляд это продиктовано?
Я считаю, что изменилось отношение. Компании начали пользоваться внешними сервисами, и появилось понимание, что это не так страшно, как казалось. По факту критичные данные на внешние сервисы не передаются. При передаче же чувствительной информации ключевым фактором является репутация, доверие к подрядчику.
Что аутсорсинг ИБ может предложить бизнесу полезного по сравнению с собственной службой?
В первую очередь клиент получает экспертизу. На рынке сейчас очень непросто найти хорошего специалиста, а обучать своих сотрудников и дорого, и долго. Аутсорсинговая компания может оперативно предоставить опытных инженеров, которые закроют проблемы с ИБ. Также растет популярность сервисов MSS – «безопасности по подписке». Среди преимуществ подписки, во-первых, более низкие затраты, чем при внедрении продукта. Для малого и среднего бизнеса это чувствительная тема. Кроме экспертизы, технологий и продуктов, необходимых для снижения рисков ИБ, нужны еще и выстроенные процессы. Мало внедрить продукт и посадить человека за консоль, он еще должен знать, что с этим продуктом делать в случае киберинцидентов. От сервис-провайдера клиент получает одновременно технологию, экспертизу и выстроенные процессы.
Если все-таки организацию атаковали, насколько оперативно ваша компания может отреагировать на запрос заказчика и оказать помощь? Учитывая, что у вас много клиентов, может, свой безопасник в компании надежнее?
Одно из преимуществ «безопасности по подписке» — гарантированный SLA, в рамках которого в зафиксированные сроки мы гарантируем обнаружить угрозу и отреагировать на нее. Все договорные обязательства мы обеспечиваем нашими силами, для этого у нас есть целый штат сотрудников. Что касается внутреннего подразделения ИБ у клиента, то часто на практике этим занимается один человек, и, конечно, ему физически сложнее постоянно мониторить события, оперативно обнаруживать и реагировать на угрозы. А у небольших компаний зачастую не существует департамента безопасности, за нее отвечает ИТ-департамент, для которого ИБ не в приоритете.
Способен ли аутсорсинг ИБ обеспечить тот же уровень защиты, что и внутреннее подразделение?
Большинство компаний использует риск-ориентированный подход к кибербезопасности. Есть перечень рисков, и компания выбирает, каким способом их закрыть. Некоторые из них эффективнее, удобнее и дешевле закрывать с помощью внешней экспертизы. Так, хорошим примером является защита от DDOS-атак.
Какие функции передают в «Ангару» на аутсорсинг?
Сейчас у нас есть несколько популярных направлений в виде тиражируемых услуг - MSS. Первое – мониторинг рабочих станций и серверов. Защищая рабочие станции и серверы клиентов, мы также предоставляем им аналитику событий, которые происходят в процессе защиты, в ходе тех или иных инцидентов. Этим занимаются наши аналитики. Второе – сервис по защите почтового трафика. Одно из его ключевых преимуществ – скорость подключения. Мы подключаем эту услугу за несколько часов. Приведу один пример. У нашего клиента было внедрено иностранное ПО, которое защищало почтовый трафик. Западный вендор прекратил поддержку, и компании пришлось искать выход из ситуации. Добавлю, что самый популярный способ доступа к данным компании – это фишинговые ссылки через почту. Для того, чтобы заменить иностранное ПО на отечественное, требуется время, такие проекты реализуются в срок от месяца и больше. Нужно выбрать решение, понять, как оно будет интегрироваться, протестировать его, развернуть, внедрить, и только тогда его можно будет использовать по назначению. Наш сервис, как я уже сказал, подключается за считаные часы. Когда нужно найти быстрое решение для защиты почты – это оптимальный выход. А дальше можно искать продукт на рынке. Практика показала, что компании, которые планировали подбирать продукты, но подключили наш сервис, убедились в преимуществах сервисной модели и остаются на ней.
Расскажите подробнее о модели MSS и что предлагает ваша компания?
MSS – это управляемые киберсервисы. Клиент получает продукт, не заботясь о том, как его разворачивать и сопровождать. За всё отвечает сервис-провайдер. Идеальная формула управляемого киберсервиса, как я уже говорил, включает три компонента: технологию, которая позволяет закрыть риски, экспертизу и процессы.
Мы сотрудничаем с ведущими российскими производителями ИБ-решений, в компании работают сертифицированные технические эксперты, которые занимаются внедрением и сопровождением ИБ-решений на разных платформах. Что касается процесса – у нас он выстроен, мы быстро подключаем клиента к сервису и начинаем обеспечивать его безопасность. В момент подключения наши специалисты начинают осуществлять мониторинг, отслеживать события и в случае обнаружения инцидента на него реагируют. Они обучены, как поступать в той или иной ситуации.
Все эти три компонента получает клиент, который обращается к нам за тиражируемой услугой. Можно назвать эту услугу сервисом под ключ.
Мы предлагаем заказчикам разные опции. Например, есть модель, не включающая аналитику, в этом случае у клиента должен быть специалист, который умеет работать с конкретным продуктом. Если же компания выбирает модель с аналитикой, она получает подробные отчеты о событиях и как их отработали. Кроме того, в рамках каждого пакета мы предлагаем клиенту персонального сервис-менеджера, к которому в случае инцидента можно оперативно обратиться и получить обратную связь.
Стоимость перехода на новую модель обеспечения ИБ — это тоже затраты. Как их посчитать?
На самом деле сервисный подход является очень удобным с точки зрения экономического моделирования. Потому что компания переходит от модели CAPEX к OPEX. Клиент платит только за то, что использует. И только тогда, когда использует. Он уходит от капитальных затрат к легко просчитываемым операционным. Это в первую очередь облегчает утверждение проектов. Не нужно покупать железо, тестировать и внедрять on-premise-решение, остается только операционный расход в год на закрытие того или иного риска.
Работу аутсорсера надо контролировать. Кто это делает, например, при работе с вашей компанией?
Мне кажется, что ключевые элементы здесь – это доверие и репутация. Со многими, кто к нам обращается за MSS-сервисами, мы уже работали ранее. Они знают, что мы отвечаем за результат и гарантируем выполнение SLA. Мы формируем регулярную прозрачную отчетность, какие события были обнаружены, как на них отреагировали, и отправляем ее клиентам.
Может ли взять на себя аутсорсер обучение персонала?
Один из основных трендов кибербеза – это повышение осведомленности пользователей. Человеческий фактор, по-прежнему, ахиллесова пята ИБ. Можно внедрять суперсовременные технологии по защите от угроз, но человек своими умениями запросто сведет все усилия по ИБ на нет. Поэтому мы предоставляем сервис по обучению ИБ для сотрудников компаний. Это технологическая платформа, которая позволяет проводить проверку пользователей на то, как они подвержены угрозам: например, с помощью эмуляции фишинговых атак, показывающих, сколько пользователей переходит по вредоносным ссылкам, сколько открывает файлы, полученные из недоверенных источников. Тех, кто не следует правилам кибергигиены, можно отправить на обучение, которое встроено в платформу, где объясняются все риски, и потом снова протестировать.
С какими основными проблемами сегодня приходят к вам заказчики?
В 2022 году выросло количество запросов, связанных с защитой от DDOS-атак и с защитой периметра. Компании приходят с вопросами как по импортозамещению, так и по переходу на сервисную модель. Сильно вырос спрос на услуги форензики. Когда инцидент уже случился, данные утекли, но надо разобраться, как это произошло, в чем причины и кто из сотрудников может быть причастен к инциденту. И мы предоставляем нашим заказчикам услуги криминалистического анализа.
Многие используют в своей инфраструктуре как облачные, так и локальные мощности. В чем особенности защиты гибридных сред?
У нас есть клиенты, которые за последние пару лет перенесли часть своих систем и приложений в облако. При создании гибридной инфраструктуры необходимо четко понимать, что безопасность приложения в локальной сети и в облаке, – это абсолютно разные задачи. Провайдер закрывает отдельные задачи по кибербезопасности, но только на уровне облачной инфраструктуры. Вся остальная часть приложения, развернутая в облаке – это зона ответственности самой компании. Мы предоставляем MSS-сервисы не только для локальных сервисов, но и в облачных инфраструктурах. У нас установлены партнерские взаимоотношения с ключевыми облачными провайдерами России.
Как, на ваш взгляд, будет развиваться рынок MSS-услуг?
Сегодня MSS – в своем большинстве «коробки по подписке». Это, с одной стороны, делает безопасность доступнее для небольших компаний, но с другой – не может полностью закрыть их потребности. Я думаю, что эволюция MSS будет проходить от «коробки по подписке» к сервису под ключ. Заплатив за него, клиент сможет полностью переложить заботу о безопасности на аутсорсинг. Несмотря на широкий спектр отечественных решений по кибербезопасности, пока немногие из них предоставляются по сервисной модели. Думаю, что ситуация будет меняться, все больше решений будет предлагаться как MSS-услуги.
Зарубежные производители – это еще и стандарты качества, к которым успел привыкнуть бизнес. Смогут ли российские компании, на ваш взгляд, им соответствовать?
Так же, как и иностранные продукты, отечественные закрывают ключевые риски кибербезопасности. Основной камень преткновения – это удобство использования. У иностранного производителя было больше возможностей отточить свои решения до максимально удобного уровня. Думаю, наши разработчики будут прилагать все усилия, чтобы обеспечить уровень, к которому привыкли клиенты.
Опубликовано 28.02.2023