Защищаться от угроз надо всем, но заниматься информационной безопасностью самому — долго и дорого. На помощь приходит аутсорсинг — возможность получить готовые процессы от профессионалов. Эксперты AM Live разобрали преимущества аутсорсинга ИБ, его возможные подводные камни и критерии выбора провайдера.
- Введение
- Что входит в понятие аутсорсинга информационной безопасности?
- Какие сервисы передаются на аутсорсинг?
- Риски при использовании аутсорсинга
- Что может насторожить заказчика при выборе провайдера?
- Что выгоднее: аутсорсинг или внутренние ресурсы?
- Как разграничить ответственность?
- Какие метрики должны входить в SLA?
- Прогнозы экспертов: будущее аутсорсинга информационной безопасности
- Выводы
Введение
Аутсорсинг ИБ — это передача функций по обеспечению безопасности данных и ИТ-инфраструктуры внешним специализированным провайдерам. Такой подход позволяет компаниям снизить затраты на содержание собственного центра мониторинга (Security Operations Center, SOC) и штатных специалистов, получить доступ к передовым технологиям и лучшим практикам без значительных инвестиций, обеспечить круглосуточный мониторинг и оперативное реагирование на инциденты. Однако передача критически важных функций третьим сторонам сопряжена с рисками: это и вопросы доверия, и снижение контроля, и необходимость соблюдения регуляторных требований.
Рисунок 1. Эксперты в студии AM Live
Участники дискуссии:
- Никита Морозов, эксперт по развитию продаж сервисов, «Лаборатория Касперского».
- Тимур Зиединов, руководитель направления развития проектов мониторинга безопасности, Positive Technologies.
- Александр Осипов, директор по продуктовому портфелю, RED Security.
- Андрей Тимошенко, директор по развитию, «Информзащита».
- Евгений Михайлов, независимый эксперт (по видеосвязи).
Ведущий и модератор эфира — Артём Калашников, независимый эксперт.
Что входит в понятие аутсорсинга информационной безопасности?
Александр Осипов объяснил, что любое привлечение стороннего специалиста — это аутсорсинг, будь то экспертные услуги, сопровождение СЗИ внутри или снаружи компании. Сюда также входят управляемые сервисы, аудит, консалтинг, проектные и интеграционные работы.
Тимур Зиединов добавил, что внутри компании возникает множество бизнес-процессов по защите информации, которые нужно поддерживать. Не всегда на это есть собственные ресурсы, тогда бизнес-процесс передаётся другой компании. Это и есть аутсорсинг.
Никита Морозов считает, что всё, что делается внешними силами, можно назвать аутсорсингом. Граница между «услугой» и «аутсорсингом» размыта: услуга чаще всего — это разовое мероприятие с фиксированным результатом, тогда как аутсорсинг предполагает длительное сопровождение и интеграцию в процессы заказчика. Однако это очень близкие понятия.
Никита Морозов, эксперт по развитию продаж сервисов, «Лаборатория Касперского»
Андрей Тимошенко уверен: ни у кого не вызывает сомнений, что SOC и администрирование средств защиты относятся к аутсорсингу. Но есть другие услуги, которые можно включить в это понятие. Например, компания разработала по договору стратегию ИБ — это услуга. Но если компания помогает эту стратегию внедрить, то это аутсорсинг. Важно понимать, что аутсорсинг — это не просто передача функций ИБ на сторону провайдера, а сохранение определённой зоны ответственности у заказчика.
В первом опросе зрители эфира ответили, используют ли они аутсорсинг ИБ: частично — 29%, планируют внедрять — 23%, в процессе внедрения и полностью на аутсорсинге — по 3%. Большинство ответивших, впрочем, даже не рассматривают аутсорсинг.
Рисунок 2. Используете ли вы аутсорсинг ИБ?
Какие сервисы передаются на аутсорсинг?
Александр Осипов считает, что самая частая и понятная заказчику услуга с точки зрения процесса и возможности его передачи на аутсорсинг — это тест на проникновение, что связано с регуляторными требованиями и желанием знать уязвимости. Вторая популярная услуга — защита от DDoS-атак. Наблюдается большой рост передачи мониторинга и реагирования на инциденты, в частности, использование тех или иных форматов услуг SOC.
Андрей Тимошенко добавил, что вокруг SOC развиваются экспертные услуги, такие как Attack Surface Management. Могут быть разные модели оказания услуг — полностью коммерческий, гибридный. Также есть аутсорсинг оборудования, когда клиенту предоставляется межсетевой экран, который должен обеспечить защиту канала связи.
Андрей Тимошенко, директор по развитию, «Информзащита»
Евгений Михайлов считает, что нужно передавать на аутсорсинг функции, для которых в компании отсутствуют или ограничены ресурсы. Например, технические писатели, методологи, риск-менеджеры есть далеко не во всех компаниях. На аутсорсинг можно отдать документальное обеспечение процессов, управление рисками, пентесты, аудиты.
Риски при использовании аутсорсинга
Александр Осипов предупредил, что всегда есть риск ненадлежащего выполнения работы независимо от её модели. Клиент, который покупает сервис или выбирает аутсорсинговую модель, часто думает, что передавая какой-то конкретный процесс, можно снять с себя ответственность и ничего не делать. Один из главных рисков — иллюзия, что передача сервиса полностью снимает с заказчика ответственность. На практике требуется тесная интеграция, активное взаимодействие и участие внутренних специалистов. Иногда провайдеру приходится помогать выстраивать внутренние процессы заказчика, чтобы обеспечить комплексную защиту и реагирование во время инцидента, а не только выполнять работу по мониторингу.
Александр Осипов, директор по продуктовому портфелю, RED Security
Андрей Тимошенко считает важным, чтобы на стороне заказчика был проектный менеджер. Если он отсутствует или нет нормальной коммуникации, то аутсорсинг невозможен. Когда случается инцидент, процесс кризис-менеджмента в компании должен работать как часы, чтобы вовремя разрешить ситуацию.
Тимур Зиединов добавил, что когда на аутсорсинг передаётся процесс мониторинга, процесс реагирования остаётся на стороне заказчика — это более чувствительная функция, где нужно понимать контекст. Ответственность за работу сервиса остается у заказчика. Важно, чтобы он качественно выполнял процессы реагирования и следовал рекомендациям.
Никита Морозов уточнил, что часто возникают проблемы с пониманием заказчиком границ аутсорсинговой услуги. Заказчики могут не понимать, что именно они приобретают.
Во втором опросе выяснилось, какие функции ИБ зрители эфира готовы передать на аутсорсинг: мониторинг и реагирование на инциденты — 37%, проведение аудита и тестирование на проникновение — 28%, обеспечение соответствия стандартам — 9%, резервное копирование и восстановление данных — 7%, управление уязвимостями — 2%. Не готовы ничего передавать 17%.
Рисунок 3. Какие функции ИБ вы готовы передать на аутсорсинг?
Что может насторожить заказчика при выборе провайдера?
Евгений Михайлов считает, что в первую очередь настораживает поверхностное отношение к деталям, особенностям инфраструктуры заказчика, а также отказ давать предварительный расчёт без проведения платных аудитов.
Александр Осипов уверен, что нужно рассматривать уровень экспертизы, технологий и процессов. Экспертиза доказывается репутацией компании или наличием сертификатов. Если в компании нет достаточных компетенций, чтобы оценить провайдера, стоит смотреть на коммуникацию: хорошо, если он старается упростить для заказчика понимание процессов, объяснить непонятные моменты. Нужно оценить его процессы, посмотреть на технологический стек. Что может отпугнуть: навязывание излишних дополнительных услуг, дешевизна, обещания решить все проблемы.
Андрей Тимошенко считает, что заказчика может насторожить отказ предоставить информацию о команде провайдера. Кроме этого нужно обращать внимание, насколько провайдер готов идти навстречу, проявлять гибкость.
Что выгоднее: аутсорсинг или внутренние ресурсы?
Евгений Михайлов уверен, что в компании обязательно должны быть внутренние ресурсы в лице менеджера или других курирующих сотрудников, которые взаимодействуют с исполнителем или провайдером услуг. Аутсорсинг всегда требует дополнительных усилий на координацию, контроль и коммуникации с подрядчиком. Поэтому то, что написано в договоре по аутсорсингу, и то, что получается на выходе с точки зрения затрат компании на аутсорсинг и внутреннее обслуживание — это разные суммы (итоговая сумма зачастую оказывается выше).
Евгений Михайлов, независимый эксперт
Александр Осипов объяснил, что в перспективе пяти лет выгоднее строить свою систему, аутсорсинг выходит дороже. Но преимущество в том, что аутсорсинг начинает действовать с момента заключения контракта, в то время как построение собственного процесса может занимать годы, а его эффективность может не оправдать ожиданий.
У сервис-провайдера компания покупает готовый бизнес-процесс с экспертизой, налаженной работой внутри, автоматизацией, пониманием границ стоимости дополнительных опций и опытом построения подобных систем. Это в аутсорсинге главное. Часто клиенты жалуются, что им сложно собрать свою экспертную команду.
Андрей Тимошенко добавил: если нужен в моменте, например, Security Operations Center, дешевле купить его у провайдера, так как для построения собственного нужно много времени и ресурсов.
В третьем опросе зрители признались, что ограничивает их в использовании аутсорсинга ИБ: отсутствие реальной ответственности у провайдера — 31%, нет необходимости — 30%, высокая стоимость — 15%. Сомнения в компетенциях провайдера, риски несанкционированного доступа и отсутствие нужной по качеству услуги набрали по 8% голосов. Нужно заметить, что годом ранее картина была совсем иной — например, было заметно больше опасений по поводу рисков НСД.
Рисунок 4. Что ограничивает вас в использовании аутсорсинга ИБ?
Как разграничить ответственность?
Тимур Зиединов считает, что заказчики нацелены передать ответственность, а не процесс, но это так не работает. Ответственность нужно разделять с провайдером. Это прописывается во внутренних документах и в договорах с заказчиком.
Пример — регламент взаимодействия, где в виде SLA или матрицы RACI прописывается, кто за что должен отвечать. Нельзя гарантировать качественный сервис, если заказчик не готов оперативно взаимодействовать и соблюдать согласованные сроки. Ответственность не перекладывается — её можно только разделить. Если стало известно об инциденте, включается команда расследования, выясняется причина проникновения, специалисты разбираются, почему провайдер не выявил инцидент. Если выясняется вина провайдера, то он несёт материальную ответственность. Эти условия заранее обсуждаются с заказчиком и могут быть включены в договор.
Артём Калашников добавил, что по закону по некоторым направлениям ответственность не передаётся — отвечает владелец независимо от того, использует он свои ресурсы или аутсорсинг.
Артём Калашников, независимый эксперт
Евгений Михайлов добавил, что ответственность есть и у заказчика, и у исполнителя в любом случае. Не хватает развёрнутых пояснений с обеих сторон (инфраструктура, возможности, ограничения), особенно при заключении договоров на сервисные услуги. В плане инцидентов у заказчика нет цели передать ответственность или риски, есть цель повысить эффективность функций или процессов. Это практически на 100% совместная работа. Если развиваться в таком ключе, работа будет эффективной.
Александр Осипов уточнил, что договор должен содержать нюансы для понимания периметра контроля: какие данные должен передавать заказчик, что провайдер должен запросить — всё это должно прописываться. Чем более комплексная и сложная услуга, тем больше этих нюансов.
Андрей Тимошенко дополнил, что иногда в коммерческом предложении целесообразно указывать, чего провайдер не делает. Ожидания у всех разные, люди могут додумывать. Важно убедиться, что заказчик ознакомлен с этими пунктами и согласен с ними.
Четвёртый опрос показал основные опасения заказчиков при внедрении аутсорсинга ИБ: зависимость от внешнего поставщика — 35%, утечка конфиденциальной информации — 29%, потеря контроля над процессами — 18%, низкое качество услуг — 12%, сложности интеграции с внутренними системами — 6%. Вариант «Не испытываю опасений» никто не выбрал.
Рисунок 5. Ваше основное опасение при внедрении аутсорсинга ИБ?
Какие метрики должны входить в SLA?
Александр Осипов рассказал, что по каждому сервису или услуге есть своя форма отчётности и свои метрики. В SLA включается скорость реакции, метрики по работе с инцидентами в зависимости от их критической значимости. Например, SLA может предусматривать реакцию на DDoS-атаку в течение 15 минут. Однако срок её полной митигации обычно не фиксируется — он зависит от характера атаки и защищаемой инфраструктуры. Есть также SLA по обработке запросов на обслуживание. Нужно обсудить всё с клиентом и зафиксировать ожидания по скорости работы провайдера.
Тимур Зиединов добавил, что при формировании SLA, диалоге с заказчиком нужно в первую очередь учитывать, какую выгоду заказчик хочет получить от этой услуги, чтобы зафиксировать это в документе. Это может быть качество отчёта и объём информации, скорость выявления и реагирования на инциденты, метрики доступности инфраструктуры, которая обеспечивает защиту. Если средства защиты предоставляются провайдером, то обеспечить доступность этой инфраструктуры — задача провайдера.
Тимур Зиединов, руководитель направления развития проектов мониторинга безопасности, Positive Technologies
Никита Морозов уточнил, что даже в стандартах есть требования к тому, что должно быть в отчётности, но всё зависит от услуги и от исполнителя. У многих провайдеров предусмотрены свои шаблоны отчётности, но всегда есть общие принципы, которые должны отражаться в отчёте. Он должен быть релевантным для заказчика, понятным и не перегруженным техническими деталями, либо часть отчёта должна содержать краткое резюме, которое можно показать руководителям, а большая часть — техническая с подробным описанием. Неотъемлемая часть любого отчёта — это выводы или рекомендации со стороны провайдера или вендора по предоставленной услуге.
Андрей Тимошенко добавил, что отчёт — это обычно настраиваемая выгрузка из системы Service Desk. Её контент может согласовываться с заказчиком. Такая отчётность должна давать возможность заказчику вычитать её за 3–4 рабочих дня.
Прогнозы экспертов: будущее аутсорсинга информационной безопасности
Евгений Михайлов:
«С каждым годом количество квалифицированных специалистов в области ИБ по разным направлениям увеличивается. Какая-то ниша провайдеров сервисных услуг останется, но она не будет сильно расти или в перспективе 2–3 лет снизится. Новые технологии в аутсорсинге вряд ли появятся».
Никита Морозов:
«ИБ движется в сторону цифровизации. Аутсорсинг будет расти ближайшие пару лет».
Тимур Зиединов:
«Рынок аутсорсинга будет расти, появятся новые продукты, технологии, подходы. Информационная безопасность выходит за рамки внутреннего периметра организации, и аутсорсинг будет обрастать сервисами, которые находятся вокруг организации — аналитика, OSINT, защита исходного кода, контроль периметра. Те сферы, которые не свойственны организации или к которым она не готова, будут отдаваться в аутсорсинг».
Александр Осипов:
«Аутсорсинговые компании переходят от конкретных нишевых услуг к платформенным сервисам, которые будут более удобны не только крупному энтерпрайзу, но и средним компаниям. От таких платформ можно получить больше ценности, так как они будут прединтегрированны, собраны в экосистему».
Андрей Тимошенко:
«Рынок сервисов ИБ будет активно развиваться. Сейчас ИИ активно используют злоумышленники, кибератаки становятся более быстрыми, масштабными. Бороться с ними становится возможным только если тоже использовать ИИ. Сервис-провайдеры и вендоры начинают встраивать элементы ИИ в свои продукты, платформы. Всё идёт в сторону увеличения экспертизы, а экспертиза на рынке не растёт так быстро, как развитие технологий».
Пятый опрос показал, каково мнение зрителей об аутсорсинге ИБ после эфира. Убедились, что за аутсорсингом будущее — 44%, сохранили недоверие к аутсорсингу — 20%, заинтересовались и готовы тестировать — 13%, будут активнее использовать аутсорсинг — 2%.
Рисунок 6. Каково ваше мнение об аутсорсинге ИБ после эфира?
Выводы
Аутсорсинг информационной безопасности — это стратегическое решение, которое может значительно усилить защиту компании, особенно при нехватке внутренних ресурсов или экспертизы. Передача функций ИБ специализированным провайдерам позволяет не только сократить затраты, но и повысить уровень безопасности за счёт доступа к передовым технологиям и опыту профессионалов.
Однако такой подход требует тщательного выбора поставщика услуг, чёткого определения зон ответственности и постоянного контроля качества. Компаниям необходимо оценивать не только стоимость и условия контракта, но и репутацию провайдера, его соответствие отраслевым стандартам и способность оперативно реагировать на угрозы.
Аутсорсинг ИБ не является универсальным решением — его эффективность зависит от конкретных бизнес-задач, уровня зрелости процессов безопасности и готовности компании к сотрудничеству с внешними специалистами. Грамотное сочетание внутренних и внешних ресурсов поможет создать сбалансированную систему защиты, способную противостоять современным киберугрозам.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
