Согласно исследованию Gartner, к 2024 году более 90% потребителей конечных услуг будут обращаться к сторонним предприятиям, оказывающие услуги по ИБ, ориентированные на обнаружение и предотвращение атак. Есть ли будущее у рынка SecaaS в России? Какие есть нюансы при выборе данной модели для компаний? На эти вопросы ответил Владимир Дмитриев, руководитель направления сервисов киберзащиты CyberART (ГК InnoSTage).
SecaaS – это будущие для ИБ-интегратора? Как изменятся компании, оказывающие услуги по ИБ в ближайшие 5 лет?
В.Д.: Если 10 лет назад еще можно было услышать, что использование облачные сервисов и систем не допустимо в корпоративных сетях из-за внутренних политик безопасности или ограничений регуляторов, то сейчас, когда использование облачных бизнес-систем (CRM, конференций, инструментов совместной работы) в рабочих целях становится необходимостью, можно сказать, что подход, при котором сервисы информационной безопасности предоставляются в аренду из облака, займет свое место на ИТ-рынке.
По данным компании iKS Consulting, объем российского рынка облачных услуг к 2022 г. более чем удвоится и превысит 155 млрд руб. Рынок будет расти с ежегодным темпом не менее 23%. Кроме того, текущая ситуация во всем мире также является мощным драйвером развития рынка SecaaS.
Предоставление услуг SecaaS требует больших инвестиций. Как вы выбираете вендоров с которыми работать по MSSP-программе?
Д.В.: Мы открыты к сотрудничеству с различными вендорами, так как при выборе поставщика продукта или решения отталкиваемся от задач заказчика.
Основной объем инвестиции – при покупке. Оказание услуг по сервисной модели – это инвестиции «в долгую», они экономически выгоднее. Эта модель позволяет разовые затраты перевести из капитальных в операционные.
Какие преимущества для Заказчика при работе с CyberART в отличие от классических ИБ-компаний?
Д.В.: На сегодняшний день не только для «классических ИБ-компаний», но и в целом для рынка информационной безопасности в России ценным активом являются квалифицированные специалисты. Мы как провайдер услуг и сервисов имеем устоявшуюся команду специалистов: аналитиков, технических экспертов, специалистов по реагированию на инциденты и консультантов, которые постоянно углубляют свою экспертизу и следят за актуальными событиями в мире киберугроз.
Другой особенностью сервис-провайдеров является комплекс адаптированных сервисов. Что это значит? Во-первых, мы всегда предлагаем целостный подход по защите инфраструктуры предприятия, рассматривая все аспекты ИТ-среды, которые должны быть защищены. Кроме того, важно учитывать отраслевую привязку предприятия и рассматривать в связке с лучшими практиками в технологиях.
Управление рисками, процессы, соответствие требованиям, аудит, отчеты, обучение и квалификация.
И последний аспект данного комплекса является адаптивность: быстрое аварийное восстановление, непрерывность бизнеса, отказоустойчивость, резервное копирование и создание культуры безопасности.
Как формируется стоимость услуг для Заказчиков по MSSP-программе?
Д.В.: Стоимость формируется из различных параметров, в зависимости от конкретной услуги. Как правило, она зависит от количества защищаемых объектов: сетевых узлов, пользователей, почтовых ящиков и от объема, контролируемого и обрабатываемого сетевого трафика, событий безопасности и пр.
Защищать информацию ограниченного доступа по модели MSSP возможно? Как быть с ПДн или КИИ?
Д.В.: Ограничений для работы по MSSP-программе при работе с персональными данными и КИИ нет, поскольку при предоставлении сервиса работа ведется с событиями безопасности, а не с данными клиента.
Кроме того, зона ответственности по работе с информацией определяется на начальном этапе совместно с заказчиком. Специалисты создают сценарии реагирования исходя из запроса клиента, в рамках которых разграничиваются сегменты, которые «закрываются» специалистами сервис-провайдера и ИБ-персоналом на стороне предприятия.
Все популярные телеком операторы предлагают услуги SecaaS. В чем ваше преимущество перед ними?
Д.В.: Специфика телеком-операторов заключается в том, что они предоставляют ИБ-услугу в конкретном сегменте для малого и среднего бизнеса – в большинстве случаев, это коробочные решения в области защиты от DDOS – атак, контроля безопасности интернет – трафика.
Если говорить о крупных предприятиях, то для обеспечения их информационной безопасности требуется индивидуальный подход и работа под ключ, коробочный продукт не сможет покрыть весь объем ИБ-запросов.
SOC за счет того, что работает по сервисной модели способен гибко подойти и обеспечить только необходимыми услугами. Кроме того, благодаря интеграторскому опыту наши специалисты могут обеспечить безопасную интеграцию сервисов и инфраструктуры клиента.
SecaaS актуален только для большого бизнеса или для малого тоже? Сможет ли заказчик из небольшой компании позволить себе стать вашим клиентом?
Д.В.: В самом подходе SecaaS как раз и содержится основное преимущество для предприятий, которые не обладают возможностями для внедрения традиционных (on-premise) решений. Вы получаете аналогичный готовый продукт, но при этом совокупная стоимость владения для компании снижается за счет облачной архитектуры решений, оплаты сервисов по подписке.
Кто несет ответственность при реализации атаки при работе по MSSP-программе? Заказчик или Исполнитель?
Д.В.: Зона ответственности фиксируются при заключении договора – определяются конкретные области, относящиеся как к работе сервис- провайдера, так и специалистов со стороны заказчика.
Вы предлагаете услугу страхования рисков по ИБ? Почему?
Д.В: На данный момент услугу по страхованию киберрисков наш SOC не предоставляет. Спектр наших услуг сконцентрирован на оказании сервисов в области обеспечения информационной безопасности.
Направление киберстрахования в России пока зарождается. На него есть определённый спрос, но он не массовый и нельзя сказать, что ее оказывают повсеместно. Объективная оценка киберрисков, формирование цены компенсации – это не простая задача. В этом процессе необходимо участие независимых аудиторов, а также страховых компаний. Однако они не всегда имеют полную информацию о состоянии ИБ-угроз и их последствий по причине того, что постоянно появляются новые ИТ-решения и развиваются кибератаки, а данные специалисты не находятся регулярно в “полевых условиях”, чтобы отслеживать все изменения.
Кто обеспечивает защиту каналов связи при интеграции ваших сервисов и сервисов Заказчика?
Д.В.: Это зона ответственности SOC – подключение к инфраструктуре заказчика и обеспечение каналов связи.
Какой наиболее частый вопрос от Заказчика?
Д.В.: Когда мы приходим к Заказчику с рассказом о наших сервисах и услугах, о ландшафте киберугроз и способах их предотвращения, то наиболее частый вопрос, который мы слышим: «А у нас это было? Если не было, то зачем нам это необходимо?». Несмотря на динамическое развитие ИБ-отрасли, об этом говорят и Федеральный закон от 26.07.2017 N187-ФЗ «О безопасности критической информационной инфраструктуры РФ», создание НКЦКИ и ГосСОПКИ, развитие сервисов по модели MSSP, внедрение или совершенствование центров безопасности (SOC) – уровень зрелости российских компаний с точки зрения информационной безопасности у всех разный. И этому есть объективные причины.
Зачастую ИБ рассматривают как расходную часть, а не как бизнес-акселератор. Многие менеджеры по-прежнему неохотно говорят об угрозах безопасности или нарушениях в корпоративной среде. Такие компании имеют неверное представление о том, что выгоднее бороться с ущербом своей репутации, чем предпринимать превентивные действия, чтобы избежать инцидента. Это совершенно ошибочное мнение, например, на западе есть оценки, что после нарушения безопасности, 60% малых и средних Банков не смогут сохранить свой бизнес.
Растущее внедрение цифровых приложений и инструментов неотделимо от расширения бизнеса. Руководители должны рассматривать технологию не как вызов, а как ускоритель роста, а информационная безопасность является жизненно важной частью, которая должна быть непосредственно связана со стратегией развития компании.
Рекомендации бизнесу при выборе поставщиков, работающих по MSSP-программе.
Д.В.: В первую очередь, в нашей сфере высоко ценится обратная связь от клиентов, поскольку именно успешный проектный опыт является показателем надежности поставщика не только с точки зрения наличия необходимой экспертизы, но и с точки зрения решения самого различного уровня задач по информационной безопасности в реальных условиях. Кроме того, если поставщик готов организовать референс к клиенту – это говорит о готовности формирования открытых и доверительных отношений.
Широкий портфель решений по кибербезопасности и доказанная экспертиза: наличие необходимых лицензий для осуществления деятельности по защите информации, сертификатов, подтверждающих компетенции команды.
Опыт работы с технологиями, которые необходимы для осуществления: информация о безопасности и управление событиями (SIEM); автоматизация, оркестрация, реагирование (IRP\SOAR); Threat Intelligence (TI); cистема заявок и клиентский портал.
В конечно итоге все должно приводить к пилотированию, которое поможет в полном объеме понять, подходит ли данный сервис или решение именно вашей инфраструктуре и команде.
Сервисы CyberART также можно протестировать, оформив пробную подписку. Наполнение самого сервиса формируется в зависимости от потребностей бизнеса.
На какие критерии обращать внимание при выборе между внедрением решения у себя в компании или покупкой услуги по MSSP-программе?
Д.В.: В зависимости от уровня зрелости ИБ-инфраструктуры на вашем предприятии можно определить, в какой степени вы можете реализовать внедрение услуг у себя по MSSP-программе. Есть предприятия, обладающие всеми возможностями для внедрения флагманских решений, организации комплексной стратегии обеспечения информационной безопасности на предприятии и ресурсами для ее реализации, но из-за большого потока информации от внедренных средств защиты информации, у них нет возможности обеспечения мониторинга и реагирования на компьютерные инциденты. Или же у компании может быть реализован полноценный Центр мониторинга и реагирования на инциденты информационной безопасности, но могут отсутствовать компетенции и ресурсы для технической поддержки и эксплуатации данного решения.
MSSP-модель помогает закрыть брешь на том или ином этапе развития вашей инфраструктуры, привнести дополнительные инструменты и технологии, уменьшить возможный ущерб за счёт планирования и повышения эффективности реагирования на инциденты.
