Тарас Дира, STEP LOGIC: Мы видим запрос рынка на аутсорсинг процессов ИБ
Текущим летом системный интегратор STEP LOGIC анонсировал расширение направления аутсорсинга ИБ сервисами по управлению базовыми решениями, которые входят в инфраструктуру большинства отечественных организаций. Почему компания запустила новые услуги сейчас, как изменились требования заказчиков за последние 5 лет и для кого в настоящий момент актуален аутсорсинг ИБ в России, рассказывает директор центра сервисов информационной безопасности STEP LOGIC Тарас Дира.
Как изменился рынок аутсорсинга ИБ за последний год?
Тарас Дира: Рынок аутсорсинга ИБ продолжает расти. Во многом этому способствует внешняя обстановка. Многие ИБ-специалисты эмигрировали из России, поэтому искать сотрудников «в штат» компаниям стало еще сложнее. С наибольшими проблемами столкнулся бизнес, который не связан с ИТ или гособоронзаказом, такие организации не могут предоставить бронь от призыва.
Если говорить про технологии, то здесь мы видим значительный прорыв благодаря развитию решений, которые способны эффективно обнаруживать и предотвращать угрозы. В частности, искусственный интеллект и машинное обучение позволяют более точно анализировать данные, их источники и выявлять аномалии, а также реагировать на угрозы в режиме, близком к реальному времени. Кроме того, в ряде случаев мы научились прогнозировать инциденты, выявляя паттерны и тренды, и заранее принимать адекватные меры по защите активов.
С точки зрения задач, радикальных изменений я не заметил. Рынок аутсорсинга ИБ достаточно сформированный и зрелый. Можно отметить, что фокус сместился на продукты отечественных производителей, и большинство заказчиков планируют проекты по импортозамещению. Однако в нашей сфере традиционно много российских решений, которые могли конкурировать с западными, и мы активно с ними работали. Сейчас в портфеле STEP LOGIC порядка 500 доступных ИБ-решений. Всегда было и есть из чего выбирать.
Стоимость услуг аутсорсинга ИБ сильно варьируется в зависимости от потребностей заказчика, размера инфраструктуры, сложности систем и т.д. В целом же в связи с ростом конкуренции заметен тренд на повышение качества и доступности услуг аутсорсинга.
Почему компания STEP LOGIC запустила новые услуги ИБ-аутсорсинга именно сейчас?
Тарас Дира: Мы расширили направление аутсорсинга ИБ, потому что увидели реальный запрос рынка на более качественную и глубокую проработку в части защиты информации. Нашим заказчикам уже недостаточно услуг, покрывающих рутинные задачи по поддержанию работоспособности отдельных средств, требовался выход на уровень, который позволит полностью управлять процессами ИБ.
По этой причине мы обогатили стандартные сервисы по технической поддержке оборудования и ПО новыми и расширили экспертизу по классам продуктов. Сегодня недостаточно поставить один класс защиты, даже небольшой компании требуется целый спектр решений: как минимум антивирус, межсетевой экран, защита почты и веб-трафика. У крупного бизнеса, помимо этого, возникает еще вопрос комплаенса — соответствия требованиям регуляторов, которые постоянно изменяются и ужесточаются.
Наиболее популярны среди наших заказчиков услуги по управлению межсетевыми экранами и оборудованием сетевой безопасности внешнего периметра, крипто-шлюзами, шлюзами защиты почты, расследованию инцидентов ИБ. Почему именно они? Тот же межсетевой экран сегодня — это сложное устройство, которое выполняет множество критических функций: его используют в качестве маршрутизатора, классического межсетевого экрана, сетевого антивируса, защиты от вторжений и сетевых атак. Чтобы правильно его применять и настроить, необходимо иметь глубокую экспертизу и понимать, как устройство работает, как функции накладываются друг на друга, какие есть ограничения и риски. Поэтому сервис по управлению таким оборудованием и пользуется спросом.
Еще одним фокусным направлением нашей деятельности является предоставление услуг SOC. Сейчас мы развиваем его сразу в двух направлениях: поддерживаем собственный продукт на базе технологической платформы для автоматизации анализа данных и расследования инцидентов STEP SDL и оказываем сервис с применением коммерческих SIEM.
По Вашим наблюдениям, для кого актуальны услуги аутсорсинга ИБ в России?
Тарас Дира: Большинство компаний не готовы содержать ряд узких специалистов из-за экономической нецелесообразности: высокой стоимости таких сотрудников и сложности поиска на рынке труда кадров экспертного уровня. Для решения данных проблем некоторые процессы информационной безопасности и передаются на аутсорсинг.
Рассмотрим типовой проект. Как правило, заказчиком является крупная отечественная компания, относящаяся к ритейлу, общепиту, здравоохранению, которой требуется аутсорсинг ряда продуктов по ИБ. Они нуждаются в сервисе с гарантированными параметрами, качеством услуг, SLA. При этом необходима гибкость и оперативность подключения, так как со временем объемы услуг могут расти или уменьшаться.
Наиболее целесообразно передавать на аутсорсинг сложные комплексные процессы информационной безопасности, требующие глубокой экспертизы и наличия профессионалов из разных отраслей, поэтому на таких проектах у нас работает сразу несколько выделенных специалистов.
Как правило, мы предлагаем заказчикам выстраивать отношения поэтапно, начиная с технической поддержки (или, если необходимо, с аудита), и далее постепенно расширять перечень передаваемого функционала, углубляя взаимодействие. Накопленный опыт и знание инфраструктуры заказчика позволяют точнее подстраиваться под требования, развивать и обогащать предоставляемые услуги, а выделенный менеджер осуществляет контроль их качества.
Какие параметры следует закладывать в SLA для аутсорсинга ИБ?
Тарас Дира: Заказчик определяет параметры SLA сам, он закладывает их в техническом задании на услугу исходя из потребностей, бизнес-процессов и того результата, который хочет получить.
Естественно, у всех параметры разные, но существуют и общепринятые метрики. К ним прежде всего относится доступность сервиса, обычно ее измеряют в процентном соотношении за определенный промежуток времени: в течение года, месяца и т.д. Из-за всеобщей цифровизации ИТ-системы становятся неотъемлемой частью бизнеса и его процессов, поэтому любой их простой критичен. Данные передаются через сервера, проходя через системы безопасности, а выход из строя любого элемента этой цепочки останавливает работу всего механизма.
Второй метрикой, которая присутствует практически в любом техническом задании, является время принятия задачи в работу. Ряд обращений к нам не связан с аварией или поломкой. Заказчику может требоваться консультация или информация по функционированию системы, чтобы запланировать изменение или расширение функционала. По этой причине очень важно понимать, как быстро подрядчик возьмет эту задачу в работу и как быстро он ее решит.
Собственно, время решения задачи — это третий параметр, который чаще всего присутствует в SLA. Здесь могут быть нюансы, так как этот параметр не всегда напрямую зависит от подрядчика. Возможно, придется обращаться к вендору, а как быстро он отреагирует — неизвестно. Поэтому чаще всего эта метрика прописывается с определенными оговорками, например, указывается стандартное время решения, но в случае обращения к производителю оно может быть увеличено.
Вообще тема SLA очень обширная, метрик существует множество, они могут различаться и быть специфичными для разных организаций. Например, в моей практике встречались требования к определенному проценту ложноположительных инцидентов, чтобы подтвердить точность настройки систем защиты SOC, в первую очередь, SIEM.
Меняются ли требования заказчиков?
Тарас Дира: За последние 5 лет революции на нашем рынке не произошло. Постепенно набирает силу тренд роста уровня зрелости заказчиков. Компании стали лучше работать с рисками информационной безопасности и их осознавать, измерять в понятных для бизнеса величинах. Увеличивается как степень компетенции клиентов, так и ожидания по качеству предоставляемых услуг. И это выражается отнюдь не в сокращении времени реагирования или приема заявки — эти параметры как раз остались на прежнем уровне, а в желании получить экспертизу по всему спектру потенциальных угроз и функционалу тех продуктов и услуг, которые мы оказываем. Нужна качественная услуга с понятными метриками и результатом, который позволит повысить уровень безопасности.
Каковы, на Ваш взгляд, перспективы российского рынка аутсорсинга ИБ?
Тарас Дира: Не буду оригинальным и предположу, что рынок продолжит расти, поскольку появляются новые угрозы и риски, ужесточаются требования регуляторов, а диджитализация компаний будет только увеличиваться.
По моему мнению, большой прорыв на рынке аутсорсинга ИБ может произойти за счет технологий, связанных с машинным обучением и искусственным интеллектом. Уже сейчас многие производители работают над системами, которые в автоматическом режиме (то есть фактически в режиме реального времени) могут обнаруживать угрозы и предпринимать шаги для их подавления без вмешательства человека. Однако пока существующие разработки требуют серьезной настройки, их нужно обучать, действия корректировать, они могут допускать ошибки. То есть их действия нужно контролировать, чтобы заказчик получил ожидаемый результат.
Возьмем широко применяемый ChatGPT, мы им, кстати, тоже активно пользуемся в работе, — отличный инструмент для поиска информации, обработки больших объемов, написания скриптов даже без знания языков программирования. Но эта технология не гарантирует качество услуги, то есть у нас нет точной уверенности в его конечном результате, а заказчикам нужен именно он.
Таким образом, пока специалист в аутсорсинге — это незаменимое звено. И он должен быть все более опытным, прокачанным и квалифицированным, потому что технологии становятся сложнее, и, да, появляются инструменты, но ими надо уметь пользоваться, а это требует подготовки, обучения и опыта.