Аутсорсинг безопасности в России

Алексей Лукацкий, менеджер по развитию бизнеса, Cisco Systems

Пожалуй, нет темы в сегменте информационной безопасности, которая вызывала бы такие споры и дискуссии, как аутсорсинг. Именно поэтому редакция журнала "Information Security" приняла решение о проведении опроса среди ведущих российских и зарубежных компаний, предлагающих такие услуги отечественному потребителю. Сразу надо отметить, что под аутсорсингом безопасности в данном случае мы понимаем не все возможные сценарии предоставления услуг, а только связанные с дистанционным управлением средствами защиты.

Участники исследования

Результаты данного обзора действительно отражают реальное положение дел с аутсорсингом безопасности в России - в опросе участвовали либо руководители компаний, либо руководители подразделений, ответственных за предоставление услуг дистанционного управления защитой (рис. 1). При этом 57% всех респондентов работают на этом рынке свыше 2 лет, а еще 21% вышли в этот сегмент меньше 3 месяцев назад (рис. 2).

Если во всем мире аутсорсинг безопасности реализуется, как правило, для периме-тровых систем защиты, то в России ситуация противоположная, что не может не вызывать удивления (рис. 3). Большинство заказчиков не горит желанием пускать внешние компании в святая святых своей сети - во внутреннюю безопасность. Проводимый около года назад круглый стол на эту тему, на который были приглашены десятки крупнейших отечественных компаний, показал, что многие заказчики не доверяют эту критичную область в системе своей безопасности внешним контрагентам; в отличие от защиты периметра корпоративной сети.

Возможно, такой перекос в результатах произошел из-за отсутствия единого толкования термина "аутсорсинг безопасности". Учитывая ответы на следующие вопросы, можно предположить, что многие респонденты под аутсорсингом понимали дистанционное обновление антивирусных средств или систем предотвращения атак. Однако этот вид услуг не совсем отражает наиболее распространенное толкование термина "аутсорсинг безопасности".

Пока у нас нет провайдеров услуг аутсорсинга национального масштаба (рис. 4). Только 20% аутсорсинговых компаний имеют больше 10 клиентов, готовых отдавать управление своей безопасности в чужие руки. Для большинства респондентов это непрофильный или сопутствующий бизнес. Отчасти это объясняется неготовностью самих заказчиков; отчасти - несоответствием возможностей респондентов запросам наиболее требовательных клиентов.

Парадоксы

Показательно, что 35% респондентов, предлагая услуги аутсорсинга, не подписывают соглашения о качестве обслуживания - SLA (рис. 5). А это значит, что отсутствуют критерии оценки эффективности аутсорсинга, выполнения поставленных целей и т.д. Иными словами, свыше трети всех компаний не несут никакой ответственности за низкое качество своих услуг, так как само понятие "качество" никак не определено и не контролируется. С другой стороны, почти 80% респондентов гарантируют определенный уровень безопасности. Сравнивая ответы на 5-й и 6-й вопросы, возникает определенный парадокс. Свыше трети не согласует с заказчиком уровень защиты, но многие из них гарантируют его (рис. 6). Как можно гарантировать то, что не определено?

После такого парадокса уже "нормально" выглядят результаты ответа и на 7-й вопрос (рис. 7). Раз уж мы смогли гарантировать безопасность, не определив ее уровень и показатели качества, то так же мы можем "нести" и финансовую ответственность. Кстати, эта тема тоже не так проста, как кажется на первый взгляд. Во-первых, не определив SLA и не сделав его частью договора, размер финансовой, а также любой иной ответственности может быть абсолютно любым. Мы никогда не дойдем до выплат в случае нанесения ущерба заказчику, так как в договоре не прописано, за что отвечает аутсорсинговая компания, а за что нет. Именно эти вопросы прописываются в SLA. Достаточно вспомнить подключение к Интернету или к операторам мобильной связи. В таких договорах обычно не прописано время, в течение которого оператор имеет право не предоставлять связь по каким-либо техническим причинам. А если оно и указано, то не согласованы инструменты его измерения. Как следствие, невозможность подключения в течение нескольких часов или даже суток не влечет для оператора никаких последствий. То же самое относится и к провайдерам аутсорсинга безопасности.

Второй аспект темы финансовой ответственности связан с суммой покрытия нанесенного в результате инцидента ущерба. Одной из причин неразвитости системы страхования информационных рисков в России явилось именно неумение адекватно посчитать стоимость информационных активов, которые мы защищаем. А ведь ущерб от многих атак не всегда связан с прямым ущербом информации - существуют еще и репутационный ущерб, судебные иски, снижение лояльности клиентов, рост их текучести, упущенная выгода и т.д. Но даже если бы мы смогли посчитать ущерб, то в России практически нет аутсорсинговых компаний (исключая западных игроков), которые способны возмещать этот ущерб в полном объеме. Только представьте себе, что провайдер услуг безопасности, весь оборот которого составляет $50-100 млн, столкнулся с ущербом в миллионы долларов? Как он будет покрывать эти убытки? Самостоятельно он это сделать не в состоянии, а страхование информационных рисков в России не работает...

Есть куда расти

Отказ от заключения SLA очень тесно связан с вопросом про наличие портала для клиентов (рис. 8). Ряд западных компаний, например, Arcana или Ubiqube, предлагают специальный инструментарий для самообслуживания заказчиков. Именно с его помощью потребитель может в любой момент времени и из любой точки контролировать выполнение SLA, получать необходимую статистику, создавать отчеты и т.д. В противном случае всегда остаются вопросы к степени доверия той информации, которую предоставляет аутсор-синговая компания. К сожалению, в России меньше четверти компаний предлагают такие порталы своим заказчикам.

Многие респонденты оказывают локальные услуги аутсорсинга безопасности (рис. 9). Но информационные ресурсы, требующие дистанционного мониторинга и управления, расположены не только в крупных региональных центрах, но и в небольших городах и даже поселках, не говоря уже об удаленных площадках в слож-нодоступных или непростых с точки зрения климата местах. В этом случае часть услуг просто невозможно реализовать из-за отсутствия соответствующих каналов связи. И конечно, как только мы переходим на глобальное рассмотрение ситуации в масштабах всей России, то возможность выезда на территорию заказчика в течение 4 часов не всегда возможно реализовать физически (рис. 10).

Нельзя сказать, что вопрос о концепции ITIL критичен для аутсорсинга безопасности, но он показывает, что многие процедуры и процессы в этой области пока не стандартизованы (рис. 11). Каждая компания по-своему решает однотипные вопросы - управление инцидентами, проблемами, конфигурацией, доступностью, непрерывностью и т.п. Переход на рекомендации ITIL позволит снять многие дублирующие операции и повышенные издержки.

Рис. 12 и 13 показывают, какими решениями, как правило, управляют центры аутсорсинга. С точки зрения зарубежных решений 77% всех продуктов выпущены всего четырьмя производителями -Cisco, Symantec, Check Point и IBM ISS. С точки зрения российских решений явных лидеров нет, что, видимо, связано с тем, что отечественные продукты по безопасности не до конца ориентированы на дистанционное управление со стороны аутсорсинговой компании; хотя ситуация постепенно меняется.

Модели аутсорсинга

 

Примечательно, что на российском рынке представлены все возможные варианты предоставления аутсорсинга (рис. 14). Наибольшее распространение получил вариант управления уже приобретенными заказчиками системами защиты. Это исторически самый первый вариант аутсорсинга, когда заказчик сначала покупал средства безопасности, а потом задумывался о том, как ими управлять.

Четверть всех заказчиков задумались о финансовой стороне вопросов аутсорсинга и не покупают системы защиты, доверяя этот процесс аутсорсинговой компании, которая сдает такое оборудование в лизинг/аренду. С точки зрения заказчика, это благоприятно влияет на финансовые показатели компании, снижая налоги, уменьшая срок амортизации. Кроме того, такой подход позволяет своевременно обновлять систему защиты на самую последнюю версию, не дожидаясь окончания срока службы с точки зрения бухгалтерии. И, наконец, некоторые компании, как правило, операторы связи, предлагают Centrex-модель, в рамках которой система защиты располагается на территории аутсорсинговой компании. Такая модель допустима для услуг отражения DDoS-атак, инспекции электронной почты и Web-трафика, сканирования безопасности и ряда других.

Выводы

С одной стороны, больше половины всех игроков этого рынка работают на нем свыше 2 лет, что позволяет надеяться на то, что они обладают большим опытом оказания таких услуг. Большой интерес к аутсорсингу повлек за собой включение в бизнес многих компаний соответствующего вида деятельности - свыше 20% за последние 3 месяца. С другой стороны, многие компании не до конца понимают всех особенностей аутсорсинга безопасности, то есть взятия на себя ответственности за чужую безопасность. Это невозможно без подписания SLA, определяющего взаимоотношения сторон. Надеюсь, что через год-другой ответ на вопрос "Подписываете ли вы SLA с заказчиком?" будет на 100% положительным.

Комментарии экспертов

Тарас Соколик, начальник отдела проек жирования систем связи ЗАО "Орбита"

Оказание услуг по аутсорсингу бизнес-процессов в области информационной безопасности (ИБ) - довольно молодое, но в то же время перспективное направление. Если рассматривать мировой опыт, то подобные услуги начали активно оказываться в последнее десятилетие.

Вместе с тем имеется ряд проблем, тормозящих развитие данного сегмента рынка. Наиболее актуальной из них является вопрос доверия заказчика исполнителю. Ведь на откуп сторонней организации передаются, помимо прочих, особо ценные активы: непрерывность бизнеса, защищенность персонала и клиентов компании.

При этом можно выделить две группы потребителей услуги. Первая - это заказчики построения системы ИБ, передавшие данную систему на аутсорсинг исполнителю проекта. Вторая группа - это потребители, уже имеющие систему ИБ и рассматривающие вопрос ее передачи на сопровождение сторонней компании.

Если по первой группе проект внедрения безболезненно перерастает в проект сопровождения, то со второй группой значительно сложнее. Анализ потребностей заказчиков из второй группы показывает, что одним из основных сдерживающих факторов является отсутствие транспарентности оказываемых услуг, и, как следствие, невозможность управления рисками нарушения информационной безопасности обслуживаемого бизнес-процесса. При этом нередки случаи, когда проблема усугубляется отсутствием понимания у исполнителя идеологии аутсорсинга и подменой его аутстаффингом (предоставление персонала определенной специализации).

Разумным решением является проведение предварительного обследования передаваемых на аутсорсинг процессов заказчика с их доскональным описанием и оценкой рисков. Вместе с тем моделирование системы ИБ заказчика с учетом передачи на обслуживание процессов сторонней организации позволяет наглядно продемонстрировать преимущества аутсорсинга и нивелировать возникающие опасения.

Михаил Левашов, начальник службы информационной безопасности банка "Союзный'

С точки зрения потенциального потребителя услуг аутсорсинга по обеспечению информационной безопасности (ИБ) предприятия представляют наибольший интерес такие услуги, которые трудно и неэффективно реализовы-вать силами работников организации. В частности, можно выделить следующие вопросы.

1. Обеспечение доступа на объекты и в помещения. Эта задача решается внешними организациями (вневедомственная охрана, ЧОП) достаточно эффективно при наличии согласованной с заказчиком политики обеспечения такого доступа, включая использование современных автоматизированных систем контроля и ограничения доступа (АС).
2. Обеспечение работы системы управления сетевыми инцидентами безопасности. Сюда в первую очередь нужно отнести инциденты, связанные с атаками типа "отказ в обслуживании", вирусными атаками, включая шпионское ПО, а также другими событиями, фиксируемыми средствами защиты ЛВС от внешних угроз.

Также сюда относятся и внутренние сетевые угрозы, связанные с работой корпоративной электронной почты, сетевой активностью пользователей и т.д.

Такую сложную и дорогостоящую задачу, как анализ (и в некоторых случаях ограничение) веб-трафика, кон-тентный анализ (с ограничением) корпоративной почты, другие современные сложные сервисы по обеспечению ИБ также целесообразно отнести на аутсорсинг.

Один из самых сложных вопросов связан с гарантиями аутсорсера. Эти гарантии нужно конкретизировать в договоре в зависимости от конкретных параметров обслуживания, зафиксированных в приложении к договору или в SLA. Понятно, что значительный ущерб компании-аутсор-серы самостоятельно компенсировать не смогут. И здесь вопрос решается путем страхования соответствующих рисков. Причем страхователями должны выступать не потребители услуг, а сами аутсорсеры.

Дмитрий Слободенюк, коммерческий директор ГК "Антивирусный центр"

На сегодняшний день аутсорсинг информационной безопасности является одной из наиболее популярных и обсуждаемых тем. Однако интерес к данному виду сервиса пока превышает масштабы реальных проектов. На наш взгляд, это обусловлено рядом причин. Во-первых, рынок аутсорсинга, и особенно аутсорсинга информационной безопасности, в России еще только формируется. Многих заказчиков беспокоит момент передачи "на сторону" систем обеспечения безопасности своего бизнеса. Для того чтобы избежать возможных рисков при подписании договора об аутсорсинге ИБ, ставится вопрос о гарантиях безопасности и соглашении SLA.

Опыт оказания услуг аутсорсига ИБ в России показывает, что это направление очень перспективно.