Олег Симаков, AKTIV.CONSULTING: Аутсорсинг информационной безопасности – это показатель зрелости нашего рынка

В сегодняшних условиях ИБ-аутсорсинг стал спасением для компаний, ведь он позволяет решить проблему кадрового голода. О том, что тормозит развитие этого сегмента на данный момент и как на это влияют внешние обстоятельства в интервью Cyber Media рассказал Олег Симаков, руководитель направления по работе с клиентами бизнес-направления AKTIV.CONSULTING (компании «Актив»).

О спикере: Олег Симаков работает на стыке информационных технологий, телекоммуникаций и кибербезопасности с 2001 года. За его плечами более сотни успешно реализованных проектов для финансовых организаций, телекоммуникационных предприятий, государственных учреждений.

В 2020 году Олег Симаков возглавил направление по работе с клиентами AKTIV.CONSULTING – бизнес-направления компании «Актив», специализирующееся на оказании услуг консалтинга и аудита в области информационной безопасности. 

Cyber Media: Олег, наше интервью я хочу начать с вопроса, как менялось отношение к ИБ-аутсорсингу за последние время?

Олег Симаков: Давайте сначала разберемся с мотивами и попытаемся ответить на вопрос, зачем компаниям нужен аутсорсинг функции ИБ?

Если еще 20 лет назад представления об этом были совсем туманными, то за последнее десятилетие ситуация начала меняться. Понемногу компании стали формировать собственные потребности в ИБ как в отдельной функции, а соответственно понимать, что нужно не просто защищать сети или ставить антивирусы, задачи, которые ложатся на плечи ИБ-специалистов намного шире и часть этих задач выгоднее передать на аутсорсинг.

Второй важный драйвер развития сферы аутсорсинга — кадровый голод. Узкоспециализированных специалистов мало, иногда их экспертиза нужна не на постоянный срок, а для реализации конкретного проекта. В этом случае аутсорсинговая модель подходит идеально.

Третий фактор, который стал актуальным в последнее время, это возможность использовать подсанкционным компаниям недоступных для них решений от мировых лидеров по сервисной модели от провайдеров ИБ-услуг.

Вот эти три фактора и двигают рынок аутсорсинга на данный момент.

Cyber Media: Правильно ли говорить о том, что потребность в аутсорсинге — это показатель некой зрелости компании с точки зрения процессов безопасности? Пока можно обойтись файрволами и антивирусами, о таких задачах не задумываются. Когда возникают более сложные задачи, обращаются к внешним ресурсам.

Олег Симаков: В целом, да.

Например, защиту от DDoS-атак многие компании готовы покупать как услугу. Не у каждой организации есть ресурсы человеческие, временные и финансовые, чтобы разворачивать у себя центры компетенций по борьбе с кибератаками. Часто за оказанием таких услуг обращаются к провайдерам. Я считаю, это тоже можно назвать аутсорсингом.

Cyber Media: Что касается «психологической» стороны вопроса, насколько сложно бизнесу смириться с тем, что его безопасностью будут заниматься внешние специалисты? Или сейчас уже нет такой проблемы?

Олег Симаков: Такая проблема существует. Конечно, сложно решиться отдать в «чужие» руки свою безопасность, а также передать на сторону контроль над утечками информации. Но, с другой стороны, взять обеспечение кибербезопасности на баланс организации может быть слишком затратно.

Выбирая подрядчика компаниям необходимо обращать внимание на ряд ключевых моментов:

Во-первых, на репутацию компании. Во-вторых, на успешно выполненные проекты. В-третьих, на уровень информационной безопасности самих аутсорсеров, которые также должны быть хорошо защищены.

Все это будет залогом того, что «чувствительной» информации клиента ничего не будет угрожать.

Конечно, перед стартом проекта между клиентом и аутсорсером должны быть заключены соглашения о неразглашении (NDA) и уровне обслуживания (SLA). Зачастую на составление и согласование грамотного SLA требуется достаточно много времени и усилий. Это документ, которым не стоит пренебрегать, ведь в нем должны быть учтены все тонкие моменты, в том числе и возможный ущерб от компрометации данных клиента.

Cyber Media: Какие решения и процессы заказчики выносят на аутсорс?

Олег Симаков: Наиболее часто передают на аутсорсинг такие процессы, как сетевая безопасность, защита от DDoS, регулярные проверки на защищённость, оценки уязвимости, процессы управления инцидентами и реагирования на атаки.

В настоящее время уже сформировался и активно развивается рынок услуг под ключ в формате MSSP (Managed Security Service Provider). Заказчик не покупает продукты и решения по ИБ, не нанимает людей в штат, а заключает контракт с организацией, которая предоставляет ему тот или иной сервис. Это помимо всего прочего снимает проблемы с уходом зарубежных производителей софта и «железа». 

Конечно, внешние сложности касаются всех, с другой стороны, мы видим, что уход зарубежных игроков с российского рынка ИБ, конечно, оказал на него влияние, но не привел к коллапсу. Процессы идут, системы остаются защищёнными, рынок постепенно переходит на российские решения.

Cyber Media: Если возвращаться к рискам, сейчас крайне актуальны угрозы атак через цепочку поставок. Можно представить, что взлом ИБ-провайдера может принести компании огромные проблемы?

Олег Симаков: Я вспоминаю одно прошлогоднее мероприятие, где представитель ФСТЭК РФ говорил, что 30-40% атак идут через подрядчиков. Но, если такие прецеденты были, мы вряд ли о них узнаем, так как это поставит крест на будущем компании-провайдера.

С другой стороны, нужно помнить, что далеко не все атаки приводят к инцидентам с реальным или потенциальным ущербом.

Cyber Media: Как быстро подобную атаку удастся обнаружить?

Олег Симаков: Иногда на это может уйти несколько месяцев.

Cyber Media: Если бы я заказывал услуги ИБ, первое, что я бы узнал у подрядчика — это как у него самого обеспечена безопасность. Есть ли у ИБ-провайдеров какие-то собственные подходы на этот счет? Или, может быть, со стороны регуляторов формируются стандарты, которым такие компании должны соответствовать?

Олег Симаков: Я бы сказал, что со стороны регуляторов ИБ-аутсорсинг пока стандартизован слабо. В качестве примера мы можем рассмотреть финансовую отрасль, так как нормативы, которые выпускает Центральный Банк России, являются наиболее проработанными на данный момент.

ЦБ РФ требует от финансовых организаций периодически проводить аудит ИБ, отчитываться, подтверждать свою безопасность документальными свидетельствами: файлами с настройками, скриншотами и так далее. Если всё развёрнуто внутри компании, проблем со сбором свидетельств не возникает.

Если же часть процессов отдана на аутсорсинг, то подрядчик может сам провести аудит по требованиям ЦБ РФ, но отказаться предоставить подробный отчет, так как он будет содержать конфиденциальную информацию о системах заказчика, и уязвимостях, которым она подвержена. В этом случае финансовая организация не сможет предоставить ничего проверяющим кроме договора с аутсорсером. В этом я вижу регуляторный пробел.

Движение в сторону его восполнения есть, процесс толкают вперёд и компании, и аутсорсеры. В перспективе следующих 2-3 лет можно ожидать, что эти пробелы будут закрыты.

Cyber Media: Что могло бы помочь ситуации? Нужен какой-то список сертифицированных ЦБ провайдеров?

Олег Симаков: Помогло бы, если бы ЦБ в своей нормативной базе определил порядок передачи процессов на аутсорсинг с определением требований к провайдерам услуг.

Ещё одна инициатива Ассоциации банков, достойная внимания на мой взгляд, предполагает собрать необходимую банковскую ИТ-инфраструктуру у единого провайдера. В результате средние и небольшие банки получат доступ к ИТ и ИБ-аутсорсингу с учетом всех требований регулятора по умолчанию. Такая схема также будет более экономически выгодной и устойчивой по сравнению с содержанием собственной инфраструктуры.

Cyber Media: Есть ли на рынке ИБ-аутсорсинга цикличность наподобие той, которую можно было наблюдать на рынке ЦОДов? Когда сначала компании строили свои центры, потом поняли, как это дорого, стали арендовать мощности, а затем самые крупные игроки вернулись к использованию собственных ресурсов.

Олег Симаков: Думаю, эта параллель уместна. Компании становятся более зрелыми, у них формируются потребность обеспечивать информационную безопасность комплексно, это требует привлечения компетенций, расширения инфраструктуры и пр. в этот момент встает вопрос, делать своими силами или отдавать часть функций на аутсорсинг? Я бы назвал это эволюцией.

В этом процессе есть разные стадии. Например, компания может начать пользоваться услугами аутсорсера, получить опыт, лучше понять свои потребности и поднять эту функцию или ее части внутри. В каком-то момент может прийти осознание, что аккумулировать всю ИБ-экспертизу внутри организации долго, дорого и, возможно, не нужно. Тогда опять происходит возврат к аутсорсинговой модели, но к выбору подрядчика и определению скоупа услуг компания будет уже подходить осознанней.

Cyber Media: Как вы смотрите на ближайшие перспективы российского рынока ИБ-аутсорсинга?

Олег Симаков: Я недавно общался с представителями одной компании, которая оказывает услуги внешнего SOC (Security Operation Center). По их словам, с начала года у них прибавилось работы раза в два. С марта спрос и количество заказчиков выросло. Я думаю, что такая тенденция касается всего рынка информационной безопасности.

Мой прогноз — в следующем году ситуация не изменится, всё продолжит расти. Потому что киберугроз не становится меньше, а зрелость российских компаний в части ИБ растет, кроме этого, не нужно забывать о регуляторном давлении, оказываемом со стороны регуляторов. Это не последний фактор, который драйвит развитие рынка ИБ в России.

Быстро закрыть все потребности в части обеспечения кибербезопасности собственными силами — практически нерешаемая задача. На рынке ИБ существует серьезная проблема кадровый голод, которую как раз и позволяет решить ИБ-аутсорсинг. Он дает возможность использовать опыт и знания одного специалиста сразу множеству компаний, поэтому я смотрю на перспективы ИБ-аутсорсинга с оптимизмом.