Количество атак на отечественные ИТ-системы растет, компаниям приходится постоянно отбиваться от DDoS-атак, мониторить новые угрозы, проводить тестирования на проникновение. Все это эффективнее решается передачей «на сторону» по сервисной модели. Почему аутсорсинг задач информационной безопасности (ИБ) в России в 2023 году станет одним из самых горячих и динамичных направлений?
Глобальность вопроса
Мировые расходы на управляемые услуги в области информационной безопасности (ИБ) вырастут к 2026 году до 43,7 млрд долларов по сравнению с 22,8 млрд в 2021 году, прогнозируют аналитики агентства MarketsandMarkets. Эта динамика связана с резким ростом киберактивности. Соответствовать темпам изменения ИБ-угроз сложно и дорого, поэтому для подавляющего большинства задач в области киберзащиты оптимальным становится вариант аутсорсинга.
Спектр передаваемых вовне задач требует всестороннего изучения профиля риска компании, критичности бизнес-процессов, а также оценки текущего уровня зрелости процессов ИБ и планов развития. По итогам анализа каждая отдельная организация формирует перечень того, что следует передать на аутсорсинг, а что оставить в ведении собственных специалистов. Главным критерием здесь становится недостаток ресурсов и узкоспециализированных компетенций.
Второй фильтр сортировки – нежелание специалистов по безопасности выполнять определенные низкоприоритетные задачи в ущерб более сложным и высокоприоритетным.
Третий критерий – политики компании, которые диктуют, что в отношении определенных задач и процессов (например, оценки внутренних угроз) следует привлекать внешних исполнителей.
По понятным причинам, даже в условиях роста популярности аутсорсинговых сценариев в кибербезопасности доминирует гибридный подход, ведь определенный круг ИБ-задач все равно остается внутренней практикой компании.
По данным Deloitte, 99% организаций передали на аутсорсинг хотя бы один элемент ИБ-ландшафта: чаще всего вовне выводятся функции управления уязвимостями, мониторинг, обучение и аудит кибербезопасности.
Наши тренды
В России ИБ-компетенции в корпоративном секторе просели в сфере расследования инцидентов и выработки рекомендаций для дальнейшей работы по выявленным уязвимостям и угрозам. Обращения по установлению причин киберинцидентов существенно участились. Например, произошел сбой в работе приложения компании, но по какой причине это случилось, ее сотрудники установить не могут. Услуги по реагированию и расследованию инцидентов ИБ становятся все более востребованными в связи с ростом числа кибератак: это могут быть и компьютерные группы реагирования на чрезвычайные ситуации, которые помогают организациям собирать доказательную базу и митигировать выявленные риски, и мониторинг в формате Security Operation Center (SOC) - своего рода «центр управления» ИБ-составляющей работы компании, в который входят специалисты разных профилей, по разным технологиям и задачам для решения инцидентов.Как правило, это коллектив из более чем двух десятков человек: набрать его в штат малых и средних компаний с нуля и загрузить работой настолько, чтобы это было экономически выгодно, – задача сегодня практически нереализуемая.
Можно говорить, что нехватка экспертизы в силу кадрового голода, а также из-за вызовов текущего момента (отток отечественных специалистов, дефицит ИБ-инструментов из-за ухода глобальных вендоров) приводит к ситуации, когда нужные ИБ-навыки концентрируются в определенных точках на карте рынка. Только так получается обеспечить их доступность для максимального числа компаний.
Может, мы сами?
Конечно, ИБ-компетенции можно взращивать внутри компании. Но такой подход под силу только очень крупным организациям, ведь сформированный центр компетенций возьмет на себя функции провайдера MSS, будет выполнять роль SOC, управлять средствами защиты, расследовать инциденты, мониторить ИБ-ландшафт на предмет новых угроз, а также заниматься обучением сотрудников.
ИБ в современных условиях – крайне дорогое направление, и развитие собственных компетенций здесь экономически выгодно только при условии полной загрузки задачами. По сути, это тоже аутсорсинг ИБ, только для себя, по модели «одна точка входа ИБ-задач для всех единиц холдинга».
Говоря о новых перспективных форматах ИБ-аутсорсинга, можно отметить непрерывное тестирование на проникновение в формате услуги. После каждого сканирования происходит верификация на уязвимости, формируется отчет и отправляется специалистам внутри компании. В связи с этим, растет запрос на полную передачу ИТ-инфраструктуры по направлению информационной безопасности на аутсорсинг.
В ситуации выбора – набрать штат местных администраторов для обслуживания систем в соответствии с требованиями местного законодательства или купить готовое сопровождение инфраструктуры у провайдера – решение в пользу второй опции принимается в 99,9% случаев.
Развивается формат «директор по ИБ как услуга». Он предполагает оплату услуг удаленного или приходящего по мере необходимости руководителя кибербезопасности, который выполняет определенный объем задач, связанных с работой штатных специалистов.
Например, компания имеет в России только производственные мощности. Вся ИТ-инфраструктура, процессы, политики, бизнес-приложения для учета находятся за рубежом. При этом предприятие генерирует некий объем данных, которые нужно собирать, хранить и передавать по определенным правилам, а также обеспечивать их надежную защиту. Такие сценарии требуют привлечения ИБ-руководителя в условном режиме «три раза в неделю по полдня», что позволяет закрывать все требования к предприятию в части соответствия работы с данными законодательству, базовым сценариям управления потоками данных, а также их киберзащиту.
Пока далеко не весь бизнес готов к адаптации уже наработанных, а также новых форматов аутсорсинга безопасности. Однако динамика здесь положительная – при столкновении с серьезными ИБ-инцидентами сознание меняется.
Подобные инциденты неизбежно возникают по мере совершенствования стратегий хакеров и усложнения ИТ-систем компаний. Обращение к провайдерам безопасности превращается в неизбежность. Крупные компании сегодня стандартно привлекают к расследованию инцидентов внешних игроков. Они работают как «Кибер-ЧОП», когда в пределах 30 минут после зарегистрированного инцидента к заказчику выдвигается группа экспертов провайдера для сбора фактов, улик и начала расследования.
В нынешних условиях, когда атакуют со всех сторон, регуляторные требования становятся все жестче, а компетентных людей на рынке нет, ИБ как услуга представляется оптимальным выбором для большинства компаний.