Екатерина Сюртукова: На рынке аутсорсинга ИБ часто именно предложение формирует спрос

Екатерина Сюртукова: На рынке аутсорсинга ИБ часто именно предложение формирует спрос

Екатерина Сюртукова

Закончила Московский технический университет связи и информатики (МТУСИ) по специальности «Сотовая и спутниковая связь».

В ИТ-индустрии с 2006 года. Начала свой путь с должности пресейл-инженера по сетевым решениям в компании «Степ Лоджик». В 2008 году пришла в компанию «Инфосистемы Джет» на позицию старшего пресейл-консультанта по ИТ-аутсорсингу.

Проработав 5 лет, перешла на руководящую позицию в компанию Helios IT, а в 2015 году вернулась в компанию «Инфосистемы Джет», заняв должность  руководителя направления сервиса и аутсорсинга ИБ Центра информационной безопасности.

Имеет базовые сертификаты по сетевым технологиям и методологии ITIL. 

...

На вопросы аналитического центра Anti-Malware.ru любезно ссогласилась ответить Екатерина Сюртукова, руководитель направления сервиса и аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет». Это интервью продолжает цикл публикаций «Индустрия в лицах».

Тема аутсорсинга ИБ достаточно широкая. Что, на ваш взгляд, в нее входит?

Е.С.: Тема действительно многогранная. Если разбираться в терминологии, то сюда можно отнести любые задачи, передаваемые на исполнение внешней компании: от классической технической поддержки средств защиты до разработки ИБ-стратегии предприятия. Как правило, под аутсорсингом понимают именно экспертные услуги, требующие глубокого погружения в бизнес-процессы заказчика.

В рамках портфеля услуг нашей компании услуги аутсорсинга ИБ можно условно разделить на три группы. К первой относится эксплуатация внедренных у заказчика средств защиты, включая мониторинг работоспособности и администрирование с гарантированными метриками SLA. Вторая группа — управление процессами информационной безопасности заказчика: например, управление процессом мониторинга и реагирования на инциденты ИБ, процессом противодействия мошенничеству. Сюда же можно отнести аудиты и консалтинговые услуги. Третья группа, особенно популярная в последнее время, — услуги SecaaS (Security as a Services — «безопасность как сервис»), когда для решения тех или иных задач ИБ компания-аутсорсер помимо экспертизы специалистов предоставляет все необходимые средства защиты по сервисной модели. Оплата услуг осуществляется в виде ежемесячных платежей, что позволяет заказчикам полностью уйти от капитальных затрат. При этом средства защиты могут быть развернуты как локально на площадке заказчика, так и потребляться в виде сервиса из облаков.

Облачные сервисы безопасности, когда все активы — полностью на стороне провайдера услуг, вы относите к аутсорсингу?

Е.С.: Как правило, облачные сервисы представляют собой типовые пакетные услуги (сама концепция облаков подразумевает тиражируемость универсальных сервисов). Нередко облачные провайдеры предоставляют только инструментарий ИБ, а разработка политик и тонкая настройка остается на стороне заказчика. Но, несмотря на шаблонность услуг и частое отсутствие индивидуального подхода, облачные сервисы также относят к аутсорсингу, так как это решение задач ИБ с помощью внешней организации.

Еще 10 лет назад столь чувствительную область, как ИБ, отдавать на аутсорсинг боялись, а в последние несколько лет тема стала активно развиваться. С чем это связано, на ваш взгляд?

Е.С.: Причин несколько. В последнее время появилось достаточно много успешных примеров использования аутсорсинга, реальные положительные кейсы повышают степень доверия к услугам. С каждым годом угрозы становятся все изощреннее, а средства защиты — сложнее. Внедряя новые ИБ-системы, компании сталкиваются с проблемой отсутствия компетенций. И здесь встает вопрос — развивать собственную экспертизу или обратиться к услугам внешней компании. Нанимать или обучать узконаправленных специалистов, как правило, дорого, плюс сложно обеспечить необходимый уровень сервиса (нужны отлаженные процессы с привязкой KPI сотрудников к параметрам SLA). Поэтому интерес к аутсорсингу возрастает. В случае нехватки ресурсов и экспертизы эксплуатацию новых систем или реализацию новых процессов эффективнее отдать на аутсорсинг. Это позволит быстро и без затрат на старте получить готовые услуги и процессы с гарантированным качеством.

Помогает или вредит росту ИБ-аутсорсинга курс на импортозамещение?  

Е.С.: Можно говорить только о косвенном влиянии. Например, у нас есть заказчики, которые эксплуатировали  определенные системы безопасности на продуктах западных вендоров, а сейчас ввиду санкций столкнулись со сложностями продления поддержки и расширения этих систем. Теперь они вынуждены заново строить у себя ИБ-системы на российских аналогах. С целью ускорить данный процесс и снизить капитальные затраты некоторые выбирают облачные сервисы. В этом случае договор на сервисы ИБ заключается с российским провайдером, ответственность за выбор продукта и качество сервиса полностью ложится на поставщика услуг.

Вы согласны, что рынок аутсорсинга ИБ будет расти за счет нехватки и высокой стоимости специалистов, обслуживающих системы ИБ, и при этом такие системы потребуют очень узких компетенций?

Е.С.: Да, я согласна, ресурсная проблема является одним из основных драйверов роста подобного рода услуг. В большинстве своем к аутсорсингу прибегают, именно когда нет компетенций или нужного количества специалистов. Сейчас технологии ИБ активно развиваются, современные средства защиты требуют узкой специализации, держать укомплектованный штат экспертов накладно. Часто с помощью аутсорсинга стараются минимизировать риск увольнения или болезни ключевых сотрудников, когда критичное направление или система могут остаться «без присмотра».

Есть такой миф, что аутсорсинг дешевле, чем делать самому, это так?

Е.С.: Все зависит от того, как и что считать. Для корректного сравнения необходимо учитывать не только прямые, но и косвенные затраты.

Часто при подсчете стоимости собственной службы ИБ во внимание берется только ФОТ (фонд оплаты труда) сотрудников. Однако де-факто собственный штат для компании обходится значительно дороже. Помимо затрат на ФОТ необходимо учитывать налоги (отчисления в ПФР, ФСС, ФОМС составляют около 30-35% от заработной платы), социальный пакет (добровольное медицинское страхование, оплата мобильной связи, компенсация стоимости проезда, пр.), затраты на обучение, затраты на организацию рабочего места, премии, оплату переработок, затраты на бэк-офис (бухгалтерия, кадровая служба, HR, пр.) и т. д. Приблизительную стоимость собственного штата  с учетом всех составляющих можно получить, умножив заработную плату сотрудников на коэффициент 2-2,5.

Также при сравнении собственной службы с аутсорсингом  необходимо обращать внимание на уровень сервиса, который получает заказчик. Стоимость услуг существенно зависит от параметров SLA. Переходя на аутсорсинг, компании стараются повысить уровень сервиса, нередко даже  предъявляют завышенные требования к SLA. Собственный штат, как правило, не обеспечивает такие параметры, и требуется немало дополнительных вложений на выстраивание процессов, разработку регламентов, документирование и прочее, чтобы прийти к целевым значениям.

Если же в сравнении учитывать все составляющие, стоимость аутсорсинга, как правило, или сопоставима, или действительно ниже стоимости собственных специалистов.

Например, если для решения какой-либо задачи ИБ требуется лишь периодическое привлечение узконаправленного специалиста, нанимать его в штат, не обеспечивая полную занятость, — дорогое удовольствие. В этом случае значительно дешевле отдать решение такой задачи на аутсорсинг. Еще один наглядный пример экономии от применения аутсорсинга — сопровождение систем в режиме 24х7. Для реализации круглосуточной службы требуется минимум 5 специалистов, сменяющих друг друга. Как правило, ночью и в вечернее время инцидентов происходит немного, сотрудники не загружены, но при этом им необходимо платить полную зарплату. Выбирая аутсорсинг, компания получает круглосуточную службу поддержки гораздо дешевле.

Исходя из вашего опыта, какие виды услуг у клиентов наиболее востребованы?  

Е.С.: В первую очередь востребованы услуги, которые помогают закрыть потребности в узкой экспертизе, большом количестве ресурсов или решить временную задачу. Это техническая поддержка и эксплуатация средств защиты, консалтинг, услуги по приведению в соответствие требованиям PCI DSS и ФЗ №152, аудиты, задачи по выстраиванию процессов ИБ и т. д. На рынке аутсорсинга часто именно предложение формирует спрос. Заказчики не всегда понимают, какие системы/задачи целесообразно передать внешней компании и какие риски при этом могут возникнуть. Конкретный перечень услуг и положительный опыт помогают принять решение. Поэтому востребованы те услуги, которые имеют понятную структуру и которыми уже пользуются многие компании.

Какие интересные и перспективные направления, на ваш взгляд, могут появиться в течение этого или следующего года?

Е.С.: Сейчас много говорят про веб-ориентированность бизнеса и важность защиты веб-приложений. Для защиты необходимы специализированные системы, анализирующие трафик на прикладном уровне, такие как Web Application Firewall (WAF). Эти системы крайне сложны и ресурсоемки в эксплуатации.  К тому же они новы, и  специалистов по ним на рынке немного. Уже сейчас мы наблюдаем интерес к услугам «WAF как сервис» и к услугам по эксплуатации WAF-систем, все указывает на то, что в ближайшее время этот интерес будет только расти.

Насколько важен для заказчиков уровень SLA и репутация компании при использовании аутсорсинга ИБ?

Е.С.: Репутация и опыт, безусловно, важны. Но даже в случае отличной репутации стоит с особым вниманием отнестись к разработке SLA, так как исполнение SLA — единственный показатель качественной работы исполнителя в рамках конкретного проекта. Сейчас много говорят про эффективность метрик, они должны быть понятными, измеримыми и, главное, коррелироваться с ожиданиями заказчика, с тем, что хотелось бы получить в результате. Только в этом случае вообще имеет смысл их фиксировать и контролировать. Нужно понимать, что классический ИТ SLA, в котором прописываются параметры работоспособности системы и регламентируется время отработки запросов, не всегда актуален. Даже если обеспечивается доступность ИБ-систем в несколько девяток, это не означает, что выполняется их основное назначение — эффективная защита информационных систем. Простой пример — антивирус. Даже если он установлен и работает, это не означает, что базы обновлены и что сам антивирус обновлен на всех полутора тысячах рабочих станций компании. Поэтому когда на аутсорсинг передаются системы безопасности, помимо параметров доступности фиксируется набор индивидуальных метрик, характеризующих именно функционирование средств защиты. Для одних систем это  периодичность обновления сигнатур, процент обновленных агентов/устройств, для других — процент ложных срабатываний, просканированных устройств, периодичность сканирования на наличие уязвимостей, анализа корректности политик и т. д. Результат сервиса должен быть ожидаемым для заказчика. Процесс, когда с заказчиком согласовываются все параметры функционирования систем и результаты предоставления сервиса, долгий и трудоемкий. Для каждой системы метрики свои.

Функция принятия решений в области ИБ в случае утечек, срабатываний систем защиты и прочего тоже передается на аутсорсинг, или вы рекомендуете заказчикам самостоятельно принимать решения?

Е.С.: Без участия клиента эту задачу решить невозможно. У каждой компании своя структура, свои бизнес-процессы, свои принципы разграничения прав доступа к системам, внутренние корпоративные политики и т. д., которые плюс ко всему постоянно меняются. Из-за частых изменений и специфичности бизнес-процессов зафиксировать правила и передать функцию принятия решенийв области ИБ на аутсорсинг не получится, что бы мы ни рекомендовали. В случае инцидента ИБ, интегратор может оказывать содействие в расследовании, собирать необходимую информацию, формировать рекомендации. Конечные же решения всегда принимает заказчик.

Какие услуги из разряда «безопасность как сервис» в настоящее время предлагаются вашей компанией?

Е.С.: Мы предлагаем два варианта реализации услуги «безопасность как сервис».

Первый — сервисы безопасности в нашем ВЦОДе — для тех заказчиков, которые размещают у нас свои информационные системы. На базе нашего ВЦОДа реализована широкая линейка сервисов ИБ. Это антивирусная защита, антиспам, межсетевое экранирование и т. д. В зависимости от того, что размещает у нас заказчик, он выбирает оптимальный набор услуг по защите. Если это почта, то мы предлагаем защиту почты; если серверы — антивирусную защиту и защиту среды виртуализации; если персональные данные — комплексный сервис по защищенному хостингу персональных данных; а при размещении критичных веб-ресурсов — защиту от DDoS и сервис защиты веб-приложений.

Второе направление, которое мы начинаем активно развивать, — это сервисы без привязки к нашему дата-центру. В первую очередь это услуга «WAF как сервис» на базе MSSP-программы  одного из производителей WAF. В рамках услуги мы предоставляем Web Application Firewall с установкой на площадке заказчика, выполняем комплекс работ по настройке решения, разработке индивидуальных правил фильтрации и далее сопровождаем с гарантированным SLA. В рамках сопровождения осуществляем мониторинг срабатывания политик, периодически анализируем и оптимизируем правила фильтрации. В случае если защищаемые приложения меняются оперативно, переобучаем систему. И работы, и инструментарий предоставляются заказчику по сервисной модели с оплатой в виде ежемесячных платежей.

Вашу услугу «WAF как сервис» можно назвать ManagedSecurityServices в чистом виде?

Е.С.: В чистом виде, наверное, нет, так как MSSP все-таки подразумевает «расшаривание» системы между несколькими заказчиками. Мы предлагаем автономную инсталляцию WAF для каждого заказчика.

Помимо WAF, какие еще решения ИБ можно предоставлять в виде сервиса?

Е.С.: Да практически любые. Как я уже говорила, мы предоставляем широкий перечень сервисов ИБ на базе нашего ВЦОДа. Главное, чтобы у производителей была программа Managed Service Provider. Наличие такой программы сильно упрощает процесс формирования сервисов как с технической, так и с юридической стороны. Самое важное, что она позволяет приобретать у производителя любой объем лицензий, зеркально потребностям и платежам конечных заказчиков. Если такой программы нет, приходится кредитовать заказчика, возвращая инвестиции в течение нескольких лет. Но в наше время это рискованно. Тем не менее для некоторых заказчиков мы все же так делаем, идя им навстречу.

Каким образом запрет трансграничной передачи персональных данных повлиял, на ваш взгляд, на рынок услуг ИБ? Что появляется на рынке, что появится?

Е.С.: ФЗ № 242 от сентября 2015 года стал основным драйвером появления на рынке услуги хостинга ИСПДн. Очень многие облачные провайдеры, и мы в том числе, запустили такую услугу. И она, кстати, оказалась востребованной.

Важный момент — заказчики, рассматривающие такой сервис, должны понимать, что защищенная платформа — это лишь малая часть требований. Основное — это организационные вопросы: нужно провести аудит систем персональных данных, определить правильно уровень защищенности, классифицировать, выстроить и описать процессы обработки ПДн и т. д. По нашему опыту могу сказать, что нюансов в данной теме очень много. Поэтому при выборе поставщика таких услуг нужно руководствоваться, в первую очередь, опытом компании в области защиты персональных данных, а не стоимостью размещения. Многие поставщики (в основном это провайдеры услуг колокейшена) не готовы предоставлять услугу в комплексе, так как не имеют специалистов и  экспертизы. И обращаясь к ним, заказчику придется привлекать внешний консалтинг для решения всех организационных вопросов. А это дополнительные затраты.

Как правильно называется ваш сервис по хранению персональных данных?

Е.С.: Мы называем его «Хостинг ИСПДн». Заказчик размещает систему на наших вычислительных ресурсах, мы ему предоставляем необходимые сервисы безопасности на сертифицированных средствах защиты в соответствии с требованиями законодательства и разрабатываем всю необходимую организационно-распорядительную документацию. В рамках услуги мы являемся обработчиком ПДн. С клиентами помимо договора, SLA, NDA и прочего мы заключаем договор-поручение на обработку и хранение ПДн.

Получается, что заказчик снимет большую головную боль с себя, а если какие-то проверки, то проверять будут заказчика или вас. Как в этом случае устроен процесс?

Е.С.: Проверять, конечно, будут заказчика, потому что именно он является оператором персональных данных и отвечает за все процессы обработки ПДн, включая выполнение требований регуляторов по защите. Мы, как обработчики ПДн, тоже несем ответственность и должны совместно определять адекватные меры защиты — смоделировать возможные угрозы, обеспечить их минимизацию и/или устранение. В рамках нашей услуги мы выступаем не только технической стороной, но и помогаем заказчику решить все организационные моменты, разрабатываем максимально корректную документацию для проверки Роскомнадзора, оказываем юридическое сопровождение. Процесс обработки ИСПДн с использованием нашего хостинга полностью удовлетворяет требованиям законодательства.

Ваш ЦОД вы защищаете сами или тоже привлекаете кого-то извне?

Е.С.: У нас огромный опыт по информационной безопасности, поэтому мы никого извне не привлекаем. В рамках ВЦОДа реализованы все необходимые технические и организационные меры по обеспечению безопасности. Мы арендуем площадку у стороннего дата-центра, но при этом у нас есть своя система СКУД, система видеонаблюдения, осуществляется контроль и регламентация доступа на территорию и в помещения ВЦОД (списки лиц, допущенных в серверные) и т. д. Внедрены системы информационной безопасности: межсетевое экранирование, антивирусная защита, защита от DDoS-атак и т. д. Контур ИСПДН выделен в отдельный защищенный сегмент с сертифицированными средствами ИБ. Реализован комплекс организационно-технических мер по ограничению доступа к информационным системам заказчиков  со стороны персонала ВЦОД и других клиентов. Яркий показатель уровня безопасности нашего ВЦОДа и соответствия международным стандартам — это ежегодная успешная его сертификация по программе SAP Certified in Hosting Services, в рамках которой аудиторы особое внимание уделяют вопросам безопасности.

А своих администраторов и их действия вы как-то контролируете?

Е.С.: Безусловно, да. Доступ администраторов осуществляется с терминальных серверов, действия контролируются техническими и организационными мерами. Внедрен строгий регламент управления доступом: регламентируется разграничение прав доступа, срок действия паролей, их смена и т. д.  Мы со всей ответственностью подходим к данному вопросу. Ведь это наш бизнес и наша репутация. Как показывает практика, процессы контроля и управления доступом администраторов у крупных поставщиков услуг выстроены гораздо эффективнее, чем у многих заказчиков, а соответственно, и риски утечки и компрометации конфиденциальной информации при передаче им тех или иных задач гораздо ниже.

Как вы думаете, возможны ли в будущем атаки на дата-центры колокейшенов, когда  злоумышленники получают доступ к данным не одной компании, а всех клиентов, которые есть в локейшене? Возможно ли так атаковать провайдера?

Е.С.: На текущий момент таких угроз не существует. Современные технические средства защиты, средства виртуализации, методы разграничения доступа способны предупредить распространение атак. Даже если злоумышленник проникает в систему какого-то клиента дата-центра, у него нет никакой возможности получить доступ к соседним системам.  Единственное, что сейчас активно практикуют с целью нарушения доступности сразу всех клиентов дата-центра — это DDoS-атаки на канал. Но опять же — есть эффективные средства защиты от DDoS, которые с этим успешно справляются.

Большое спасибо за интервью и успехов и бизнесе!