Аутсорсинг информационной безопасности — какие острые проблемы заказчика он решает? Как обосновать целесообразность его использования, как аутсорсинг ИБ поможет при дефиците «железа», какие услуги аутсорсинга ИБ доступны в России и чем различаются модели MSSP и SecaaS?
- Введение
- Зачем используют аутсорсинг?
- Аутсорсинг и аутстаффинг: в чем отличие?
- Managed Security Service Provider (MSSP) или Security as a Service (SECaaS)
- Кто внедряет аутсорсинг ИБ?
- Какие функции ИБ чаще передают на аутсорсинг?
- Исследование «МегаФон» по особенностям аутсорсинга в России
- Как оценить эффективность аутсорсинга?
- Преимущества от внедрения ИБ через аутсорсинг
- Какие функции не следует передавать на аутсорсинг?
- Как определить, какому поставщику можно доверять?
- Оценка качества предоставляемой услуги
- Какие параметры следует закладывать в SLA для аутсорсинга?
- Перспективы развития аутсорсинга ИБ в России на 2022 год
- Выводы
Введение
Ещё 15 лет назад таких слов, как «аутсорсинг» и «аутстафинг», не существовало в пространстве российского бизнеса. В целом компании стремились сами решать свои бизнес-вопросы, передача какой-то части бизнеса вовне не только воспринималась как нечто инородное, но и сдерживалась, прежде всего требованиями по безопасности.
Сегодня об аутсорсинге слышали уже практически все в России. В то же время, как оказалось, детальное содержание этого принципа организации работы над проектами трактуется в компаниях ещё очень по-разному.
Аутсорсингом пользуются сегодня как крупные, так и средние по размеру компании. Но переходить на новый уровень — передавать на аутсорсинг не только часть проектных функций, но и функции ИБ — пока решились немногие. В России всё ещё опасаются применять это на практике.
Есть ли риски? На кого рассчитана услуга? Эти и другие вопросы были рассмотрены 22 июня во время эфира AM Live «Аутсорсинг информационной безопасности — какие острые проблемы заказчика он решает». В нём приняли участие представители как крупных заказчиков, так и крупных поставщиков услуг аутсорсинга ИБ.
На обсуждение были вынесены многие важные темы: при каких условиях выгодно отдавать управление безопасностью на аутсорсинг, какие отечественные поставщики присутствуют на рынке, как правильно выбрать тип аутсорсинга, когда лучше выбрать MSSP, а когда — SECaaS, и другие.
В дискуссии приняли участие:
- Константин Каманин, директор по развитию продуктового портфеля Solar MSS, «РТК-Солар».
- Андрей Куликов, руководитель экспертной поддержки продаж управляемых сервисов BI.ZONE.
- Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT, «Инфосистемы Джет».
- Александр Осипов, директор по облачным платформам и инфраструктурным решениям, «МегаФон».
- Михаил Колчин, руководитель направления развития бизнеса по сервисной модели, «Лаборатория Касперского».
- Антон Александров, руководитель отдела развития бизнеса, Positive Technologies.
- Дмитрий Криков, технический директор NGENIX.
- Константин Четков, исполнительный директор департамента мониторинга ИБ, «Газпромбанк».
Модератором выступил Лев Палей, начальник службы информационной безопасности АО «СО ЕЭС».
Зачем используют аутсорсинг?
Константин Каманин сразу перевёл стрелки в сторону точной трактовки смысла: «В оригинале смысл слова “outsourcing” выражен словами “привлекать извне”. Для бизнеса это означает “передавать другой компании в поддержку часть функций собственного бизнеса”. Зачем? Ответ очевиден: компаниям необходимо оптимизировать собственные затраты. Они делают это либо потому, что у них нет соответствующих компетенций, либо потому, что реализация их “на стороне” более выгодна. Когда компаниям требуется запустить в эксплуатацию сложные технические системы, а для этого у них нет возможностей или компетенции, то возможный выход — это аутсорсинг».
В настоящее время, считает Каманин, компаниям требуется строить ИБ, но обеспечить полный набор технологий собственными силами часто не удаётся по ряду причин. Поэтому приходится привлекать услугу извне.
Аутсорсинг и аутстафинг: в чём различие?
В завязавшейся дискуссии эксперты сразу предложили дать точное определение двум внешне похожим терминам, которые имеют совершенно разный смысл: «аутсорсинг» и «аутстафинг».
Отличие аутсорсинга от аутстафинга, отметил ведущий Лев Палей, заключается в том, кто управляет персоналом и программными ресурсами. Если этим занимается сам заказчик, то речь идёт об аутстафинге. Если проектное решение реализовано на стороне провайдера, то это — аутсорсинг.
Алексей Мальнев добавил несколько уточняющих замечаний. Он отметил, что бизнесу легче воспринимать различие между похожими «иностранными словами» на живом примере: «аутстафинг подразумевает, что заказчику выделяется отдельный менеджер со стороны интегратора, который будет полностью загружен только под их проект. В большинстве случаев он становится (временно) частью команды заказчика. В то же время выделенный персонал при аутсорсинге продолжает работать в составе провайдера. Это позволяет предоставлять заказчику их компетенцию, но при этом сам персонал можно использовать параллельно для разных проектов. Все заказчики будут получать свою часть от аутсорсинга».
Александр Осипов обратил внимание также на особенности работы заказчика. «При аутстафинге персонал провайдера полностью занят на проекте конкретного заказчика. Эта компания может участвовать в найме и увольнении привлекаемых к проекту сотрудников. На провайдера аутстафинга возлагаются только функции бухгалтерской отчётности и HR-управления.
В то же время при аутсорсинге работает другая модель управления: заказчику передаётся поддержка определённой функции, а провайдер сам управляет персоналом для её осуществления».
Рисунок 1. Эксперты дискуссии AM Live «Аутсорсинг информационной безопасности: какие острые проблемы заказчика он решает»
Managed Security Service Provider (MSSP) или Security-as-a-Service (SECaaS)
Поскольку участники дискуссии AM Live являлись представителями разных направлений аутсорсинга, Лев Палей решил продолжить обсуждение вопросом о сегментации аутсорсинга.
Какие услуги предоставляет провайдер MSS? Чем он отличается от классического интегратора, который приходит в компанию, чтобы запустить новое направление бизнеса внутри компании? Какие гибридные варианты аутсорсинга существуют?
По мнению Антона Александрова, следует сразу выделить два направления: классический аутсорсинг MSSP (Managed Security Service Provider) и облачный аутсорсинг SECaaS (Security-as-a-Service). При MSSP компания заказывает себе сервис ИБ, который будет предоставляться ей на базе определённого набора средств защиты. Эксплуатацию инструментов берёт на себя MSS-провайдер.
Аутсорсинг по SECaaS работает иначе. Заказчик покупает для себя услуги ИБ в облаке провайдера. Их эксплуатацией, подразумевающей тонкую донастройку и мониторинг, занимается сам провайдер.
С такой оценкой согласен Константин Каманин. «SECaaS — это когда провайдер предоставляет заказчику технологию с полной свободой в отношении применения средств управления. MSSP — это предоставление функции ИБ, когда заказчику не требуется управлять настройкой самому».
Для понимания различий между MSSP и SECaaS лучше рассмотреть в качестве примера сравнение такси и каршеринга, отметил Антон Александров. В первом случае управление осуществляет водитель, он предоставляет пассажиру сервис доставки. Во втором случае функцию управления берёт на себя пассажир, который управляет предоставленным ему оборудованием (транспортным средством).
Сравнивая аутсорсинг (MSSP) с классическим бизнесом по интеграции, Алексей Мальнев предлагает выбрать следующую шкалу: «MSSP — это предоставление услуги в сервисном формате (сервисная компания), интегратор — это услуги по внедрению (проектная компания)».
Дмитрий Криков предлагает рассматривать MSSP и SECaaS как совершенно разные бизнес-модели. «Нет смысла противопоставлять MSSP и SECaaS. SECaaS — это предоставление сервиса из облака, MSS-провайдер осуществляет интеграцию сервиса в формате on-premise».
Кто внедряет аутсорсинг ИБ?
«Применять у себя аутсорсинг ИБ может любая компания», — считает Андрей Куликов. Всё зависит от того, какие цели и задачи ИБ планируется решить с его помощью. Наиболее очевиден выбор для небольших компаний, где функции ИБ имеют второстепенное значение для бизнеса, а не первоочередное.
Для крупных компаний выбор аутсорсинга происходит иначе. Он помогает им решать ту или иную задачу в области ИБ более «экспертно». Обычно у них выделяется отдельный набор функций, решение которых без внешней помощи затруднительно. Примером является организация защиты от DDoS, потому что в этом случае требуется привлечение услуг со стороны интернет-провайдера.
«Встречаются и экономические причины, которые подталкивают крупные компании к переходу на аутсорсинг», — добавил Дмитрий Криков. Аутсорсинг помогает им реализовать у себя нужную функцию при меньших затратах.
В то же время, отметил Константин Каманин, аутсорсинг подойдёт не каждой крупной компании. В отдельных случаях можно (и нужно) делать всё своими силами; в других случаях целесообразно отдавать часть функций ИБ на сторону, а где-то внедрять ИБ на аутсорсинге целиком. В целом, компаниям требуется фокусироваться на своём основном бизнесе. Поэтому ИБ проще и надёжнее реализовать через аутсорсинг.
Какие функции ИБ чаще передают на аутсорсинг?
«На аутсорсинг ИБ можно передавать в первую очередь внедренческие и эксплуатационные функции, — считает Константин Каманин. — Иногда можно передавать те функции, которые относятся ко ключевой компетенции в ИБ. Это касается обеспечения функций ИБ, управления политиками, написания информационных материалов по ИБ и так далее».
Поводом для внедрения аутсорсинга ИБ в компании часто становится необходимость получить защиту от DDoS или обеспечить безопасную работу корпоративного веб-сайта, возникшая потребность в строительстве филиальной сети и т. д. Внедрение аутсорсинга часто отражает бизнес-зрелость компании, её ключевые и неключевые компетенции, а также готовность к делегированию ответственности в партнёрстве с другими компаниями.
Исследование «МегаФона» по особенностям аутсорсинга в России
Воспользовавшись дискуссией, представитель «МегаФона» Александр Осипов эксклюзивно объявил в рамках AM Live некоторые данные из готовящегося сейчас к изданию отчёта по исследованию «Индекс кибербезопасности в России». Он огласил результаты по оценке российскими компаниями (корпоративными клиентами «МегаФона») аутсорсинга и применению сервисной модели в ИБ.
Согласно данным «МегаФона», 30 % компаний не используют и не собираются использовать сейчас аутсорсинг (в СМБ — 41 %). В то же время в скором будущем 49 % компаний собираются переходить на аутсорсинг. Среди тех, кто уже использует аутсорсинг, большая часть респондентов применяют функцию «сканирование на уязвимости». Второй по популярности является функция «мониторинг реагирования», третьей — различные услуги консалтинга (пентесты, ИБ-аудиты, расследование инцидентов), на четвёртом месте — облачная защита от DDoS.
Рисунок 2. Насколько вы готовы к аутсорсингу ИБ по модели MSSP или SECaaS?
Как оценить эффективность аутсорсинга?
Вопрос об экономической эффективности аутсорсинга, по мнению собравшихся экспертов, имеет первостепенное значение. Но расчёт показателя и его сравнение со внутренними решениями (in-house) не настолько очевидны.
По мнению Алексея Мальнева, при оценке эффективности ИБ-решения следует исходить из следующего эмпирического правила: в проектах на 3–5 лет следует ориентироваться на оптимизацию OPEX (операционных расходов), в проектах на более длительный срок — на оптимизацию CAPEX (капитальных расходов).
В то же время, отметил Алексей Мальнев, при принятии решения о переходе на аутсорсинг оценка экономической эффективности уже уходит на второй план. Всё больше компаний ориентируются на безусловную необходимость иметь у себя определённый набор функций ИБ. Оценка эффективности сказывается только при выборе способа реализации.
Такая трансформация происходит сейчас под влиянием рекомендаций глобальных аналитических агентств (Gartner, Forrester). Они утверждают, что в ближайшие 10 лет доля аутсорсинга по отдельным направлениям ИБ дойдёт до 90 %. ИБ станет ключевой функцией для любой организации.
Антон Александров добавил, что при оценке эффективности необходимо исходить из того, что она очень сильно зависит от специфики компании. Её можно рассчитать только индивидуально, она зависит от многих факторов, которые отражают особенности бизнеса компании. Необходимо учитывать самые разные издержки, вплоть до тех, которые возникают из-за возможного простоя, пока у компании не налажены ИБ-функции, добавил Константин Каманин.
Преимущества от внедрения ИБ через аутсорсинг
Эксперты попробовали оценить привлекательность внедрения аутсорсинга ИБ для компаний разного типа.
Для госкомпаний, активно проводящих политику импортозамещения, аутсорсинг ИБ позволяет внедрить необходимый набор функций ИБ «под ключ» в короткие сроки, считает Антон Александров. Для коммерческой компании величиной до 1000 человек аутсорсинг ИБ помогает выстроить эшелонированную кибероборону, выделив на поддержку извне те функции, для которых у неё пока нет достаточной компетенции.
Для крупных коммерческих компаний с госучастием, относящихся к КИИ и насчитывающих более 10 000 человек в штате, критически важным становится соответствие критерию Time-to-Market (время вывода услуги на рынок), считает Александр Осипов. Аутсорсинг не только позволяет решить эту задачу быстро, но и избавляет от решения проблем связанных с подбором кадров.
Преимущества от внедрения аутсорсинга ИБ получает и регулятор. Он сам заинтересован в поиске партнёров, потому что регулятору приходится решать задачи контроля ИБ по всей стране. Наилучший выход для него, считает Алексей Мальнев, — создать отдельную структуру, которой передать управление.
Даже в аппарате президента есть место для аутсорсинга ИБ, считает Андрей Куликов. Это позволяет направить силы на основную деятельность и передать ИБ в аутсорсинг, чтобы получить быстрое техническое решение.
Привлекателен аутсорсинг ИБ и для крупных общенациональных проектов типа Олимпиады, ПМЭФ и пр. После окончания мероприятий не потребуется сохранять созданную структуру. «Решение через аутсорсинг — наилучший выход», — подытожил Константин Каманин.
Какие функции не следует передавать на аутсорсинг?
На аутсорсинг не следует передавать функции, которые тесно связаны со внутренними бизнес-процессами компании, считает Лев Палей. Это объясняется просто: возникающие риски будут распространяться не только на заказчика, но и на все внутренние коммуникации. Принятие подобного решения сдерживается законом о персональных данных, потому что потребуется слишком много дополнительных согласований для реализации такой модели.
С этой точкой зрения согласен Алексей Мальнев. Он считает, что принятие рисков придётся возложить на заказчика, хотя бывают и исключения. По мнению Константина Каманина, аутсорсинг исключён, если заказчик не готов нести затраты в случае нарушения передаваемой на аутсорсинг ИБ-функции.
Как определить, какому поставщику можно доверять?
Ответ на этот вопрос оказался единым у всех экспертов. Его сформулировал Константин Четков: «следует обращать внимание на наличие необходимых сертификатов».
Рисунок 3. Какая модель аутсорсинга вам больше подходит?
Оценка качества предоставляемой услуги
Доверие к аутсорсингу ИБ создаётся уверенностью в качестве получаемой услуги. Вопрос о контроле не является праздным.
По мнению Алексея Мальнева, заказчик обязан разбираться в том, что именно он отдаёт на аутсорсинг. Поэтому наибольшее распространение в настоящее время получила гибридная модель. Компании создают собственную службу ИБ, но при этом отдают часть функций на аутсорсинг, хорошо понимая, что именно должны получить в итоге.
«Если такой возможности нет, то следует ориентироваться на репутацию аутсорсера, мнение о нём других заказчиков. При необходимости следует совершить прямой визит к интегратору и познакомиться с его командой, процессами организации работы над совместным проектом, применяемой методологией».
По мнению Михаила Колчина, иногда следует прибегать к искусственным проверкам. Например, если SLA подразумевает реагирование в течение 15 минут, то можно инициировать искусственный инцидент.
Какие параметры следует закладывать в SLA для аутсорсинга?
Константин Четков назвал базовый набор ожидаемых параметров: время реакции до выявления события, время реакции до принятия решения о локализации / ликвидации, непрерывность оказания услуг, время восстановления после сбоя при оказании услуги. Этот базовый набор может быть дополнен параметрами, список которых формирует сам заказчик, исходя из своих бизнес-процессов.
Михаил Колчин подчеркнул, что список параметров, закладываемых в SLA, возникает в ходе составления договора между заказчиком и поставщиком услуги. Необходимо учесть все возможные варианты реагирования на инциденты: необходимость выезда заказчика на место, порядок проведения операций цифровой криминалистики по инциденту. «Необходимо уже на стадии подписания договора решить все организационные вопросы. Это позволит задать условия, когда заказчик сможет отстаивать свою позицию в случае возникновения сбоя при оказании услуги. Заказчику также важно прописать зоны и доли ответственности провайдера на случай инцидентов».
К договору об SLA нужно прикладывать ещё и техническое задание, добавил Александр Осипов. В нём должны быть выделены технические характеристики по оказываемой услуге. Если техническое задание составлено расплывчато, то интерпретация SLA может оказаться субъективной.
Константин Каманин добавил, что проблем с составлением документов не должно возникнуть. «Договор об SLA и его детали уже стандартизованы у многих провайдеров. Необходимость адаптации возникает только для очень крупных заказчиков. В целом же метрики качества для ИБ-услуг заранее известны. Варьироваться могут только граничные значения, когда возникает потребность. Может потребоваться задать более строгие правила или, наоборот, снизить требования».
Рисунок 4. Что останавливает вас от использования аутсорсинга ИБ?
Перспективы развития аутсорсинга ИБ в России на 2022 год
По мнению Дмитрия Крикова, текущая ситуация с кадрами, сложность проектов ИБ, требования регулятора будут подталкивать к тому, что на рынке произойдёт укрупнение поставщиков аутсорсинга ИБ. Это необходимо для поддержки высокого уровня оказываемого ими сервиса. Будет также происходить миграция ИБ-решений в облако.
Антон Александров прогнозирует существенный рост спроса на сервисы ИБ. На рынке ожидается дефицит аппаратных решений, поэтому вырастет спрос на программные решения, оптимизированные с точки зрения затрат аппаратных ресурсов.
Михаил Колчин ожидает роста количества атак, количества переводимых в «цифру» услуг, дефицита кадров, облачных решений. Это будет способствовать росту аутсорсинга.
Александр Осипов предвидит рост крупных игроков аутсорсинга ИБ и их портфеля предоставляемых сервисов. Он ждёт роста «сознательного» импортозамещения, когда компании будут заменять имеющиеся у них решения на российские. Заказчики будут также искать возможности для перехода на облачные решения.
Алексей Мальнев ожидает повышения количества ИБ-инцидентов на фоне роста импортозамещения. По оценкам «Инфосистем Джет», доля импортных продуктов ИБ на рынке составляет сейчас около 70 %. По прогнозу эксперта, значительная часть рынка переключится на работу с отечественными продуктами в области ИБ.
Андрей Куликов предсказывает существенный рост экспертизы компаний-вендоров. Будет расти и продуктовый портфель MSSP-компаний.
Константин Каманин ожидает роста спроса на услуги сервис-провайдеров из-за значительного падения стоимости проведения атак в последние годы на фоне роста тяжести их последствий.
Рисунок 5. Каково ваше мнение относительно аутсорсинга ИБ после эфира?
Выводы
Эксперты, принявшие участие в эфире AM Live от 22 июня, согласились с тезисом, что в ближайшее время ожидается существенный рост популярности внедрения ИБ в компаниях через аутсорсинг. Они отметили преимущества, которые даёт этот вариант организации работы бизнеса, а также отметили особенности, которые необходимо учитывать при реализации проектов.
Самые горячие для российского рынка информационной безопасности темы мы обсуждаем в прямом эфире онлайн-конференции AM Live. Чтобы не пропускать свежие выпуски и иметь возможность задать вопрос гостям студии, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!
