Аутсорсинг ИБ (SecaaS) в России: выгодная альтернатива или необходимость?

Аутсорсинг информационной безопасности перестал быть роскошью и стал стратегическим решением для бизнеса. Модель Security as a Service позволяет получить уровень защиты крупных компаний без гигантских затрат. Эксперты обсудили, на каком уровне в России находится рынок услуг SecaaS.

 

 

 

 

 

 

1. Введение
2. Нужен ли аутсорсинг в сфере ИБ?
   
   1. 2.1. Какие области услуг наиболее востребованы?
3. Что тормозит развитие аутсорсинга ИБ в России?
4. Блиц: как обосновать руководству необходимость аутсорсинга ИБ
5. Реальные кейсы
6. Какие функции в первую очередь переводятся в сервисы из on-premise?
   
   1. 6.1. Что должно насторожить при выборе поставщика услуг?
7. Прогнозы экспертов: какие функции ИБ перейдут в формат услуги в ближайшие 2–3 года?
8. Выводы

Введение

Цифровая трансформация в России набирает обороты, но вместе с новыми возможностями бизнес получает и новые угрозы. Финансовые потери от кибератак, репутационные риски, растущие требования регуляторов — сегодня информационная безопасность стала не просто статьёй расходов, а критически важным элементом выживания.

При этом создание собственной службы ИБ — дорогостоящее и сложное начинание, требующее поиска редких специалистов, закупки технологий и постоянного обучения. На этом фоне всё больше российских компаний задаются вопросом: а можно ли доверить свою защиту сторонним экспертам? Ответ на него даёт модель Security as a Service (SecaaS) — но только в том случае, если подход выстроен правильно.

 

Рисунок 1. Эксперты в студии AM Live

 

Участники эфира:

• Ринат Сагиров, руководитель департамента мониторинга и реагирования, «Инфосистемы Джет».
• Константин Мушовец, директор УЦСБ SOC.
• Артём Грибков, директор Центра киберустойчивости Angara MTDR, Angara Security.
• Артём Савчук, технический директор, «Перспективный мониторинг».
• Алексей Мальнев, директор по развитию сервисных партнёрств, Positive Technologies.
• Александр Соколов, директор сервисного блока, F6.
• Мария Шай, Product Owner, Security Services, RED Security.

Ведущий и модератор эфира — Михаил Кадер, независимый эксперт.

 

 

Нужен ли аутсорсинг в сфере ИБ?

Артём Грибков отметил, что все компании сталкиваются с одинаковыми проблемами каждый год — нехватка кадров, регуляторные требования. Всем нужно заниматься вопросами безопасности на должном уровне, выстраивать зрелые процессы. Сервисная модель часто оказывается более эффективной.

Алексей Мальнев считает, что есть много глубинных причин, почему нужен аутсорсинг ИБ. Нужно быть на одном уровне с киберпреступностью, а для этого должна быть команда с большим количеством специализаций — помимо мониторинга и реагирования на инциденты необходимо проводить киберразведку, форензику (науку о раскрытии киберпреступлений) и многое другое. Чтобы выстроить такую команду, нужно много времени и ресурсов. Физически это не всегда возможно сделать, разве что только очень крупным компаниям. Аутсорсинг в текущих реалиях является необходимым элементом для 99 % компаний.

 

Алексей Мальнев, директор по развитию сервисных партнёрств, Positive Technologies

 

Мария Шай добавила, что вместе с ростом безопасности компаний повышается и уровень хакеров. Их инструменты усложняются, нужна равноценная защита.

Артём Савчук предлагает заказчикам взвесить, какой вариант для них проще и выгоднее — сделать работу самостоятельно или заказать услугу у профессионалов. Зачастую второй вариант оказывается более целесообразным. ИБ — такая же сфера услуг, как и любая другая.

Константин Мушовец добавил, что сейчас у компаний есть возможность сосредоточиться на своей основной деятельности, не погружаться в специализированные вопросы, а передать их выполнение экспертам.

Ринат Сагиров заметил, что иногда заказчик выбирает сервисы на тот период, пока строит собственную команду.

Какие области услуг наиболее востребованы?

Артём Грибков рассказал, что традиционно лидером роста остаётся мониторинг и реагирование на инциденты. Новый тренд этого года — управление активами. Наблюдается большой рост потребления Compromise Assessment (поиск следов компрометации сети). Многие годы у всех провайдеров есть в портфеле эта услуга, сейчас спрос на неё повысился, возможно, из-за роста зрелости заказчиков. 

Также становятся популярными цифровая криминалистика и Incident Response (реагирование на инциденты). Заметно вырос спрос на SOC. Интересный тренд — по итогам инцидентов компании чаще стали обращаться в правоохранительные органы.

 

Артём Грибков, директор Центра киберустойчивости Angara MTDR, Angara Security

 

Мария Шай добавила, что по статистике за 2–3 года рынок растёт на 20–30 %, а это в два раза больше, чем ИТ в целом.

Александр Соколов заметил, что из-за нехватки квалифицированных кадров растёт спрос на сотрудников — CISO, DPO (руководитель подразделения информационной безопасности и специалист по защите данных).

Константин Мушовец отметил рост спроса на услуги с эксклюзивной экспертизой, такие как форензика. Наблюдаются запросы на услуги DLP (предотвращение утечек и потери данных) в формате сервиса.

В первом опросе зрители поделились, что ограничивает их в использовании аутсорсинга ИБ (мультивыбор):

• Отсутствие реальной ответственности у провайдера — 67 %.
• Сомневаются в компетенциях провайдера — 44 %.
• Риски несанкционированного доступа — 44 %.
• Нет нужной по качеству услуги на рынке — 33 %.
• Высокая стоимость — 44 %.
• Не видят необходимости — 0 %.

Рисунок 2. Что ограничивает вас в использовании аутсорсинга ИБ? (мультивыбор)

 

Что тормозит развитие аутсорсинга ИБ в России?

Константин Мушовец уверен, что регулятор никак не влияет на задержку развития аутсорсинга ИБ. Почти в каждом нормативном документе есть оговорка «в том числе подрядные организации при наличии соответствующей лицензии». У регулятора правильная позиция — ему важно, чтобы задача по ИБ была выполнена, а инструмент можно выбрать при соответствии определённым параметрам.

Мифы и менталитет влияли на развитие аутсорсинга. Доверять такую чувствительную вещь, как ИБ, страшно. Но те сложности, которые есть на рынке, заставили компании обратиться к аутсорсингу, начали появляться положительные кейсы, практика. Сейчас препятствий нет, это хорошее время для стремительного роста и развития аутсорсинга ИБ, такая тенденция продолжится в перспективе.

Артём Савчук считает, что регулятор, наоборот, помогает, но, как и в любом бизнес-процессе, нужны люди, инструменты и технологии. Не хватает отечественного ПО разных классов и мощностей для быстрой работы.

Михаил Кадер обратил внимание, что, судя по результатам опроса, развитие тормозит отсутствие реальной ответственности у провайдера.

 

Михаил Кадер, независимый эксперт

 

Алексей Мальнев добавил, что технологически Россия входит в топ-5 в мире. В части нормативного регулирования она находится на достаточно высоком уровне в сравнении с другими крупными игроками мирового рынка. Некоторым стоп-фактором являются особенности менталитета хранить всё внутри, но это уже постепенно теряет актуальность. Последней преградой, которую нужно проработать, может быть недоверие к облакам — без этого элемента не обойтись.

Во втором опросе выяснилось, какую главную задачу хотели бы решить зрители с помощью аутсорсинга ИБ? (мультивыбор):

• Повысить уровень защищённости — 71 %.
• Решить проблему нехватки кадров — 46 %.
• Разделить ответственность — 33 %.
• Избавление от непрофильного направления — 29 %.
• Сократить затраты на ИБ — 24 %.
• Другое — 27 %.

Рисунок 3. Какую главную задачу вы хотели бы решить с помощью аутсорсинга ИБ? (мультивыбор)

 

Блиц: как обосновать руководству необходимость аутсорсинга ИБ

Ринат Сагиров: «Важно говорить, что произойдёт с бизнесом при недостаточной безопасности, какие процессы критичные и что будет, если они остановятся. Исходя из понимания того, сколько компания потеряет в случае простоя, можно обосновать затраты на ИБ»‎.

Константин Мушовец: «Нужно подготовить план решения задач собственными силами компании, и сравнить с тем, что предлагает аутсорсинг, где всё предопределено и не нужно придумывать, как сделать. У специалистов есть опыт, и они знают, как сделать правильно»‎.

 

Константин Мушовец, директор УЦСБ SOC

 

Артём Грибков: «С бизнесом проще разговаривать на языке рисков и денег: оценить сумму простоя, подумать, что нужно для нивелирования рисков, какие функции необходимы для обеспечения безопасности, сколько это будет стоить on-premise (на собственном оборудовании фирмы — прим. ред.) и сравнить с условиями аутсорсинга»‎.

Артём Савчук: «Бизнес понимает потенциальный ущерб или потенциально предотвращённый ущерб (что наступит в результате недопустимого события). Нужно объяснять, какие требования нормативного регулирования мы закроем, чего это позволит избежать (административной и уголовной ответственности»‎.

Алексей Мальнев: «Сначала оцените, можно ли устранить риск, отключив проблемную систему. Если это невозможно — а для бизнес-критичных систем так и есть — тогда оценивайте полную стоимость владения (TCO). И здесь аутсорсинг показывает свою эффективность, так как позволяет быстрее и зачастую дешевле предотвратить недопустимые для бизнеса события»‎.

Александр Соколов: «Нужно начать с пилотного проекта, чтобы на реальных данных продемонстрировать ценность сервиса. Возьмём, к примеру, услугу MDR (Managed Detection and Response, управляемое обнаружение и реагирование — прим. ред.). В ходе пилота мы оцениваем объём событий безопасности, которые требуют анализа. После этого становится понятно, сколько специалистов и каких затрат потребовалось бы компании для самостоятельной обработки этих инцидентов. Когда все затраты подсчитаны, преимущество аутсорсинга становится измеримым и финансово обоснованным»‎.

Мария Шай: «Многие неправильно считают затраты, не учитывая обучение инженера, внедрение его в команду, включение в процессы, которые ещё нужно заранее написать. Это важно донести заказчику, учитывая все параметры»‎.

Реальные кейсы

Мария Шай: «У небольшого заказчика работали два инженера, которые пытались вывезти на себе всё ИБ и многое не успевали. В какой-то момент в компании предложили привлечь провайдера, чтобы не нанимать ещё инженеров. Это решило проблему — они перестали постоянно искать ресурсы на то, чтобы мониторить все системы, они начали строить процессы. Это может служить примером оптимизации для малых организаций».

 

Мария Шай, Product Owner, Security Services, RED Security

 

Александр Соколов: «Больше всего заказчики благодарны нам за то, что мы помогаем сэкономить время. Ценность MSSP (Managed Security Service Provider, или, проще говоря, «безопасность как сервис» — прим. ред.) также в том, что с заказчика снимается часть операционной работы, позволяя внутренним сотрудникам ИБ концентрироваться на стратегических задачах».

Алексей Мальнев: «Заказчик долго сопротивлялся внедрению кибербезопасности, в итоге за несколько месяцев у него 5 раз случился инцидент. После этого он согласился на внедрение системы ИБ, которая позволила обрести устойчивое состояние защищённости».

Артём Савчук: «После проведения поиска индикаторов компрометации в ИТ-инфраструктуре компании было выявлено длительное присутствие зарубежных хакеров».

Артём Грибков: «В компании есть свой небольшой штат ИБ — желание руководства всё делать инхаус. Уговариваем попробовать, приходим с небольшим пилотом. После двухнедельного мониторинга находим две закрепившиеся активности».

Константин Мушовец: «Когда компания подходит к вопросу мониторинга, начинает с покупки SIEM и попадает в ловушку: SIEM есть, его внедрили и настроили, но он не работает полноценно, не выдаёт результат, а внутренний сотрудник боится об этом сказать. Была ситуация, когда в ходе диалогов это выяснили, донастроили и процесс пошёл — всё заработало на полную мощность».

Ринат Сагиров: «Есть крупный промышленный заказчик, который не захотел сотрудничать: не видели ценность для бизнеса. 7 марта в 23:30 случился алерт — на даркнет-форуме появилась новость о том, что мы продаём первичный доступ в инфраструктуру этой компании. Связались с руководителем SOC, в течение 15 минут общения все данные были удалены с форума. В итоге сотрудники SOC поняли, что было скомпрометировано (подключились к хосту через подрядчика) и вовремя закрыли доступы. После этого заказчик увидел ценность и работает с нами уже три года».

 

Ринат Сагиров, руководитель департамента мониторинга и реагирования, «Инфосистемы Джет»

 

Какие функции в первую очередь переводятся в сервисы из on-premise?

Алексей Мальнев выделил мониторинг внешней поверхности атаки (ASM), киберразведку (Threat Intelligence) — эти процессы зародились в аутсорсинге, редко заказчик может содержать у себя такие команды. Среди распространённых сервисов, которые охотно отдают на аутсорсинг, — мониторинг инцидентов (часто в гибридах), WAF (Web Application Firewall, файрвол веб-приложений), защита трафика, DDoS-защита. В меньшей степени — Vulnerability Management (управление уязвимостями, VM), MDR (Managed Detection and Response, обнаружение и реагирование), XDR (Extended Detection and Response, расширенное обнаружение и реагирование), AppSec в контексте DevSecOps (безопасность приложений, требуется глубокое погружение), защита цифровых рисков.

Мария Шай добавила: из on-premise переезжает в сервис всё то, что в качестве защиты переходит в облако. Большую популярность наращивает Big Data, но специалисты не особо уделяют внимание защите. Все DAM/DBF (мониторинг активности и фаервол баз данных) системы переедут в облако вместе с Big Data.

Артём Грибков заметил, что активно переходят на аутсорс мониторинг и реагирование на инциденты. Всё больше людей приходит к тому, что своё не всегда так эффективно. Актуален вопрос управления активами.

Александр Соколов считает, что у заказчиков растёт желание обратиться за экспертизой. Приходят за советами, как выстроить безопасность, как оценить риски, что делать, если пошифровали, как правильно уведомить Роскомнадзор. Есть потребность в оказании консультаций по подписке.

 

Александр Соколов, директор сервисного блока, F6

 

Артём Савчук выделил новое направление — тренировки или киберучения по подписке. Они становятся популярными, так как внутри строить такую систему затратно.

В третьем опросе зрители назвали функции ИБ, которые они уже отдали или готовы отдать на аутсорсинг (мультивыбор):

• Мониторинг и реагирование — 67 %.
• Аудит и тестирование — 51 %.
• Консалтинг — 48 %.
• Разработка политик и соответствие требованиям — 42 %.
• Настройка СЗИ — 25 %.
• Управление доступом — 8 %.

Рисунок 4. Какие функции ИБ вы уже отдали или готовы отдать на аутсорсинг (мультивыбор)

 

Что должно насторожить при выборе поставщика услуг?

Ринат Сагиров: «Отказывается от проверок, не проводит пентесты».

Константин Мушовец: «Отсутствие гибкости, неготовность идти на компромиссы. Проводит оценку задачи без дополнительных вопросов».

Артём Грибков: «Сервисные проекты — это всегда взаимодействие с командой. Если на первых этапах становится понятно, что с проектной командой не складывается, это значит, что потом будут проблемы».

Артём Савчук: «Нужно обращать внимание на финансово-хозяйственную деятельность, показатели компании, наличие всех необходимых лицензий, срок жизни этой компании».

 

Артём Савчук, технический директор, «Перспективный мониторинг»

 

Алексей Мальнев: «Если подрядчик предлагает сделать дешевле рынка, скорее всего, это будет плохо и долго. Если он со всем согласен, это тревожный звоночек. Должна быть честность».

Александр Соколов: «Заказчик должен понимать, что это взаимная серьёзная работа. Если провайдер говорит, что всё сделает сам — что-то здесь не так».

Мария Шай: «Нужна адекватно описанная матрица разделения ролей и ответственности, без неё тяжело работать».

Прогнозы экспертов: какие функции ИБ перейдут в формат услуги в ближайшие 2–3 года?

Мария Шай: «Часть сервисов переезжает в облако, с внутренних специалистов снимается необходимость постоянного прогнозирования — какие нужны лицензии, сколько потребуется сотрудников и оборудования. В облаке расширение и сужение происходит по нажатию кнопки. Снимается рутина, появляется время для саморазвития, развития внутренних политик ИБ, составления матриц угроз — реально полезных вещей, которые усиливают внутреннюю безопасность. Команда расследования инцидентов — держать её внутри неэффективно и дорого, это лучше работает в сервисной модели».

Константин Мушовец: «Пока слабо, но наблюдается тенденция к эксплуатации средств защиты информации. Сейчас на аутсорс переезжает больше наблюдательная функция, чтобы отслеживать общую картину. Если будут дополнительно переходить функции эксплуатации, они хорошо будут коррелировать. У заказчика вырастут компетенции».

Алексей Мальнев: «Сервисы безопасности по подписке будут становиться все популярнее. Для упреждающей защиты теперь используются сложные системы на базе искусственного интеллекта. Они постоянно анализируют цифровую поверхность атаки извне, моделируя возможные угрозы. Содержать такие мощные AI-решения внутри компании — нереально дорого и сложно, они будут жить в облаке провайдера.

Для отражения атак появляются системы мониторинга нового поколения (Next-Gen SIEM). Это тоже очень тяжёлые платформы, требующие огромных вычислительных ресурсов. Необходимость в них станет ещё одним веским аргументом в пользу того, чтобы передать мониторинг инцидентов на аутсорс, а не пытаться строить свою аналогичную систему».

Артём Грибков: «По статистике, большинство успешных атак начинаются с этапа разведки, когда хакеры изучают цифровой след компании. Сейчас на российском рынке недооценены сервисы по управлению этим следом и отработке таких сценариев (Digital Risk Protection, DRP). В ближайшее время спрос на эти решения будет активно расти».

Артём Савчук: «В аутсорс перейдёт всё, что требует большой экспертизы, а также то, что нужно осуществлять извне: анализ защищённости, сканирование, пентесты, сервисы, которые требуют больших вычислительных ресурсов».

Финальный опрос показал, каково мнение зрителей об аутсорсинге ИБ после эфира: убедились, что за аутсорсингом будущее — 27 %, заинтересовались и готовы тестировать — 27 %, будут активнее использовать аутсорсинг — 18 %, сохраняют недоверие к аутсорсингу — 18 %, не видят необходимости — 9 %.

 

Рисунок 5. Каково ваше мнение об аутсорсинге ИБ после эфира?

 

Выводы

Аутсорсинг в сфере информационной безопасности в России окончательно перешёл из категории экзотики в разряд прагматичного инструмента для бизнеса. Основной тренд — это смещение фокуса с вопроса «доверять или не доверять» в сторону поиска эффективного партнёрства. Успех внедрения модели SecaaS определяется не столько технологиями, которые в России находятся на высоком уровне, сколько зрелостью взаимодействия между заказчиком и поставщиком. Ключевыми становятся готовность к открытому диалогу, чёткое разделение ответственности и совместная работа над достижением измеримых бизнес-результатов.

Рынок услуг активно развивается, отвечая на новые вызовы: если сегодня наиболее востребованы мониторинг и реагирование на инциденты, то в ближайшей перспективе на первый план выйдут такие направления, как управление цифровым следом, киберразведка и сложные расследования.

В конечном счёте аутсорсинг ИБ доказывает состоятельность именно там, где позволяет компании сосредоточиться на своих стратегических задачах, переложив задачи обеспечения киберустойчивости на плечи экспертов. Опыт успешных кейсов и растущий спрос со стороны бизнеса однозначно свидетельствуют: за SecaaS — не просто будущее, а уже настоящее эффективного управления рисками в цифровую эпоху.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!