Аутсорсинг информационной безопасности: проблема доверия

Денис Муравьев,
генеральный директор ЗАО "4x4 бюро профессиональных услуг"

Аутсорсинг - выход для организаций?

Можно ли доверять компаниям, занимающимся аутсорсингом информационной безопасности (ИБ)? В нашем быстро меняющемся мире ИБ-угрозы стали действительно комплексными. Для проведения успешных атак злоумышленникам уже не требуется обладать глубокими знаниями компьютерных технологий. В Интернете можно найти готовые программы для взлома компьютерных сетей, которые способен использовать даже ребенок. Профессионалам в области И Б приходится все больше и больше времени посвящать вопросам соответствия требованиям законодательства и других регламентирующих документов.

Все эти проблемы являются следствием того, что организации долгое время воспринимали ИБ как чисто техническую дисциплину. Однако уже недостаточно просто мониторить уязвимости и устанавливать соответствующие патчи. Организации испытывают потребность в формировании стратегии реагирования на комплексные угрозы ИБ. Конечно, далеко не все могут позволить себе нанять на постоянной основе квалифицированного специалиста. В этом смысле аутсорсинг ИБ специализированной компании мог бы стать выходом для организаций, у которых сплошные пробелы в части безопасности. Может показаться, что аутсорсинг - наиболее быстрый путь "подтянуть" отстающие процессы в области И Б. В действительности же оказывается, что организация, затеявшая аутсорсинг ИБ, вместо спринта попадает в марафонский забег. Процесс согласования условий оказания услуг подчас сильно затягивается, и сократить время возможно только за счет увеличения соответствующих рисков.

В профессиональной среде бытует мнение, что компании обращаются к аутсорсингу в основном в поисках снижения издержек. Однако исследование, проведенное специалистами Forrester, показало, что это не так. Денежные вопросы, конечно, важны, однако в отношении ИБ у руководителей компаний другие приоритеты. Оказывается, что в большинстве случаев аутсорсинг ИБ в абсолютном значении обходится компаниям дороже. Связано это, прежде всего, с тем, что компании покупают более квалифицированные ресурсы или круглосуточную поддержку. Поэтому, если ваш поставщик услуг вдруг предлагает сделать что-то дешевле, задайте себе вопрос: за счет чего он сэкономит эти деньги? Скорее всего - за счет использования более дешевого, но менее квалифицированного персонала или за счет увеличения сроков оказания услуг.

Вопрос рисков

Теперь давайте рассмотрим вопрос рисков. Многие ошибочно полагают, что использование аутсорсинга означает полное переложение рисков на поставщика услуг. В действительности же организация, обратившаяся к аутсорсингу, возлагает на провайдера услуг ответственность за совершение конкретных действий. Это не освобождает организацию от ответственности за общее состояние дел в области ИБ. Например, риски по защите ПД в принципе не могут быть переданы аутсор-серу. Тем не менее лучшие практики включают в себя использование соответствующих пунктов, оговаривающих ответственность сторон в контрактах аутсорсинга, соглашениях об уровне сервиса (SLA) и т.п. Хорошей практикой также является обязательство поставщика услуг следовать политике И Б организации, которая может содержать какие-либо уникальные положения, применимые только к данной организации.

"Аутсорсинг" (от англ. outsourcing: внешний источник) - передача организацией определенных бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области. В отличие от услуг сервиса и поддержки, имеющих разовый, эпизодический, случайный характер и ограниченных началом и концом, на аутсорсинг передаются обычно функции по профессиональной поддержке бесперебойной работоспособности отдельных систем и инфраструктуры на основе длительного контракта (не менее 1-2 лет). (Википедия - свободная энциклопедия) "Доверие" - уверенность в чьей-нибудь добросовестности, искренности, в правильности чего-нибудь. (Толковый словарь СИ. Ожегова, Н.Ю. Шведовой)

У многих организаций формализован и отлажен процесс выбора поставщиков услуг, например, в области информационных технологий (ИТ). Поэтому при выборе поставщика услуг ИБ они пытаются следовать этому формальному процессу. Однако доверять свою безопасность организации, подобранной по формальным критериям, не стоит. Дело в том, что фактически вы передаете аутсорсерам контроль критичных частей бизнес-процессов или критичных технологий. Поэтому стоит оценивать не только способность поставщика оказать соответствующие услуги по ИБ, но и его репутацию, надежность и т.п. В данном случае поставщика скорее следует рассматривать как стратегического партнера, ведь решающую роль будет играть соответствие корпоративных культур, принципов ведения бизнеса.

В качестве еще одного аргумента, часто приводимого в защиту аутсорсинга ИБ, выступает статистика нарушений, из которой 80% всех нарушений совершаются сотрудниками организации. Поэтому аутсорсинг функций ИБ сторонней организации может использоваться в качестве оружия борьбы с инсайдерами.

Для тех, кто уже успел заключить аутсорсинговое соглашение, не стоит забывать о проверках качества оказания услуг. Известен случай с одной крупной западной компанией, заключившей аутсорсинговое соглашение на мониторинг системы обнаружения атак со временем реакции на обнаружение атаки не более 15 мин. Офицер безопасности данной организации через некоторое время решил проверить, насколько качественно поставщик оказывает услуги, и выключил IDS. Поскольку в течение двух последующих дней никто из аутсорсинговой компании так и не позвонил узнать, в чем же дело, организации пришлось отказаться от услуг данного поставщика.

Оценка качества услуг

При аутсорсинге услуг в области ИТ, например центров обработки данных, существуют способы оценки качества предоставляемых услуг посредством привлечения независимого аудитора, обладающего необходимой экспертизой и лицензией на проведение данных работ. Так, стандарт SAS 70 (SAS70.com) позволяет аутсорсинговой компании получить подтверждение о том, что его система внутреннего контроля в области ИТ и соответствующих процессов адекватна требованиям заказчиков и соответствует лучшим практикам в отрасли. К сожалению, существующие стандарты в области ИБ не предусматривают аналогичные подтверждения для аутсорсеров услуг в данной области.

Для успешного партнерства при аутсорсинге ИБ очень важно найти хорошего поставщика услуг, которому можно доверять, однако еще важнее определить внутри организации следующее: что делается самостоятельно, а что передается на аутсорсинг. Организациям приходится проводить такие оценки постоянно, так как использование аутсорсинга зависит:

• от величины риск-аппетита организации;
• от ограничений бюджета;
• от собственной компетенции;
• от собственных операционных возможностей и т.п.

В общем случае большинство организаций будут использовать смесь: выполнять часть функций И Б самостоятельно, а часть передавать на аутсорсинг. Конечно, не стоит забывать и о том, что есть вещи, которые ни в коем случае нельзя отдавать на аутсорсинг. Например, политика ИБ всегда должна контролироваться самостоятельно, даже если вам помогает ее создавать какой-либо консультант.

Комментарий эксперта Илья Сачков, эксперт Group-IB Действительно, проблема развития аутсорсинга ИБ в доверии. О западном подходе к аутсорсингу не может быть и речи, пока компании-интеграторы не будут честными. Я и мои коллеги в качестве независимых аудиторов провели исследование среди 20 крупнейших компаний по ИБ, которые оказывают услуги аутсорсинга. Нас, как потребителей, волновало следующее: 1. Несут ли поставщики услуг материальную ответственность за нарушение SLA. Кроме  того,   нас   интересовала следующая информация: Какую материальную ответственность несут поставщики услуг? Насколько она велика? Какой понесенный заказчику ущерб будет оплачивать поставщик? Каким образом заказчик будет доказывать ущерб? Учитывается ли репутационный ущерб? По результатам опроса, 71,4% респондентов несут такую ответственность. Среди компаний, попавшихся "нам в руки", десять из двадцати ответили положительно, в пяти из оставшихся десяти компаний ущерб должен быть доказан в судебном порядке через арбитражный суд, и в одной компании стоимость не может превышать тройной месячной платы за услуги аутсорсера. В четырех же других -размер выплаты не превышает стоимости одного месяца. Репутационный ущерб никто не будет оплачивать. Как фиксируется ущерб, толком нам не объяснил никто. 2. Через какое время после фиксации инцидента специалисты готовы выехать на территорию заказчика? Наши дополнительные вопросы: Есть ли в компании ночное дежурство/дежурство по выходным и праздничным дням? Сколько инженеров бывает на таком дежурстве и уровень их квалификации? Какие действия предпримут они, когда приедут на место инцидента? Имеется ли специальное оборудование по реагированию на инцидент ИБ? Могут ли они выступать в качестве экспертов/компьютерных криминалистов в суде? Опрос показал, что в течение четырех часов на место инцидента готовы выехать 64,3% поставщиков. Только две компании из двадцати имеют круглосуточное дежурство. При этом в одной из этих двух компаний количество инженеров равно одному человеку. Становится интересно, что будет происходить, когда инцидент произойдет ночью в двух или трех компаниях. Но все же этот результат лучше, чем не иметь ночных дежурных совсем. Уровень профессиональной квалификации инженеров - молодые специалисты. Специальное оборудование есть только у одной из 20 компаний, также как и опыт судебной экспертизы. Вопрос "Что будет делать специалист, когда приедет к заказчику?" поверг людей в шок. Ответы: "по ситуации", "морально поддерживать" и т.п. Некоторые кидали трубку. Мы говорим об аутсорсинге и доверии? 3. К сожалению, вопроса о том, можно ли заказчику провести аудит ИТ- и ИБ-инфраструктуры поставщика (раз уж речь идет о проблеме доверия), в нашем опросе не было. Но это достаточно важный вопрос. Однако тут ситуация обстоит лучше, чем описывалось выше. 15 из 20 компаний готовы пройти процедуру аудита, выполненного заказчиком. Одна компания, которая обладает сертификатом ISO 27001, спросила: "Зачем вам проводить нам аудит, когда у нас есть замечательный сертификат ISO 27001?". При этом данная компания забыла сказать, что по ISO 27001 сертифицируется выбранная область безопасности, например HELP DESK или биллинговая система, а не вся безопасность компании. А главное, ISO 27001 - это сертификация менеджмента безопасности, а не ее стойкости и надежности. Не секрет, что у российских компаний, обладающих ISO 27001, случаются инциденты, и о них даже можно найти информацию. Подводя итог нашему мини-опросу, я могу от своего имени заявить, что Россия не готова к переходу на аутсорсинг ИБ. Интеграторы гоняются за прибылью и забывают об элементарной честности при прохождении опросов. О каком доверии мы можем говорить? Спасибо специалистам следующих компаний за помощь в проведении мини-опроса: Nestle, Трансаэро, Ингосстрах, ТНК-ВР, Сбербанк.