ИБ уходит в аутсорсинг

22 июня на онлайн-площадке AM Live прошла конференция "Аутсорсинг информационной безопасности (MSSP vs SесaaS)". Именно аутсорсинг и аутстаффинг, как отметил модератор конференции, начальник службы информационной безопасности АО "СО ЕЭС" Лев Палей, стали естественным способом разрешения таких насущных проблем, как появление новых задач и вызовов при дефиците ресурсов.

Директор по облачным платформам и инфраструктурным решениям ПАО "МегаФон" Александр Осипов привел данные по итогам недавнего исследования, которое провел "МегаФон". Согласно им, 21% участников опроса уже используют аутсорсинг информационной безопасности, а еще 49% планируют это сделать в ближайшей перспективе. Наиболее популярны такие услуги, как проведение сканирования на уязвимости, мониторинг и реагирование на инциденты, проведение тестирований на проникновение, аудит и расследование инцидентов, а также защита от атак класса DDoS.

Наиболее популярными формами аутсорсинга информационной безопасности являются управляемые сервисы (MSSP) и безопасность как сервис (SecaaS). Разница между ними, по оценке руководителя Отдела по развитию бизнеса Positive Technologies Антона Александрова, состоит в том, что при использовании модели MSSP средства защиты принадлежат оператору, тогда как в случае SecaaS - заказчику. Сразу же возникла аналогия между такси и каршерингом. При этом технический директор Ngenix Дмитрий Криков предостерег от того, чтобы противопоставлять эти модели. В случае MSSP речь идет о предоставлении экспертизы, а когда речь идет о SecaaS - инструментов. Александр Осипов обратил внимание и на то, что многие облачные сервисы SecaaS могут управляться не только заказчиком, но и поставщиком услуги. По оценке руководителя направления развития бизнеса по сервисной модели "Лаборатории Касперского" Михаила Колчина, SесaaS в России пока развит слабее, чем за рубежом. Это, по его мнению, связано с недостаточной осведомленностью потенциальных потребителей услуг.

Руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT "Инфосистемы Джет" Алексей Мальнев напомнил, что в течение как минимум трех лет модель операционных затрат для заказчика будет экономически выгоднее, чем капитальных. При этом, по данным ведущих аналитиков, все больше компаний выбирают аутсорсинг своей стратегией, в итоге доля компаний, которые будут использовать данную модель применительно к ИБ, по прогнозам Gartner, может дойти до 90%.

Директор по развитию продуктового портфеля Solar MS, "РТК-Солар" Константин Каманин напомнил, что использование аутсорсинга является для компании способом сосредоточиться на своем профильном бизнесе. Александр Осипов напомнил, что аутсорсинг является единственно возможным вариантом тогда, когда атака уже идет и ее необходимо отразить прямо сейчас. Тут важным фактором является время.

Начальник Департамента разработки и внедрения автоматизированных систем Газпромбанка Константин Титков назвал среди проблем, которые может решить аутсорсинг, также импортозамещение, особенно если его надо проводить экстренно и отсутствует бюджет.

Также практически все участники дискуссии назвали существенным драйвером рынка аутсорсинга указ №250, где такая возможность, пусть и с рядом условий, которые должен соблюдать оператор, прямо прописана. При этом сам регулятор в лице НКЦКИ, как подчеркнул Алексей Мальнев, подает пример. Ведь операторами центров ГосСОПКА являются коммерческие компании, что является классическим случаем аутсорсинга.

Не меньшую значимость имеют и такие факторы, как дефицит оборудования и кадров в условиях, когда драматически растут масштабы атак, постоянно меняется ландшафт угроз и при этом растет ответственность руководителей за возможные последствия инцидентов. Константин Каманин также назвал аутсорсинг безальтернативным вариантом на тот случай, когда необходимо обеспечить безопасность какого-то крупного мероприятия вроде масштабных спортивных соревнований или бизнес-форумов. Построенную инфраструктуру в этом случае будет проще разобрать и переиспользовать на других проектах.

Среди того, чего отдавать на аутсорсинг нельзя, участники дискуссии наиболее часто называли сервисы, которые тесно завязаны на бизнес-процессы компании. Это, в частности, обработка данных. Алексей Мальнев обратил внимание на то обстоятельство, что функции принятия рисков всегда должны быть у заказчика. Михаил Кольчин назвал ключевым фактором доверие между заказчиком и оператором. Не меньшую роль играет и зрелось самого заказчика.

По мнению Константина Титкова, ключевыми и при этом наиболее сложно решаемыми вопросами при взаимодействии между заказчиком и оператором являются качество услуг и параметры уровня сервисов (SLA). Михаил Колчин советует включать в договор как можно больше различных опций, которые детально прописывали бы ответственность оператора за каждое отклонение от заявленного уровня SLA. По оценке Александра Осипова, многое зависит от качества технического задания. А их часто формулируют расплывчато, что дает операторам поле для весьма широкого толкования.