Ибэшников на всех не хватает! Спасет ли аутсорсинг?

Константин Чмиль

Консультант по ИБ RTM Group

Аутсорсинг информационной безопасности набирает популярность, особенно в последнее время, когда иллюзии защищенности данных развеивает беспощадная статистика, а квалифицированных специалистов по ИБ на всех не хватает. Только за прошедший год количествокибератак на российские компании увеличилось в 2 раза (Ростелеком-Солар), а числоинцидентов — почти на 21% (Positive Technologies).

Кому и когда пора идти за аутсорсом? Стоит ли доверять «арендованному» персоналу и как не ошибиться с выбором подрядчика? Какие задачи подходят для аутсорса, а какие – нет? Ответы на эти и другие вопросы – в этой статье.

«По накатанной»

Передавать сторонним специалистам функции ИБ решаются не все, стремясь найти выход из положения одним из привычных способов.

Как Неуловимый Джо

Помните старый анекдот про Неуловимого Джо? К сожалению, остались ещё организации, руководство которых смотрит на информационную безопасность, как на Неуловимого Джо (прекрасно о ней наслышаны, но необходимой не воспринимают), аргументируя свою позицию тем, что их компания по размерам далека от «мастодонтов рынка», т.е. киберпреступникам неинтересна, а потому вкладываться в обеспечение ИБ не нужно.

При таком подходе возникновение инцидента – лишь вопрос времени. Дело в том, что взлом и кража данных вызваны не столько интересом злоумышленников, сколько обыкновенным наличием уязвимостей. А после того, как слабое место найдено, информация с компьютеров, баз данных 1С, сетевых каталогов, например, шифруется, и взлом монетизируется через требование выкупа.

IT=ИБ?

«С задачами по информационной безопасности прекрасно справится отдел информационных технологий, ведь речь идёт о компьютерах» – думают те, кто далек от обеих областей.

Но ведь одно дело - организация и администрирование IT-инфраструктуры, другое – её защита. ИТ-специалисты отвечают за то, чтобы система исправно работала, специалисты ИБ – за то, чтобы в неё не проникли злоумышленники, чтобы важные данные не утекли. И эффективно заменить друг друга они не могут: хороший результат достигается только за счёт взаимодействия обоих подразделений.

Сделаем сами

Создать внутри компании отдел по ИБ – хороший и действенный вариант, но это едва ли по силам малому и среднему бизнесу. Во-первых, из-за недостатка ресурсов: не все готовы выделить средства на обеспечение собственного подразделения ИБ. Во-вторых, из-за недостатка компетентных специалистов на рынке.

Почему аутсорсинга становится больше

Аренда технических специалистов хорошо работает и сама по себе, и в связке с имеющимся персоналом по ИБ. Сторонним экспертам могут отдаваться как определенные функции, так и процессы или задачи по ИБ. Это удобно и нередко выгодно, поэтому данное направление будет расти. Давайте выделим несколько драйверов.

Недостаток кадров

Фактор, который при нынешних реалиях делает задачу по организации подразделения ИБ внутри компании практически нерешаемой. По статистике, только за прошедший год дефицит специалистов ИБ в России оценили в 50 000 человеки по прогнозам экспертов ожидается его рост, спрос на рынке практически в 2 раза превосходит предложение.

Как итог, во многих организациях ИБ-подразделения не укомплектованы нужным количеством работников и чувствуют нехватку экспертных навыков, особенно в узких специализациях, таких как аналитика или киберкриминалистика. Эти факторы негативно влияют на защищенность предприятий. Под ударом оказываются критически важные данные и бизнес-процессы, ведь в случае возникновения инцидента ИБ-специалисты не смогут эффективно противодействовать киберпреступникам.

Избыток задач

Технологии совершенствуются, а вместе с ними ширится разнообразие методов компьютерных злоумышленников. Это значит, что на плечи специалистов ИБ ложится всё больше задач. Особенно в организациях, где руководство отдаёт себе отчёт в масштабе последствий, грядущих в случае наступления инцидента.

Наглядно показывает риски случай атаки шифровальщика LockerGoga на крупного норвежскогопроизводителя алюминия Norsk Hydro в 2019 году. Специалисты ИБ в короткие сроки идентифицировали угрозу и начали процесс изоляции, однако вредоносная программа настолько быстро и глубоко успела проникнуть в инфраструктуру, что в Norsk Hydro были вынуждены перевести 50% производства в ручное управление. На восстановление работы всей системы ушла не одна неделя. Стоит ли говорить, какие это финансовые потери для компании, насчитывающей более 35000 работников в 40 странах мира?

Когда останавливаются основные бизнес-процессы, компании пересматривают свой подход к ИБ: оптимизируют, разрабатывают новые процедуры и регламенты, внедряют необходимые средства защиты. И снова возникает кадровая проблема, ведь под эти задачи нужны квалифицированные специалисты.

Ожидания и требования регуляторов

Дополнительную нагрузку по ИБ создают новые требования регуляторов, направленные на обеспечение долгосрочных процессов ИБ. В соответствии с ними, сегодня все субъекты КИИ должны выполнять ряд требований, направленных на выстраивание и обеспечение долгосрочных процессов ИБ - от эксплуатации средств защиты и сканирования на уязвимости до реагирования и противодействия инцидентам.

Обеспечить все это существующими ресурсами компании не могут, а потому вынуждены обращаться за помощью к специалистам, работающем на аутсорсе. Благо, регулятор это понимает и выражает свою позицию по данному вопросу в документах, включая Проект Указания Банка России «О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».

5 причин довериться ИБ специалистам на аутсорсинге

1. Избавление от «возни» с кадрами

Можно забыть о долгом и мучительном поиске подходящих кандидатов и оценке их квалификации. А также об обучении, контроле и прочем. Пусть этим занимается подрядчик. Это самая весомая причина в условиях нынешнего дефицита кадров.

2. Экономия

Выгода достигается благодаря тому, что аутсорсинговая компания распределяет ресурсы между клиентами, а также за счёт того, что нет необходимости тратить крупные суммы на приобретение оборудования, программного обеспечения, з/п работников и пр.

3. Скорость «запуска»

Нет необходимости ждать отлаживания и оптимизации рабочих процессов - у специалистов на аутсорсе они уже отработаны, нужно только внедрить.

4. Профессионализм

В большинстве случаев (если мы не имеем в виду супер-специалистов с фантастическими зарплатами) по набору компетенций и глубине экспертизы аутсорсинговый стафф выигрывает у тех, кого можно нанять в штат. Кроме того, за плечами у профильной организации огромный пласт опыта, наработанный годами.

5. Эффективность

Взаимодействие со специалистами на аутсорсе происходит тогда, когда это необходимо. И нет нужды держать в штате работника, который будет заниматься проведением пентестов и аудитами на соответствие ГОСТам, если можно обращаться за этими услугами по запросу.

9 «но», затрудняющих аутсорсинг

Зачастую сомнения и страх передачи части работы по ИБ на аутсорс вызваны тем, что компания никогда не взаимодействовала с профессиональными подрядчиками в таком формате. Но если все организовано грамотно, на практике все «но» обычно развеиваются.

Аутсорсинг — это удобно,

1. …но тогда компания становится зависимой от услуг подрядчика.

Действительно, в случае расторжения договора услуг организация остаётся без информационной защиты. Но подобные решения и не принимаются одномоментно. Важно заранее продумать «пути отступления» и найти нового подрядчика.

2. …но нужно настраивать пакет услуг.

Зачастую компании-аутсорсеры оказывают типовые услуги, которые можно настроить «под себя». Естественно, потребуется некоторое время на согласование всех деталей, но оно того стоит. Помимо прочего, рынок подрядчиков по ИБ растёт, а значит можно найти исполнителей для закрытия любой потребности.

3. ...но тогда нет возможности всё контролировать.

Как правило, в рамках договора компания-заказчик получает только контроль верхнего уровня, но, с другой стороны, важно ли это, если будет результат? Пусть подрядчик сам решает свои внутренние вопросы, делегируйте ему рутинные контрольные функции и занимайтесь другими задачами.

4. …но стоит немалых денег.

Как мы уже говорили выше, расходы на аутсорс в сравнении со штатным подразделением ниже. Не нужно покупать оборудование, ПО, платить заработную плату и налоги, тратиться на повышение квалификации сотрудников. Эти суммы заложены в стоимость услуг аутсорсеров и распределены между клиентами подрядчика.

5. …но как оценить результат работы?

Оценить, насколько хорошо подрядчик выполняет свою работу, действительно сложно. Но, согласитесь, это не единственная сфера, в которой вопрос доверия стоит остро. Как оценить, к примеру, работу юриста или врача? Единственное верное решение - скрупулезный подбор с ориентиром на репутацию.

6. …но как быть с доступами к конфиденциальным данным?

В этом вопросе подход мало чем отличается от предоставления доступов работникам компании. Необходимо подписать договор о неразглашении и грамотно настроить правила доступа специалистов аутсорса.

7. …но как обеспечить оперативное реагирование подрядчика?

Если нужно, чтобы подрядчик выполнял работу в максимально сжатые сроки, вам нужен аутстаффинг. Вы оплачиваете время специалиста ИБ, и он под руководством одного из работников решает задачи напрямую.

8. …но что делать, если аутсорсеры спустя время перестанут выполнять свои обязательства?

Контролировать подрядчика в этом контексте помогает соглашение об уровне сервиса, где прописываются все его обязанности и сроки реализации задач. Нарушить его - то же самое, что нарушить договор об оказании услуг аутсорса, что снимает с компании-нанимателя обязательства по оплате.

9. …но что делать с ИБ после «расставания» с подрядчиком?

Для того чтобы не остаться «у разбитого корыта» после окончания работы с командой на аутсорсе, стоит обозначить в договоре аутсорса её обязательство по документированию внедряемой системы. Хотя к ответственным подрядчикам даже после расторжения договора можно обратиться и получить внятную консультацию.

Что можно отдать на аутсорсинг?

• Эксплуатацию средств защиты

Ведь это рутинный процесс, отнимающий много времени. К примеру, анализ и повышение эффективности систем SIEM, Anti-DDoS, EDR и пр.

• Управление уязвимостями

Важная задача, на которую зачастую не хватает времени. Включает в себя сканирование уязвимостей, установку защиты и работу над их устранением.

• Мониторинг и реагирование на инциденты информационной безопасности

Построить SOC (центр мониторинга кибербезопасности) внутри компании - задача, посильная лишь для крупных компаний. Большинство организаций позволить такого себе не могут. Поэтому поручают на аутсорс работу от замещения отдельных линий (например, услуги первой линии мониторинга), до полного цикла всех процессов SOC, включая техническое реагирование с глубоким погружением в инфраструктуру.

• Подключение к ГосСОПКА и взаимодействие с НКЦКИ

Большинство провайдеров SOC становятся Корпоративными центрами ГосСОПКА и в дополнение к основным услугам предлагают сервисы по взаимодействию с НКЦКИ. При этом они гарантируют выполнение всех требований регулятора в рамках № 187-ФЗ.

• Узкоспециализированные сервисы

Хорошо отдать на сторону любые услуги, потребность в которых возникает лишь несколько раз в год, а потому нанимать специалистов в штат нецелесообразно. Например, проведение пентестов или киберкриминалистику для сбора доказательной базы.

А что оставить себе?

Как показал недавний инцидентс МТС-банком, расслабляться и передавать все задачи по ИБ «на сторону» не стоит. Самые важные функции, которые относятся к стратегическому уровню безопасности, такие как, например, принятие рисков, контроль ключевых метрик и показателей эффективности ИБ, лучше подрядчику не доверять. Также в этот перечень можно включить:

1) Проектирование и развитие архитектуры

Только работники компании должны иметь доступ к информации о ее прошлом, настоящем и планах на будущее, да и сама организация более оперативно и эффективно реагирует на изменения в своей среде. Поэтому проектирование и развитие архитектуры должны осуществляться «внутри» компании. Вместе с тем, подрядчик может оказывать помощь, но не принимать участие в процессе принятия решений.

2) Работа с критическими сервисами

Это сфера информационно-технологической системы, отвечающая за важные бизнес-процессы компании. Изменения в сервисе, основанные на изменениях рынка, а также на трендах и специфике бизнеса, легче внедрить внутри компании. Если ответственность за критические сервисы лежит на внутренней ИТ-службе, организация получает более структурированный сервис и может эффективно управлять им.

Итоги

Итак, совершенно очевидно, что обеспечить информационную безопасность компании своими силами сегодня практически невозможно: для этого требуется немало человеческих, финансовых и материальных ресурсов, а в ряде случаев найм специалистов нецелесообразен. Игнорировать же потребность в защите данных опасно.

Аутсорс позволяет профессионально и своевременно решать задачи по ИБ и при этом экономить время и средства. Поэтому привлекать подрядчиков для выполнения части или полного пула задач по ИБ можно и нужно. Правда, подходить к этому вопросу следует аккуратно, учитывая все возможные риски, уделяя особое внимание выбору надежного партнера и оформлению документов на оказание услуг – такой подход позволит избежать неприятных «сюрпризов».