In English

Российский аутсорсинг ИБ-услуг не спешит расти

05.12.2014, Холина Виктория
Издание: Cnews
Темпы развития российского рынка аутсорсинга информационной безопасности существенно ниже, чем в США и Европе. По мнению представителей компаний, ситуация будет меняться по мере внесения поправок в действующее законодательство, как это, например, происходит в сфере защиты персональных данных. Кроме того, со временем будут выработаны четкие критерии оценки качества услуг, что повысит доверие со стороны потенциальных заказчиков.

Число инцидентов в области информационной безопасности ежегодно растет. Уходящий год ознаменовался целой серией громких скандалов, связанных с утечкой конфиденциальных данных. В сентябре 2014 г. в открытом доступе были опубликованы пароли от почтовых ящиков «Яндекса» и Mail.ru, затем база пополнилась 5 млн паролей пользователей почтового сервиса Google. И эти случаи далеко не единичны.

Как отмечают специалисты IBM в своем отчете Cyber Security Intelligence Index 2014, практически для всех крупных компаний (это организации с числом сотрудников от 1 до 5 тыс. человек) среднее количество ИБ-событий за год превышает 91 млн. По оценкам аналитического центра Zecurion Analytics, потери российских и зарубежных компаний в 2013 г. превысили $25 млрд. При этом угрозу для бизнеса представляют не только сторонние злоумышленники и инсайдеры, но и вполне лояльные сотрудники, чья невнимательность и необдуманность действий нередко становятся причиной утечек информации.

В Zecurion Analytics посчитали, что по сравнению с 2012 г. в 2013 г. общий ущерб от внутренних инцидентов информационной безопасности вырос на 25%. Впрочем, вопросы ИБ становятся все актуальнее не только из-за увеличивающейся цены халатности работников и роста активности злоумышленников. Существенное влияние оказывают и другие факторы. Среди них – продвижение компаний в социальных сетях, распространение облачных сервисов и мобильных приложений и, наконец, усиливающийся тренд BYOD.

ИТ-специалистам приходится все больше времени посвящать вопросам информационной безопасности. При этом одни стремятся переложить часть ответственности на плечи сторонних подрядчиков, другие уверены, что эта функция неотделима от основного бизнеса. Например, Евгений Зубов, руководитель отдела информационной безопасности департамента сетевой интеграции компании «Ланит», уверен, что аутсорсинг информационной безопасности как услуга не оправдан. «Если взглянуть на проблему глубже, то окажется, что смысл даже не в том, чтобы снять с себя бремя управления сложной инфраструктурой ИБ, а в том, чтобы переложить ответственность за инциденты на поставщика услуги. И здесь важно четко понимать, сколько стоит такая ответственность. Думаю, что не дешевле собственного штата специалистов, лично отвечающих за все. Давайте представим на секунду, что какой-то банк отдал сервис проверки своей почтовой корреспонденции на спам кому-то «на стороне». Согласитесь, звучит более чем странно», – говорит он.

Российский рынок ИБ-аутсорсинга – миф или реальность

В России рынок аутсорсинга информационной безопасности ежегодно растет, хотя и не такими темпами, как на Западе. По оценкам ИТ-компаний, пока он находится только на начальной стадии развития. «Как и рынок ИТ-аутсорсинга в целом, рынок аутсорсинга ИБ находится в стадии становления, т.е., еще только определяются критерии качества и размер стоимости услуги, формируется портфель», – говорит Андрей Мелузов, руководитель департамента ИТ-аутсорсинга компании «Корус Консалтинг».

Число компаний, предлагающих услуги по аутсорсингу информационной безопасности, пока еще невелико. По словам Владимира Дрюкова, руководителя направления аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет», уже само их наличие говорит о том, что сам рынок есть, и он имеет все предпосылки для быстрого роста. «Сегодняшний рынок уже делает первые шаги к массовым и унифицированным услугам. До этого большая часть сервисов делалась «на заказ», – подчеркивает Владимир Дрюков. – Кроме того, на рынке мы наблюдаем интересную тенденцию: некоторые компании активно ищут возможности для получения услуги ИБ-аутсорсинга в России и, не найдя их (а нужно сказать, что предложение отечественных компаний далеко не полное), уходят к крупным иностранным MSSP-провайдерам. При этом уровень доверия к западным услугам, а тем более западным «облакам» невысок».

Кто формирует спрос на услуги

По мнению участников рынка, дефицит квалифицированных специалистов – один из основных факторов развития аутсорсинга информационной безопасности. Особенно актуальна эта проблема для предприятий малого и среднего бизнеса. Как правило, услугой активно пользуется малый и средний бизнес, – не сомневается Роман Романов, CEO PentestIT LLC. Небольшие компании, предоставляющие услуги в сети интернет, не могут себе позволить содержание специалиста по ИБ. Как правило, интернет-ресурсы именно таких компаний становятся целью злоумышленников. Что касается крупных холдингов, то, с одной стороны, публичные компании очень серьезно относятся к сохранению коммерческой тайны, поскольку любая утечка данных может негативно сказаться на их репутации и стоимости акций. С другой стороны, масштабы бизнеса и темпы его развития зачастую не позволяют им оперативно реагировать на новые угрозы.

Первыми компаниями, пришедшими к необходимости аутсорсинга, стали крупные нефтяные корпорации. Сегодня также сервис пользуется спросом, в частности, у банковского сектора, телекома, ритейла. «Аутсорсинг ИБ в некоторой части крупного бизнеса – следствие стремления увеличить свою капитализацию и выработку из расчета на одного сотрудника, – комментирует Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.». – Средние и мелкие компании, не имеющие штата своих сотрудников, обращаются к поставщикам услуг по ИБ, заключают с ними договора и тем самым закрывают все актуальные вопросы. Если говорить о федеральных органах, то у них, как правило, есть свой собственный штат специалистов по ИБ, и на аутсорсинг они отдают только некоторые виды услуг».

Российские компании, как правило, не передают сторонним подрядчикам сервисы информационной безопасности, критичные для бизнеса. «Стандарты и регламенты, аудит бизнес-процессов, приведение документации вполне могут быть проведены на стороне, – говорит Максим Волков, директор департамента информационных технологий «СБ Банка». – А сбор, анализ и использование не обезличенных данных, связанных с наблюдением за состоянием инфраструктуры, должны оставаться в банке». Стандартной практикой стала передача бизнесом на аутсорсинг рутинных операций и процессов, требующих круглосуточного мониторинга.

Решение, что именно передавать на аутсорсинг, зависит от ряда факторов. Например, передав на аутсорсинг поддержку антивируса, предприятие может без труда поменять одного провайдера услуг на другого. В других случаях возникает риск, что компания попадет в зависимость от провайдера. «Сейчас рынок аутсорсинга ИБ сильно фрагментирован, на нем преобладает технический аутсорсинг определенных подсистем (межсетевого экранирования и т.п.) и аутсорсинг консалтинговых услуг (например, в области персональных данных, PCI DSS т.п.)», – делится мнением Дмитрий Дудко, руководитель проектов по информационной безопасности Центра компетенции информационной безопасности компании «АйТи».

Сложности оценки

Один из основных факторов, сдерживающих развитие аутсорсинга информационной безопасности – отношение со стороны заказчиков. «Передача на аутсорсинг процессов ИБ – это скорее вопрос доверия. Например, в принципе невозможно передать аутсорсеру ответственность за риски при защите персональных данных, – делится мнением Юрий Соловкин, начальник управления организации проектов банка «Интеркоммерц». В банках, как и других организациях, есть контуры, не связанные с доступом к персональным данным. В данном случае передача процессов на аутсорсинг имеет право на существование. К примеру, могут быть переданы системы предотвращения вторжений, межсетевые экраны, серверы антивирусной поддержки, средства фильтрации вредоносного контента и т.д., расположенные по периметру корпоративной сети».

Нередко проблемы связаны со сложностью выбора провайдера и отсутствием четких критериев оценки эффективности оказанных услуг. Оценить эффективность аутсорсинга информационной безопасности сложно, а количество выявленных инцидентов и времени реагирования не всегда отражают уровень защищенности и качество оказанных услуг. Кроме того, важно понимать, что даже договор SLA не дает полной гарантии. «Рынок только развивается, есть много недобросовестных компаний, – говорит Алексей Сабанов. – Для того чтобы сформулировать способы оценки, необходимо начать с определения критериев оценки, а их пока нет. В связи с отсутствием четких критериев, правил и регламентов качество оценивается исключительно субъективно. Иногда в качестве способа оценки можно встретить метод оценки степени удовлетворенности клиентов».

Несмотря на осторожное отношение компаний к перспективам передачи информационной безопасности на аутсорсинг, рынок продолжит расти. «Сами компании (их бизнес) взрослеют от года к году, а вместе с этим приходят управление на базе риск-менеджмента, комплексный подход компаний к оптимизации бизнес-процессов, – комментирует Павел Моисеев, директор по качеству компании «Онланта». Это ведет к тому, что начинает использоваться более зрелая модель управления в части информационной безопасности». Кроме того, аутсорсинг информационной безопасности имеет все шансы стать повсеместным трендом, если будут внесены изменения в действующее законодательство. Например, как это постепенно происходит с вопросами защиты персональных данных.

Центральный федеральный округ