×

18 Июля 2016 12:24
1818
0

Слушайте подкаст программы:

 

Сколково и InfoWatch: Серия бесплатных Вебинаров по Информационной безопасности c 29 июня по 17 августа.

 

1. В чем сильные и слабые стороны аутсорсинга ИБ?

2. В чем современная мотивация или демотивация к ИБ-аутсорсингу?

3. Вы верите в ответственность собственной службы ИБ-аутсорсинга? Кто-то смог ответить и предложить адекватную компенсацию потерь с той и другой стороны?

4. Аутсорсинг ИБ решает проблемы или создает их еще больше?

5. Инвестиции в ИБ: целесообразнее вкладывать в свою команду или платить за аутсорсинг?

6. Аутсорсинг ИБ: необходимость для всех или удовольствие для избранных?

7. Каковы перспективы аутсорсинга ИБ в контексте общей тенденции переноса инфраструктуры в облака. Быть или не быть?


29 июня стартовал совместный проект Фонда «Сколково» и ГК InfoWatch - «Кибербаталии», который проходит в формате еженедельных «кибербаталий» с экспертами рынка: Group-IB, Solar Security, R-Vision, Аванпост, RUSIEM, Entensys, Security VisionСтахановец.

 

Конкурирующие вендоры и сотрудники различных бизнес-подразделений внутри одной компании впервые сойдутся для открытых дискуссий по наиболее острым вопросам в сфере информационной безопасности.

 

Партнерами проекта выступают ассоциация BISA, JSON.TV, компания Крибрум, холдинг Анкор и Информзащита. Проект завершится 17 августа.

 

JSON.TV представляет полную расшифровку "Кибербаталии":

 

 

Олег Седов: Сегодня, как я уже анонсировал в Facebook битва титанов. Александр Бондаренко – компания R-Vision, Эльман Бейбутов – компания Solar Security.

 

Тему, которую мы сегодня предложили рассмотреть с помощью компетенций участников «Развивать свой отдел ИБ или брать ИБ на аутсорсинг?». Как всегда, сначала несколько слов о BISA, что это? Это блоги, интервью, дискуссии, мероприятия, журналы, конференции. Двадцать третьего сентября милости просим на BIS Summit этого года, московский, не выездной. Это событие, которое желательно не пропустить.

 

И прежде чем начать баталии, я сегодня попросил бы джентльменов буквально вашу точку зрения: в чем актуальность сегодняшней темы на ваш взгляд?

 

Эльман Бейбутов:

-Коллеги, добрый день. Сложно говорить об актуальности темы ИБ аутсорсинга, именно мне, потому что я буду отстаивать свою позицию, что это важно. И начну с той статистики, которую мы ведем на протяжении года, может даже полутора лет. По той статистике, которую мы собираем в своем центре мониторинга реагирование на инциденты.

 

Актуальность темы, прежде всего, обусловлена тем, что вектор угроз меняется, ландшафт угроз меняется, угрозы усложняются, атаки становятся более комплексными и сложными.

 

И это неизбежно ведет к тому, что необходимо применять новые техники, новые подходы для защиты. Одна из техник - это применение сервисного подхода, сервисной модели к обеспечению ИБ. Почему именно сервисного подхода? Об этом мы поговорим отдельно, а в целом, одной из предпосылок к ИБ аутсорсингу, к тому, что необходимо усложнять и взращивать бесконечно компетенции во внутренней команде, либо принимать решение о ИБ аутсорсинге, ту компанию, ту команду, которая с этими угрозами уже сталкивалась. Это предпосылка номер один, а актуальность к тому же еще обусловлена тем, что очень мало компаний могут позволить себе запустить собственную службу реагирования в режиме 24/7. Статистика, к которой я буду обращаться, говорит ровно о том, что критичные инциденты случаются как в дневное, так и в ночное время. Актуальность защиты информресурсов в режиме 24/7 - налицо, еще мы поговорим об объективности и непредвзятости компании, которая компаниию заказчика может обеспечить сервисами и защитой его ресурсов.

 

Конечно же, своим безопасникам доверять стоит и нужно, но степень доверия тоже отражена в статистике. Большинство угроз, все-таки внутренние, это в большей степени пользователи, но степень халатности IT – администраторов тоже присутствует.

 

Рынок злоумышленников, уже построен по сервисной модели, и есть там команды, группировки, которые собирают данные по пеленгации и торгуют этими данными, есть команды, которые собирают досье на организации и торгуют этими данными. Среди хакеров нет единой группировки, которая занималась бы всем этим сразу.

 

Олег Седов:

- А аутсорсинг?

 

Эльман Бейбутов:

- А аутсорсинг – это вызов, то есть невозможно в компании сделать и воссоздать полную систему безопасности, которая позволила бы защищаться от столь сложного натиска.

 

Компания должна заниматься профильной деятельностью, а взращивать внутри компании компетенции по ИБ для режима реальных атак, целенаправленных атак просто невозможно. Для этого есть аутсорсер, который специализируется на конкретных векторах.

 

Александр Бондаренко:

- Коллеги, я хочу обозначить, что я не являюсь абсолютным антагонистом и глобальным противником аутсорсинга. Действительно, наша компания делает продукты для службы внутренней безопасности, и сейчас аутсорсинг все чаще рассматривается как альтернатива собственной службе ИБ в большей или меньшей степени. Не столько как дополнение, сколько замена или закрытие каких-то вещей, которыми компания не умеет заниматься.

 

Где-то это формирующиеся новое восприятие, где-то даже навязанное восприятие, когда мы говорим про аутсорсинг, мы говорим про аутсорсинг в широком смысле. То есть это не только сервисы по мониторингу, но и аутсорсинг, может быть, в части обслуживания средств защиты, оказания каких-то услуг, вообще как консалтинговый аутсорсинг.

 

Самая опасная, на мой взгляд, тенденция - считать, что аутсорсинг это способ сэкономить на собственном персонале, на собственных компетенциях, или «мы это не можем себе позволить, давайте мы это отдадим на аутсорсинг».

 

Олег Седов:

- В чем современная мотивация или демотивация к ИБ аутсорсингу?

 

Александр Бондаренко:

- Я начну с критики, занимаю позицию против.

 

Олег Седов:

- Кого?

 

Александр Бондаенко:

- Я скажу об одной демотивации, которую я вижу у реальных заказчиков, демотивацию к аутсорсеру. Первое. Исследование, которое было опубликовано в прошлом году, на тему того, что останавливает компании перед движением в облака. Конечно же, речь шла не о ИБ, которую передают в облака, а о передаче инфраструктуры в облака, передаче приложений в облака. И здесь семьдесят три процента сказали, что это вопрос безопасности. То есть когда мы что-то передаем на сторону, передаем не только деятельность, передаем и данные.

 

Это всегда не простая вещь, и где-то попросту невозможно, особенно, когда мы говорим про ситуацию с разными странами. Я был на конференции по ИБ в этом году, и там общались с интеграторами, и они не рассматривали облачные сервисы, облачные решения в области ИБ в силу того, что нельзя (не желательно) передавать данные, тем более сведения о собственных спектрах безопасности, в облака. Тем более, что есть закон, который напрямую это запрещает.

 

Четыре года назад, когда я работал в компании – интеграторе, мы общались с канадской компанией, которая предоставляла сервис мониторинга инцидентов безопасности. И естественно, что главным блокировщиком было то, что: «как так все наши данные из России будут уходить в Канаду, страну близкую к США. Второй момент. Один из аргументов аутсорсера состоит в том, что вы сэкономите деньги. Вот на слайде - исследование в 2015г. Мы видим здесь функции, которые передавались на аутсорсинг, и эта история имела некий успех в плане сокращения расходов. Здесь сказано, что шестьдесят процентов проектов передачи ITSecurity на аутсорсинг были успешны в плане финансовой эффективности и сорок процентов – нет. На мой взгляд, это оптимистический показатель, пусть будет как есть, но в сорока процентах случаев вы не экономите деньги. Опять же вопрос в том, на сколько интенсивна и важна эта функция, которую вы передаете. Если эта функция важна, ей нужно большое количество ресурсов, и задействует аутсорсера на сто процентов, надо понимать, что вы будете фактически оплачивать работу этого специалиста, который работает на вас, маркетинг этой команды, директорат этой компании, дополнительные расходы, которые закладываются в стоимость этого человека.

 

Поэтому вопрос того, что аутсорсинг дает однозначный выигрыш по цене, я считаю очень спорным. И третий вопрос –который скорее боязнь безопасника. Очень часто возникает ситуация, что если нанимается сторонняя компания, у руководства возникает вопрос: « А вы мне зачем?, Зачем я плачу вам зарплату и для чего я вас нанял, если вы сами это сделать не можете и просите деньги, чтобы нанять кого-то со стороны?»

 

 

Эльман Бейбутов:

- С позицией Александра по некоторым пунктам полностью не согласен, начнем с того, что не стоит путать аутсорсинг и аутстафинг. Задача аутстафера быть в команде неопределенное время и выполнять определенную функцию, достаточно ресурсную, которая требует высокой компетенции, и дальше отойти от компании – заказчика, чтобы компания, результаты этой функции, попыталась применить у себя внутри. Задача аутсорсера предоставить услугу, непрерывный процесс, который будет позволять пользоваться результатами, плодами этой функции на протяжении длительного времени. Задача аутсорсера сделать услугу экономически целесообразной, сделать ее масштабируемой, распределить внутренние ресурсы компании, чтобы стало выгодно подключаться к аутсорсингу.

 

Дальше скажу про ключевые мотивации, с чем сталкиваются компании, которые приходят к нам. Первое, с чем приходится столкнуться компании - нужен квалифицированный персонал. Вторая проблема, это качественный перевод процесса в режим 24/7, а третья, это необходимость запуска функции здесь и сейчас. Эта скорость, с которой необходимо реализовать ту или иную бизнес потребность, которая в компании появилась, и сделать ее безопасной. Это аргументы в пользу компетенции, а аргументы в пользу экономической целесообразности следующие.

 

В первой части рассказал про сложность и направленность современных хакерских атак. Их невозможно детектировать без репутационных баз, которые многие вендоры по своим сенсорам, по своим агентам собирают и продают в виде подписки на конкретные источники информации о теневых, черных сегментах Интернет. Подписки стоят очень дорого, вендора ориентированы на очень зрелые компании на MSP – провайдеров западных, которые не скупятся и платят по сто, сто пятьдесят, двести тысяч за одну репутационную базу в год. Ни одна российская компания не способна купить себе хотя бы две. Одну они, может быть, и купят - та же Лаборатория Касперского, с кем мы сотрудничаем или Symantec, которая тоже представляет данного рода подписку. Они одну может быть потянут, а агрегировать информацию от разных дорогих поставщиков этих данных и использовать ее только в своих целях, в рамках своей организации, это очень дорого. Поэтому задача ИБ аутсорсинга дать возможность расшарить эти знания через представления своих сервисов. И эта мотивация к ИБ аутсорсингу.

 

Олег Седов:

- На мой взгляд, очень убедительная позиция, но каким-то отдает маркетингом, очень много правильных слов, которые не нуждаются ни в каком подтверждении. Вопрос к тебе, Александр.

 

Александр Бондаренко:

- Во-первых, мы говорим про аутсорсинг в широком смысле. Действительно, я понимаю, у Эльмана опыт с тем сервисом, который предлагает SolarSecurity,естественно, нисколько не оспариваю, что в определенных аспектах аутсорсинг может быть экономически эффективным. Я оспариваю сам подход к тому, что аутсорсинг в широком смысле, это однозначно выигрыш по деньгам. Более того, если мы говорим про 24 на 7, во-первых, не всем нужен24/7. Тем, кому 24/7 все-таки нужен, это ведь не означает, что мы нанимаем аутсорсера. Он ночью работает, а все остальные в компании благополучно спят. Возникает вопрос, хорошо, что-то происходит, кто будет реагировать? Компания Х, которая спит, действительно, компании не нужно нанимать очень большой персонал, но однозначно рассматривать то, что «все, ребята мы отдали и теперь вам не нужны ночные смены», наверное, тоже не всегда.

 

Если мы говорим про аутсорсинг какой-то редко используемой функции, либо когда, нанятый нами персонал не загружен на 100%, есть основание для экономической эффективности. Если же у нас объем работы, который мы собираемся отдать на аутсорсинг настолько велик, что мы и собственный персонал загружаем работой полностью, соответственно этот же объем перейдет аутсорсеру, и он точно так же посадит такое же количество людей работать на 100%.

 

И здесь вопрос того, что аутсорсер сможет каким-то образом размазать эти ресурсы на другие компании, я не очень понимаю, потому что эти люди будут загружены абсолютно на 100%, только если аутсорсер настолько компетентен, что у него КПД намного выше, чем КПД собственного персонала компании.

 

Олег Седов:

- Верите ли вы в ответственность собственной службы ИБ или ИБ-аутсорсера? Кто-то смог ответить и предложить адекватную компенсацию с той или другой стороны?

 

Эльман Бейбутов:

- Смотрите, с этим вопросом я сталкиваюсь очень часто, и на него у нас ответ в трех плоскостях. В первую очередь, хотелось бы определиться, о какой ответственности идет речь. Конечно же, ответственность аутсорсера существует, и мы ее разделяем на две ипостаси, третью ответственность прокомментирую отдельно. Ответственность за параметры услуги фиксируются в контракте, те самые SLA, то самое время реагирования, время оповещения, время принятия решения так или иначе их можно образмерить и задать. Также есть методики оценки, выдерживает ли аутсорсеры те SLA. Можно приписать штрафные санкции, что мы регулярно делаем за невыполнение SLA, SLA по указанию функций или же SLA за отсутствие сервиса как такого, если у компании аутсорсера что-то случилось с технологической платформой.

 

Олег Седов:

- Это в теории, а на практике?

 

Эльман Бейбутов:

- А на практике ровно так и есть. У нас есть контракт, по которому мы отвечаем деньгами в оценке стоимости контракта.

 

Олег Седов:

- В каких случаях?

 

Эльман Бейбутов:

- В случаях, если мы превышаем время реагирования на инцидент, то есть инцидент пришел, он критичный, у нас по SLA должны среагировать в течение 20 минут и еще в течение 25 минут дать первую рекомендацию, дать отчет об инциденте. Если мы на каком-то из порогов вываливаемся за этот временной промежуток…

 

Олег Седов:

-То вам выгодно скрыть и не показать?

 

Эльман Бейбутов:

- А это невозможно сделать, дальше вступают в силу наша техническая прозрачность. У нас есть возможность дать доступ к консоли, например, для клиента и для его специалистов. Они могут сделать оттуда все необходимые выгрузки, они могут перепроверять сколько угодно тщательно, но, по сути, методология наша проста. Мы сами свои просрочки по SLA под ковер не прячем, это наша репутация, о которой тоже стоит поговорить отдельно, и мы ей очень дорожим.

 

Второй момент, это параметр под названием качество сервиса, есть ли у аутсорсера ответственность за качество предоставляемой услуги, и вообще как образмерить качество сервиса, которая дает та или иная аутсорсинговая компания. Вопрос очень сложный, он из области консалтинга, когда нужно сравнить двух поставщиков по многим критериям, и выбрать поставщика наиболее компетентного, наиболее грамотного с хорошим опытом, с какими-то отраслевыми кейсами, может быть.

 

Дальше вопрос, как эти кейсы выразить в некоторых метриках, их можно называть метриками оценки эффективности сервиса, метриками открытия инфраструктуры. Метриками общей защищенности, и это мы делаем в аналитических консолях, здесь можно подискутировать с Александром. В этой поляне мы схожи, то есть мы понимаем какие процессы ИБ в качественном измерение можно образмерить.

 

Олег Седов:

-Нет, ребята, о продуктах мы дискутировать не будем.

 

Эльман Бейбутов:

- Третья стезя, о которой много кто думает, но боятся спросить: «Отвечает ли ИБ аутсорсер за украденные деньги из компании в результате какого-то инцидента».

 

Парировать я буду следующим образом, именно бизнес принимает решение, в конечном счете, вкладывать инвестиции в собственную команду или нанимать ИБ – аутсорсера. Он эти риски для себя посчитал, он видит возможности своей компании, он понимает, как эти риски можно нивелировать, минимизировать, и он для себя принял решение, то есть он использует не собственную команду, а ИБ аутсорсинг в качестве инструмента решения своей проблемы защиты своих ресурсов.

 

Здесь я привел картинку про ответственность перед бизнесом за украденные деньги. Ответственность, она ни в какие контракты с ИБ аутсорсингом или трудовые отношения, вписана не может быть, и, наверное все согласятся, что ни собственный безопасник, ни внешний безопасник в конечном счете не отвечает за объем бизнеса, в котором он работает.

 

Олег Седов:

- Мне одному кажется, что на месте бизнеса, мне бы такая формулировка ответа не понравилась.

 

Эльман Бейбутов:

-Смотрите, как внутренняя служба ИБ, так и внешняя компания, условно говоря, подрядчик -это всего лишь инструменты, с помощью которого бизнес решает задачи по ИБ. Ни тот, ни другой не являются каким-то акционером или субъектом, который наделен правом или наделен полномочиями бизнесу предоставлять услугу в объеме его собственных денег, то есть услугу, которую можно было привязать к обороту компании.

 

Олег Седов:

- Это очень сложно будет доказать.

 

Эльман Бейбутов:

-Да, и речь идет о том, что и та и другая команда выполняет технический набор мероприятий, одна делает это собственными ресурсами, другая делает это с той командой, которая представляет шаринг .

 

Олег Седов:

- Готов ли аутсорсер отвечать за утечку данных?

 

Эльман Бейбутов:

- Не готов, потому что эта ответственность, которая остается внутри организации и никогда не зааутсорсится. Если мы не придём к модели расчета стоимости услуги ИБ аутсорсинга, условно говоря, годового оборота объема компании, в которую аутсорсер начинает вкладываться, а это уже модель совершенно иного подхода обеспечения ИБ, то такой подход неприемлем. Здесь можно отметить, что на практике есть страховые компании.

 

Олег Седов:

-Компании страховые есть, практики страховать неподтвержденное нету.

 

Эльман Бейбутов:

- Тем не менее, среди банков очень популярно страховать банкоматы, стоящие где-то в непроверенных зонах.

 

Олег Седов:

- От вандализма. Понятный случай.

 

Эльман Бейбутов:

- А чем это не случай, связанный с хищением денег.

 

Олег Седов:

- Утечка данных?

 

Эльман Бейбутов:

-Да, утечку данных сложно подтвердить, а еще более сложно показать, по чьей вине она произошла. Ведь и в том и в другом случае, мы говорим про конкретные профили или конкретные параметры услуги. Например, есть перечень инцидентов, который видит аутсорсер или перечень инцидентов,по которым внутренняя компания оповещает бизнес. Реагирование, как правильно сказал Александр, всегда остается на компании заказчике, на компании, которая все эти функции запустила, если она не среагировала вовремя, если среагировала, но не должным образом. Как это измерить? Как понять, что началась зона ответственности самой компании за происходящий инцидент, и как понять, что служба внутренняя ИБ или аутсорсер выполнили грамотно и достоверно все свои обязательства?

 

Олег Седов:

-Ты кого сейчас спрашиваешь?

 

Эльман Бейбутов:

- Это вопрос из того, что за украденные деньги не несет ответственности ни собственная команда, ни аутсорсер.

 

Олег Седов:

- А я знаю правильный ответ на этот вопрос. Кто у нас первым использовал слово SLA, тебе и отвечать. За разграничение полномочий, где начинается ответственность, где заканчивается. Разве SLA это не прописывается?

 

Эльман Бейбутов:

- Прописывается, вот ровно реагирование на инцидент, в плане конкретных настроек на систему безопасности, проведение организационных мероприятий, административных мероприятий с сотрудниками – эта ответственность остается внутри компании.

 

Олег Седов:

- Александр, тебе слово. Пока к тебе два вопроса. Первый вопрос пришел от публики: « Почему Саша так волнуется?» Не заметил волнения какого-то, а вот сосредоточенность во взгляде, да.

 

Александр Бондаренко:

- Тема серьезная

 

Олег Седов:

- Тема серьезная, тема непростая. И тогда с тебя первое заявление о твоей позиции.

 

Александр Бондаренко:

- Конечно, я буду критиковать, я буду выступать против. Не столько выступать против, сколько опять же, если вы думаете, что ответственность можно переложить на аутсорсера, то это очень большая ошибка, ответственность на аутсорсера переложить невозможно в широком смысле.

 

Да, есть отдельные аспекты, в части SLA – это скорость реагирования, но надо понимать, что если мы смотрим с точки зрения бизнеса, то бизнесу совершено неважно, что произошел данный инцидент, утекли данные или украли деньги, все это без разницы, все молодцы, все сработали классно, но денег нет! Это ерунда и плюс к тому же идея, с которой мы начинали.

 

С одной стороны те, кто предлагают, продают аутсорсинг, они, как один из аргументов, приводят тот факт, что вы экономите. Вы можете отказаться от собственного персонала в каком-то объеме, передать это все на аутсорсинг, но при этом, когда что-то происходит, аусторсер говорит: «Моя граница вот здесь заканчивается и дальше задачи компании». Это не уловка, это, в общем-то, логично, просто не все обращают на это внимание. Определенная грань, за которую аусорсер скорее всего зайти не сможет или его не пустят. Соответственно, здесь надо понимать, что как раз ответственность, плюс - это сторонняя компания, которая заботится о собственной финансовой стабильности и естественно, что у нее в договорах все будет очень аккуратно прописано, если у нее грамотный юрист, для того, чтобы нельзя было подкопаться и зацепиться.

 

Пример не столько ИБ, сколько из личной жизни. Когда у меня супруга подписывала контракт на роды в московской клинике, там было много чего написано умного и самое главное, что была такая обтекаемая фраза, что практически за любую проблему, которая может возникнуть в процессе оказания медицинских услуг, медицинское учреждение ответственности не несет. Вот поэтому, что-то подобное есть в контрактах почти всех компаний. И поэтому Эльман обозначил, что они отвечают за скорость реагирования, и это логично, но если они классно среагировали за 20 минут, но на том конце провода никого нет, то деньги ушли, инцидент есть, естественно, что будут при этом говорить про то, что, может быть, аутсорсер виноват в том числе.

 

Я верю в персональную ответственность, если мы говорим про собственную команду, если она есть – это, во-первых, персональная ответственность, репутация, то есть человек думает о собственном имени, если он собирается работать на рынке, рынок очень маленький, все друг друга знают, и если тебя вышибают из какой-то компании, потому что ты допустил колоссальный провал, мощный инцидент и т.д., то устроиться в серьезную структуру за хорошие деньги у тебя резко снижается. И люди об этом думают.

 

Олег Седов:

- Подожди, то есть с аутсорсингом та же самая картина, его репутация точно так же стоит в заложниках.

 

Александр Бондаренко:

- Да, но как раз вопрос доказательства. Ведь аутсорсер всегда может парировать, что по договору я все сделал, но для бизнеса важно, чтобы не утекли деньги, условно говоря, что вся цепочка сработала, и в этой цепочке человек, который находится внутри компании, он, как говорится, своей шкурой отвечает за конечный результат, если он есть.

 

Только если мы полностью все передали на аутсорсинг или какой-то аспект полностью на 100% передали, тогда есть еще какой-то повод предъявить и в SLAпрописывать что-то большее. Но с другой стороны, вот пример, может не столько аутсорсинговый , но пример суда и инцидента очень крупной компании Target. Несколько лет назад крупный взлом, 40 миллионов карт утекло, здесь на слайде вы видите оценочный размер ущерба компании. Гендир компании сразу после взлома обвинил компанию Trustwave, которая является подрядчиком, консультантом по теме платежной безопасности и соответствует требованиям PCIDSS. Генеральный директор обвинил компанию в том, что они составила отчет, что все хорошо и все в порядке, но Target взломали. На что Trustwave, конечно же, стал парировать, что, ребята мы всю свою работу сделали, то, что мы видели как аудиторы - там все в порядке, и статус PCI compliance не означает, что вас не взломают и т.д. То есть у них была перепалка, дальше была история с судом, банки понесли ущерб из-за всего этого и должны были перевыпускать карты для клиентов и т.д. Соответственно – новые иски.

 

Олег Седов:

- То есть их юристы на месте не сидят.

 

Александр Бондаренко:

- Да, но, по-моему, год назад, оба банка, которые подали в суд, отозвали свои иски. То есть инцидент кончился ничем. Примеров успешных судов, когда подрядчик - аутсорсер понес (заплатил за некие действия), я не знаю. По какому-то договору SLA потребовать возмещение за инцидент или ущерб… я не очень верю в это.

 

Олег Седов:

- Потребовать можно.

 

Александр Бондаренко:

- Потребовать можно, но не получится, скорее всего. Здесь прозвучала тема страхования. Я думаю, что это один из возможных выходов.

 

Олег Седов:

- В наших условиях ты веришь?

 

Александр Бондаренко:

- В долгосрочной перспективе, да.

 

Олег Седов:

- То есть не сегодня.

 

Александр Бондаренко:

- Я знаю, что уже сегодня есть страховые продукты, которые предлагаются крупными страховыми компаниями, но они пока узко специализированы и, самое главное, что здесь никак не завязана тема аутсорсинга.

 

Допустим, когда мы покупаем достаточно дорогой автомобиль, страховая компания может сказать, что если вы хотите снизить платежи, пожалуйста, поставьте, допустим, спутниковую сигнализацию с мониторингом. Чем не пример аутсорсинга? А примеров безопасности, чтобы говорилось о том, что мы готовы застраховать, хотите платить меньше, вот у нас есть проверенный некий аутсорсер, мы ему верим, то мы готовы снизить страховые платежи. То есть опять же выгода идет, то есть, если компания получает статус инцидента, ее ущерб покрывается страховкой, а экономия на страховку идет за счет наличия качественного аутсорсингого сервиса. И страховые компании со своей стороны будут заинтересованы в том, чтоб такой качественный аутсорсинг был. Но может эта некая идеалистическая картина, такого сейчас, конечно, нет, это как один из возможных вариантов того, что могло бы быть.

 

Олег Седов:

- В этом тренде пришел вопрос от Руслана Огореева: «Как вы относитесь к введению институтов страхования рисков ИБ страховыми компаниями?». Мне кажется, что более чем востребованный вопрос, что практика перспективная, но пока отсутствующая в стране.

 

Александр Бондаренко:

- Нет, нельзя сказать, что отсутствует. Если мы сейчас попробуем поискать, то страховые продукты найдем.

 

Олег Седов:

- Александр, я знаю предложения страховых компаний по страхованию IT-рисков.

 

Александр Бондаренко:

- Нет, именно ИБ.

 

Олег Седов:

- ИБ, работающих, я пока не знаю. чтобы было на стадии - деньги дали, контракт подписали - это есть, но что до реальных выплат страховых сумм - не знаю таких.

 

Эльман Бейбутов:

- Это основная проблема, что эти компании будут стараться максимально юридически оградить от выплаты.

 

Олег Седов:

- И вот непонятно с кем будет пинг-понг, пострадавшая сторона с кем будет судиться: с аутсорсером или со страховой компанией? И между ними постоянно будет идти пинг-понг.

 

Александр Бондаренко:

- Все-таки пострадавшая сторона должна получать деньги от страховой компании, если она застраховала эти риски, а дальше уже страховая компания может судиться с кем угодно, как мне кажется.

 

Олег Седов:

-Мне кажется хороший вопрос и к месту. Прошу высказать мнение по вопросу: «При использовании аутсорсинга высоко критичной услуги с точки зрения безопасности, всегда существует риск, что при очередной оптимизации бюджета руководство компании, далекое от безопасности, просто закроет финансирование и сервис закроется. Когда есть свои компетенции в данной области зачастую можно оптимизировать внутренние ресурсы и сервис сохранить. Как быть с аутсорсингом

 

Эльман Бейбутов:

- С аутсорсингом тоже есть определенные механизмы, как можно оптимизироваться и сконцентрировать ресурсы на высоко критичные сегменты. Все мы понимаем, что инфраструктура другой компании это парк серверов, парк СУБД, рабочие станции пользователей, каналы связи и т.д. Если копнуть глубже, в этой инфраструктуре всегда есть место критичным бизнес процессам и некритичным бизнес процессам.

 

Если речь заходит об оптимизации в целом бюджета, то аутсорсинг дает механизм гибкости. Представьте себе, что вы купили парк своих систем безопасности и ежегодно платите за них техподдержку. И вот вам пришла установка оптимизироваться, ничего проще, чем перестать платить за тех. поддержку и в некоторых случаях лишиться актуальной информации в этой системе безопасности, и вывести, постепенно из строя. Ничего лучше и интересней внутренняя безопасность не предложит.

 

Внутренняя безопасность ограничена в гибкости, она не сможет по trade in сдать оборудование и получить, может менее производительную железку для решения очень узкой задачи. ИБ аутсорсинг как раз направлен на масштабирование услуги. Поэтому, мне кажется, в этом есть здравая мысль, что ИБ аутсорсинг гибок в обе стороны.

 

 

Олег Седов:

- Посмотрим, что будет дальше. В чем сильные и слабые стороны аутсорсинга ИБ?

 

Александр Бондаренко:

- Вопрос на самом деле скорее продолжение того, что мы обсуждали, то есть те факторы демотивации, которые я называл, тоже отчасти можно сказать некие слабые стороны. Я к тому, что уже сказал, добавлю немного.

 

Олег Седов:

- Сразу твоя позиция.

 

Александр Бондаренко:

- Во-первых, контроль качества, то есть, если мы никак не развиваем собственную команду, и мы не знаем, не понимаем деятельность, которую передали на аутсорсинг, то непонятно, как мы будем проверять, что сервис , который нам оказывается, качественный, ничего в нем не понимая.

 

Давайте возьмем пример какой-нибудь консалтинговой компании. Мы нанимаем компанию, которая должна нам в рамках долгосрочной работы обеспечивать сервис в контексте персональных данных, связанных с актуализации каких-то сведений или же поддержание в актуальном состояние средств безопасности. Если мы не разбираемся в этой тематике, не знаем, что там должно быть, как должно работать, как, с точки зрения законов, должно быть организовано и т.д. То как мы можем быть уверены в том, что тот сервис, который нам оказывают аутсорсерыв этом аспекте, правильный. Никак.

 

Коммуникации внутри компании в силу разных обстоятельств выстраиваются легче, мы не берем экстремальные случаи корпоративных войн и всего остального прочего. Но, так или иначе, особенно в контексте реагирования на те же самые инциденты, когда у нас своя собственная команда, в которой уже выстроены определенные коммуникации, взаимодействует гораздо быстрее. Когда у нас есть сторонняя компания, с ней идет коммуникация, прописанная по определенным SLA ,по всему остальному прочему, внутри компании тоже есть какие-то внутренние правила, по которым она работает.

 

Эльман Бейбутов:

- Это возможность быть информированным о тех методиках и атаках, тех актуальных уязвимостях, которые сейчас применяются. Далее, это, конечно, позволяет очень четко выстроить свои внутренние линии защиты. Условно говоря, поставить не только собаку, а еще дополнительный забор, рубежи ровно в том месте, в котором сейчас могут проломиться. Эта основа основ аутсорсинга, это возможность получить информацию от компании, которая специализируется в конкретной предметной области.

 

Далее, это, конечно же, вопрос компетенции, то есть сильная сторона аутсорсинга, в доступе к ресурсам, которые взращивать у себя долго, дорого и нецелесообразно. Ну и вопрос того самого гибкого ценообразования. Большинство услуг аутсорсинга предоставляются в модели otlix и они двигаются как в плюс, так и в минус. Ровно под те потребности, которые сейчас бизнес диктует для ИБ. Если модель также не устраивает, то всегда есть возможность гибрида.

 

Например, очень часто сравнивают сходность услуг аутсорсинга и инсорсинга, но никогда не отделяют приобретение средств безопасности на себя или аренду их у компании, предоставляющую эту услугу. Вот если подумать, то всегда выгоднее в перспективе трех, пяти и т.д. лет инструментарий держать свой, а для использования этого инструментария привлекать некую стороннюю компанию ИБ аутсорсера, так как она умеет этим инструментарием пользоваться, имеет аналитику.

 

Олег Седов:

- Если на стороне аутсорсера такие потрясающие компетенции ,почему не так просто их обосновать, чтобы за них моментально голосовали?

 

Эльман Бейбутов:

- Я думаю, что можно обосновать, вопрос немного в смене парадигмы. Три, пять лет назад с темой ИБ аутсорсинга, приходя к компании, условно говоря, нас просто не слушали и не хотели внимать. Сейчас парадигма меняется, сейчас, благодаря таким мероприятиям как Кибербаталии, мы выходим на более широкое обсуждение проблемы и люди начинают осознавать, что оказывается ИБ аутсорсер может качественно выполнить определенную функцию в рамках большого процесса, да большой процесс останется внутри организации, но качественное выполнение функции можно передать на аутсорсинг. При этом в рамках этой функции аутсорсеру не обязательно знать никакой конфиденциальной информации, он не получает доступ к данным, он не лезет в базы, он не работает со слоем приложений, так как работают внутренние сотрудники. Он просто работает от сих до сих в рамках своего SLA,выполняет набор рутинных, иногда сложных аналитических операций. Суть в том, чтобы взять у ИБ аутсорсера как у обладателя экспертизы и обладателя методологии, лучшее для своей службы ИБ.

 

Ровно в этом и наш посыл на рынок, мы не заменим никогда целиком службу ИБ в компаниях, мы не возьмем никогда на себя риски бизнеса за инциденты, но мы очень хорошо понимаем, куда мы можем строить свою услугу, свой сервис, для того чтобы качественно повысить уровень защищенности тех ресурсов, которыми компания дорожит.

 

Александр Бондаренко:

- Эльман привел классный пример на тему домов и защиты. Я хочу парировать. Сейчас действительно есть, если мы выйдем за плоскость ИБ, поговорим про физическую безопасность, компании, которые оказывают услуги по мониторингу проникновения в жилище, в дома и т.д.

 

Вот личный пример, я пользуюсь услугами такой компании, действительно, стоит дешево, если сравнивать с наймом собственного охранника, который будет сидеть условно в квартире или в соседнем доме. Однозначно дешево, но при этом есть SLA, естественно компания обещает, что их бригада реагирования приезжает в течение 10-15 минут.

 

Для большинства случаев это достаточно, но именно из-за того, что компания аутсорсер пытается размазать сервис по большому количеству компаний, именно реагирование идет в течение, то есть им нужно время, чтобы доехать, потому что они дежурят не у твоего дома. За 10-15 минут среднестатистический вор, возможно, не успеет покинуть жилище, и они его поймают, но если ты предполагаешь, что у тебя в квартире есть некоторая высокая ценность, люди скорее всего не просто так полезут в квартиру, они будут знать, что она там есть, будут действовать быстро, им хватит 10 минут, чтобы забрать и смыться.

 

Казалось бы, как можно решить данную проблему, можно подписать SLA аутсорсерам, что реагирование 30 секунд на любой вызов, но это будет означать, что этот конкретный аутсорсер скорее всего должен будет посадить бригаду рядом с твоим домом, чтобы обеспечить такой SLA. Это практически аутстаффинг, но это, вроде как аутсорсинг, и мы приходим к тому, что если мы говорим про среднестатистического жителя, у которого не очень много ценностей в квартире, ему вполне хватит такого среднего сервиса за небольшие деньги . А если мы говорим про серьезные ценности, то в этой ситуации без собственной службы не обойтись.То есть мы приходим к тому, что там, где серьезные активы, серьезные цели, разрыв, в случае с аутсорсингом вы можете получить услугу, экономический эффект которой будет нивелироваться, потому что это становится сопоставимым с наймом собственного персонала и вложениями в него.

 

Эльман Бейбутов:

- Все-таки в ИБ и вообще в сфере IT, не все так просто, как в сфере физической. Невозможно поникнуть в инфраструктуру в течение 30 секунд и в течение еще минуты оттуда уже все вынести. Идет фаза подготовки, идет фаза заражения, сбора информации, а потом, может быть продажи этой информации специализированной группировке, которая этим воспользуется. Таким образом, любая атака, целенаправленная даже, заточенная на компанию длится во времени. Задача компании оснастить себя и команду той методологией, которая позволила бы на ранних этапах уже сигнализировать о том, что вектор уже начинается, вектор уже назревает. И этим пользуются компании аутсорсеры, которые могут немного методологически атаку расписать по времени.

 

Олег Седов:

-Тогда тебе вопрос от Руслана Огореева: «Возможен ли такой сценарий: аутсорсер, в контексте деятельности инфраструктуры заказчика контролирует уровень ИБ и дает только рекомендации по мероприятиям защиты, указывая уровень закрытия риска, но не гарантирует 100% защиты?» То есть берет на себя рутину, анализ потенциальных угроз, анализ состояния ИБ конкретного заказчика и выборка решений, а все остальное делает уже сам заказчик.

 

Эльман Бейбутов:

- Есть такой подход.

 

Олег Седов:

- Аутсорсинг ли это?

 

Эльман Бейбутов:

- Если говорить об этом, как о непрерывном процессе, в котором необходима периодичность и некоторое осознанное возвращение к тем результатам, которые были ранее, то это аутсорсинг. Мы такого рода услугу запустили и в некоторых компаниях апробировали. Речь идет о контроле защищенности, это некоторые технические мероприятия, которые позволяют оценить здесь и сейчас уровень риска. Например: мы восстановили сборщиков логов, которые собирают статистику по инцидентам, мы видим уровень гигиены. У нас есть внутренний термин – уровень гигиены по ИБ в организации, он бывает на начальных этапах очень низкий - например, абсолютно нулевая сегментация сетей, сервисы встречаются друг с другом напрямую без какой-то фильтрации. Пользователи, условно, имеют доступ ко всему- это говорит о слабой защищённости, то есть можно оценить с помощью ИБ аутсорсинга уровень защищенности и можно получить рекомендации от ИБ аутсорсинга, как этот уровень защищенности поднять. Ровно этим мы занимаемся.

 

Я отвечаю, как ИБ аутсорсер, этап профилирования в любой деятельности, в любом случае происходит, профилирование – это притирка к инфраструктуре клиента, это понимание его реальной жизни.

 

Олег Седов:

- Как долго он протекает?

 

Эльман Бейбутов:

- Месяц, полтора

 

Олег Седов:

- За деньги заказчика?

 

Эльман Бейбутов:

- Это не входит в состав счета оплаты услуги, то есть у нас этап профилирования, это запуск сервиса, потом идут двенадцать месяцев оказания услуги.

 

Олег Седов:

- Ну что ж, есть чего возразить, Александр?

 

Александр Бондаренко:

- Я думаю, мы дальше будем говорить об этом.

 

Олег Седов:

- Тогда, аутсорсинг ИБ решает проблемы или создает еще больше?

 

Эльман Бейбутов:

- Аутсорсинг компания выбирает не просто так, она его выбирает осознано.

 

Олег Седов:

- Ты как считаешь, проблема или наоборот?

 

Эльман Бейбутов:

- Я считаю, что она решает проблемы и создает новые.

 

Олег Седов:

- Соскочил.

 

Эльман Бейбутов:

- Соскочил, да. Я сейчас поясню. Компания для себя решила закрыть определенную функцию внутри организации по ИБ, она может выбрать ИБ аутсорсинг, как решение этой проблемы. Согласитесь, это решение в данном контексте, но дальше вступают в силу регламенты, регламенты взаимодействия для того, чтобы эта функция, которая передана на аутсорсинг, и результаты отработки этой функции применялись внутри компании в виде входных параметров для продолжения деятельности процесса.

 

В частности могу привести пример с нашим любимым мониторингом инцидентов, но так или иначе, мы должны понимать, что мы оперируем функциями в рамках процесса. Вот решение проблемы ИБ аутсорсером, это закрытие определенной функции, но при этом аутсорсер будет, не то, чтобы требовать, будет ожидать то, что результат этой функции внутри организации будет выполняться, то есть то самое реагирование, то самое изменение политик, стандартов конфигурации, зачищение халатных пользователей, сотрудников IT служб и наведение порядка.

 

Вот если внутренние процессы не формализованы и нет совершенного понимания, как результатами аутсорсера пользоваться, смысла не было тогда приобретать услугу. Поэтому, чтобы компания могла эти результаты в полной мере ощутить, ей необходимо решать очень много внутренних проблем: схемы взаимодействия, регламенты реагирования, понимание критичности.

 

Олег Седов:

- То есть тот самый случай, когда денег нет, опять же, а проблемы прибавились.

 

Эльман Бейбутов:

- Да. И для компании создается, по сути, прецедент. Она передала из процесса ту функцию, которую считала для себя основной, и для нее вскрылся огромный пласт внутренних проблем, о которых она даже не подозревала. Есть у нас примеры, к сожалению, они очень печальны для нас, когда мы оказываем сервис компании, а компания не готова результаты этого сервиса впитывать и применять.

 

Олег Седов:

- Это уровень зрелости?

 

Эльман Бейбутов:
- Это уровень зрелости, уровень взаимоотношений в компании, когда, очень печальный опыт плохих взаимоотношений между ИБ и IT службами, а реагирование на инцидент ложиться на обе эти команды. И как бы эти команды по ИБ не старалась инцидент потушить, иногда без рук конкретных ITадминистраторов, выполнить операции невозможно. Здесь создается прецедент решения абсолютно иного характера проблем: они фундаментальные, они внутренние, это проблемы реагирования на тот результат, который ИБ аутсорсер дал.

 

Александр Бондаренко:

- Эльман обрисовал идеалистическую картину. Мы не обсуждаем конкретные компании, то есть проблема в том, что хороший аутсорсер заставляет компанию начинать работать хорошо, и это основная проблема.

 

Олег Седов:

- После чего перестает быть хорошей аутсорсинговой компанией.

 

Александр Бондаренко:

- Да, но если мы возьмем шире и будем говорить в целом про аутсорсинг, то компании бывают разные. И то, что мы сегодня уже обсуждали, ответственность переложить невозможно, то есть в любом случае, в случае инцидентов, н соответствие требованиям регуляторов и т.д., ответственность будет нести именно эта компания, даже если она передала на аутсорсинг, все равно все шишки будут на этой компании. И это первое, что надо понимать с точки зрения этой проблемы.

 

И второе, в качестве подтверждения, может немного избитая вещь. Но еще раз о ней скажу, это отчет компании Trustwave за 2013 год. Они занимаются расследованием инцидентов. 450 инцидентов с утечкой данных, которые они расследовали, в 63% из этих четырехсот пятидесяти случаев инцидент был связан с тем, что компоненты IT администрирования были переданы на сторону. Нет отчетов с аутсорсингом ИБ, такого еще в принципе нет, не наработано. Но мы имеем очень похожую вещь, в данном случае мы говорим о ITаутсорсинге, о передаче на аутсорсинг IT-функций. И в более чем половине случаев инцидентов утечки данных связана именно с тем, что функция была передана на сторону.

 

Соответственно, я думаю, что можно легко транспонировать эту статистику и на аутсорсинг ИБ, потому что это очень близкое к IT-администрированию. Есть масса примеров, когда консалтинговые компании, достаточно крупные, с именем, теряют носители, ноутбуки, в которых хранится конфиденциальная информация их клиентов, и это все куда-то утекает.

 

Олег Седов:

- Даже не находясь на аутсорсинге, это происходит, ничего страшного.

 

Александр Бондаренко:

- Да, аутсорсинг это всего лишь форма подачи услуги в данной ситуации, поэтому с точки зрения проблемы, эту глобусную проблему я хочу разбавить тем, что тут вопрос правильного выбора подрядчика и, надо понимать, что проблемы с безопасностью могут возрасти.

 

Олег Седов:

-Хорошо, Эльман, что ты скажешь об этих катастрофических 63%?

 

Эльман Бейбутов:

- Я думаю, что оперировать некоторой статистикой зарубежной к российским реалиям не вполне корректно. У меня большой скепсис в целом на некоторые цифры, приводимые большими research лабораториями. Они слишком, может быть, широко мыслят, и это слишком усредненные параметры, дьявол кроется в деталях, и всегда интереснее посмотреть примеры конкретных компаний. Я поэтому и начал с практики, которую мы ведем, потому что она касается в данный момент, например 20-30 компаний. И это очень конкретно и покрывает целевую аудиторию, оно не носит и не претендует на целостность и на всю картинку целиком, но в этом и плюс. Мы не говорим о некоторых усредненных оценках.

 

Александр Бондаренко:

- Это все-таки не усредненная оценка, здесь говорится о четырехстах пятидесяти расследований, которая проводила компания, из которых, по результатам расследований, потому что компания нанимается расследовать, 63% были связаны с третьими сторонами, передавшие администрирование IT на сторону.

 

Олег Седов:

- С другой стороны, это все-таки западная статистика, которая в нашей практике не всегда имеет зеркальное отношение.

 

Александр Бондаренко:

- Ты думаешь, у нас это будет лучше? То есть у нас будет не 63%, а 3%?

 

Олег Седов:

- Не знаю.

 

Эльман Бейбутов:

- У нас есть статистика на одном из слайдов. Мы ведем статистику внешних и внутренних инцидентов, внутренних инцидентов около 63% из квартала в квартал, соответственно внешних 35-37%. Дальше мы смотрим, из чего состоят внутренние инциденты, и у нас есть разделение на три класса: классы, связанные с подрядчиками аутсорсерами, нанятыми компаниями, инциденты, связанные с халатной работой внутренних администраторов и инциденты, связанные с рядовыми пользователями. Так вот, около 9-10% по нашей статистике отводится на аутсорсинг. Около половины, это инциденты, связанные с работой пользователей и процентов 40 – это внутренние администраторы, привыкшие жить по некоторым своим правилам, которые от ИБ отличаются. Поэтому статистика наша, она, наверное, не столь печальная и удручающая. То есть видно ту разницу, то есть 9 -10% против 63%

 

Александр Бондаренко:

- Я соглашусь. Но единственное, что в эту статистику нужно добавить то, что объем передачи на аутсорсинг в западных странах гораздо выше, чем у нас, и поэтому эту статистику нужно сопоставить с тем, а сколько компаний, тех, которых вы мониторите, реально что-то передали на аутсорсинг.

 

Эльман Бейбутов:

- Там речь идет не только об аутсорсинге, а о подрядчиках еще.

 

Александр Бондаренко:

- Тенденция, которая у нас есть - ИБ аутсорсинг это зарождающаяся новая история сама по себе. Соответственно, чем больше будет объем тех, кто переходит на аутсорсинг, тем быстрее эта цифра будет расти.

 

Олег Седов:

- Я думаю, что у каждого сейлза в презентации, должен быть слайд с квадратом Гартнера, где он в правом верхнем углу. Даже если в другом докладе будет другой сейлз, с другим квадратом Гартнера, где он тоже будет в верхнем правом углу. Поэтому статистика вещь лукавая, каждый ее трактует по своему, но, тем не менее, тенденция, которая обозначена, она есть, и я бы не стал ее игнорировать.

 

- Я предлагаю идти дальше. Инвестиции в ИБ: что целесообразней, вкладывать в свою команду или платить за аутсорсинг?

 

Эльман Бейбутов:

- Если мы говорим про инвестиции, то инвестиции надо вкладывать в то, что дает очевидный результат. Результат может быть следующим: снижение риска, повышение управляемости компании, экономическая целесообразность этой инвестиции. Если услуга или функция, которую компания хочет для себя запустить, в терминах ИБ некоторая типовая, рутинная, не требующая какой-то магии или rocketscience, то ее всегда интереснее запускать внутри с помощью собственной команды. Если услуга требует привлечение больших ресурсов, больших инвестиций, то надо очень грамотно посчитать, сравнить яблоки с яблоками и очень вероятно, что придется рассмотреть услуги ИБ аутсорсинга.

 

Я привел пример ниже, именно создание собственного софта, в широком понимании этого слова, с репутационными базами, с режимом мониторинга 24/7, с большим каталогом сценариев мониторинга, с хорошей методологией, как детектирование инцидентов, так и реагирование на инциденты. И очень наглядная картинка получается, если вы посчитаете модель total cost, то есть сетевая модель на инсорсинг и на аутсорсинг.

 

Сила инсорсинга в том, что процесс получается максимально управляемый, все ресурсы для реагирования есть внутри команды, и, в общем-то, тот самый пример про мгновенное реагирование на проникновение в квартиру, это ровно про это. То есть здесь можно ожидать от собственного инсорсинга взрывной реакции. В случае с аутсорсингом, конечно же, речь идет о том, что целиком SOC передать на аутсорсинг невозможно, всегда есть хвост, связанный с реагированием и внутренним расследованием на инцидент, но модель TISO, которую мы регулярно считаем и рисуем для режима 24/7, она расходящаяся. Это значит, что слишком дорого содержать у себя персонал, слишком дорого для одной компании покупать репутационные базы, слишком дорого целиком инсорсить все функции SOC.

 

Модель сервисная, здесь могут быть споры, дополнительные вопросы от аудитории. Она включает в себя наличие небольшой команды реагирования, которая в модель TISO входит. То есть это не стоимость услуги, это стоимость с двумя, тремя людьми в штате, которые остаются в компании с их фондом заработной платы, которая в модель включается для того, чтобы сравнить «яблоки с яблоками». И сходимости или пересечения этих двух графиков можно достичь, если начинать инсорсинг свой резать. То есть оставить режим восемь на пять, убрать репутационные базы, договориться с ментором о каких-то бешенных скидках на SIEM, тогда эти графики могут пересекаться, и как мы часто рисуем на других наших слайдах, режим восемь на пять light инсорса с полноценным мониторингом внешней ИБ компании, может сойтись на таком графике - с перспективой 3 – 5 лет. Это лишь наглядная демонстрация того, что сходимость возможна, но это уже не «яблоки с яблоками», это уже «крысы с яблоками» и т.д.

 

Александр Бондаренко :

- Мне кажется, здесь опять же есть элемент манипуляции сознания.

 

Олег Седов:

- А ты –то какого мнения?

 

Александр Бондаренко:

- Я придерживаюсь мнения о том, что, конечно же, нужно вкладываться в свою команду. Мы здесь не говорим о том, что вкладываться в команду значит нанимать все больше, больше людей, чтобы закрывать какие-то дыры.

 

Любой нанятый человек, это серьезная нагрузка на компанию в финансовом плане. Расширение штата с точки зрения бизнеса это всегда не очень хорошо. Но когда мы говорим про инвестиции в команду - эти же инвестиции могут быть связаны с компетенциями тех специалистов, которых мы нанимаем, либо мы их обучаем. Опять же Эльман сказал, что если это не rocket science, то пускай делают свои люди, если же что-то серьезное, то давай те на сторону. Как раз эта позиция мне не близка, потому что как раз-таки компетенции по серьезным и важным процессам, функциям должны быть внутри компании.

 

Вопрос в том, что здесь видна экономия - если внешняя компания может какое-то техническое средство поставить в форме не лицензионных платежей, а небольших отчислений каждый день. Условно говоря, вот тут сразу видна экономия.

 

На бытовом примере: ты идешь к интернет – провайдеру и не покупаешь роутер за три тысячи рублей, а тебе его предлагают за десять рублей в месяц вместе с платежами. Вроде кажется, что ты его получил практически бесплатно, но если ты посчитаешь, окажется, что ты заплатил больше. Но бывает и так, что ты не можешь сейчас себе это позволить, тебе действительно, лучше растянуть платежи с точки зрения бизнеса. То есть в этом элементе не поспоришь, здесь очень четко это видно, но в плане людей, здесь очень большой вопрос.

 

Моя позиция, что на аутсорсинг имеет смысл отдавать функции, которые позволят разгрузить людей и сконцентрироваться на более важных аспектах с точки зрения бизнеса и тех функций, за которые они отвечают. Иллюстрация того, что компании не любят обучать собственных сотрудников, в итоге получают штат необученных сотрудников, привязываем к этому, что у аутсорсера есть определенная грань, за которую он не переходит и т.д. В этой ситуации получается, что мы переключаемся на аутсорсинг и считаем его панацеей, решением проблем, и, собственно говоря, разрываем цепочку в нашей компании, которая владеет компетенциями, и в итоге, конечный результат получается очень печальный.

 

 

Мое мнение, что обеспечить накопление знаний внутри компании по специфике бизнеса, по специфике безопасности проще, чем надеяться на силу аутсорсинга. То есть возможность нанимать, выращивать молодых специалистов или распределять знания между людьми, чтобы не зависеть от одного конкретного человека, который может уволиться и т.д.

 

В случае с аутсорсером, пока вы работаете с одной компанией, это его проблемы, как у него происходит ротация кадров и как он накапливает знания и т.д. Но если по какой-то причине компания аутсорсер прекращает существование, например: банкротство, компания может быть куплена, компания может перейти в группу других компаний и будет заниматься совсем другими вещами, резко повысит цены, то есть все что угодно может случиться со сторонней компанией, вы ее никак не контролируете. Перейти от одного аутсорсера к другому аутсорсеру можно, но он работает по другой схеме, он все будет делать практически заново. То есть здесь однозначный провал во всех накопленных знаниях, которые были. Передать их, скорее всего, невозможно, то есть прежний аутсорсер не передаст никаким образом в новую компанию.

 

Олег Седов:

- Хорошо, вопрос появился, который из категорий мифов. Зарплата сотрудников аутсорсинга будут ниже? На мой взгляд, не факт.

 

Александр Бондаренко:

- Вопрос связан с тем, что экономия в аутсорсинге достигается за счет сокращения зарплат тех, кто работает в аутсорсинге.

 

Эльман Бейбутов:

- В этом есть доля правды. Кто-то запускает первую линию мониторинга или оповещения в городах отличных от Москвы, с зарплатами, отличными от московских, на тех компетенциях, каких достаточно в этих городах, чтобы организовать смену. Есть первая линия в Красноярске, есть первая линия в Нижнем Новгороде и т.д.

 

Олег Седов:

- Ты говори прямо, сэкономить заказчикам удастся?

 

Эльман Бейбутов:

- Конечно же, удастся.

 

Олег Седов:

- Именно на зарплатах сотрудников?

 

Эльман Бейбутов:

- Я не понимаю вопроса, может быть?

 

Олег Седов:

- У меня есть проблема кадров, у меня выбор: либо взять двух новых специалистов, либо отдать эту функцию тебе на аутсорсинг?

 

Эльман Бейбутов:

- Вот, тогда вопрос хороший. Дальше сравниваем, как быстро два специалиста только лишь своим аналитическим умом и руками закрыть ту функцию, которая требуется от них?

 

Олег Седов:

- Сценарий, когда можно сэкономить существует?

 

Эльман Бейбутов:

- Чисто сравнивая рутинные операции, закрываемые людьми, нет. Это ровно к тому, что команда должна быть команда, заточенная на написание документов, методологий, регламентов, схем взаимодействия.

 

Олег Седов:

- То есть иными словами безопасник, приходя к бизнесу, говорит, что мы отказываемся от двух своих в пользу аусорсера и показывает выгоду - не пройдет?

 

Эльман Бейбутов:

- Он должен сказать, что отказывается от дальнейших финансовых вложений в этих людей , отправки их на курсы обучения и т.д., потому что два человека сходу функцию не закрывают. У них есть уже инструментарий, но у них может быть свой CAPEX.

 

Олег Седов:

- То есть считать нужно по-честному?

 

Эльман Бейбутов:

- Считать нужно по-честному, потому что аутсорсер, он тоже не возьмет и на голом энтузиазме начнет двумя специалистами эту же функцию выполнять, у него есть методологи, инструментарий лицензионные отчисления.

 

Олег Седов:

- Хороший философский вопрос. Перефразирую Наполеона, если руководство не хочет кормить своих безопасников, то придется кормить аутсорсеров. Согласны ли вы с данной формулировкой? Есть ли возможность не содержать как собственных безопасников, так и аутсорсеров? Мне кажется, есть такая возможность, просто отменить риски и забыть о безопасности.

 

Александр Бондаренко:

- Вопрос, как долго это делать. Вопрос, как долго.

 

Олег Седов:

- До первого инцидента.

 

Александр Бондаренко:

- Так или иначе, фраза расхожая про армию.

 

Я убежден, что с точки зрения безопасников, большинство из них скорее всего сейчас склоняются к позиции не принятия аутсорсинга в широком смысле, потому что это, как ящик Пандоры, когда ты его открываешь - передаешь функции на аутсорсинг, и под тобой начинает, условно говоря, шататься кресло.

 

Такие страхи, обоснованы они или нет, они однозначно есть. Поэтому посыл к аутсорсингу в большей степени будет со стороны бизнеса.

 

Например, руководство услышало, что функции можно передать, и руководство уже будет давить на безопасность с точки зрения того, что: «Давайте-ка мы будем сокращать расходы, давайте перестанем вкладываться и расширять собственную команду, а давайте передавать на аутсорсинг». Это тенденция, к которой нужно быть готовой безопасникам, нужно уметь отстоять собственную позицию в плане того, где это уместно и правильно, а где совершенно не уместно и не должно быть.

 

Олег Седов:

- Как понять в каждом конкретном случае?

 

Александр Бондаренко:

- Это вопрос уже скорее к безопасности, какую часть своих функций он готов отдать, и он должен это адекватно оценивать.

 

Олег Седов:

- Давайте перейдем к следующему вопросу. Аутсорсинг ИБ - это необходимость для всех или удовольствие для избранных?

 

Александр Бондаренко:

- Мы говорим про Россию, мы не рассматриваем сейчас зарубежные страны, где другие тенденции немного имеют место быть.

 

Я вижу так, что SMB в России - это в большинстве случаев не нужно, потому что либо компания вообще не задумывается про ИБ, либо они переходят на облачные технологии, то есть им аутсорсится, непосредственно, IT инфраструктура, и они хотят получать сервис безопасности вместе с IT инфраструктурой.

 

Олег Седов:

- Не вопрос ли это гигиены ИБ, когда просто не понимают, зачем безопасность нужна?

 

Александр Бондаренко:

- Я закончу свою мысль, что это вопрос больше к большому бизнесу. Вот им этот аспект актуален, но далеко не все компании правильно понимают, где нужно применить аутсорсинг, а где не стоит этого делать.

 

Если мы говорим про реальный бизнес, это нормальная практика, стараясь ключевые компетенции, ключевые процессы сохранить внутри компании, а все непрофильное - передать на аутсорсинг.

 

Когда речь идет о специфических задачах, где есть серьезный риск для компаний, имеет смысл отказаться от аутсорсинга, сохраняя компетенции внутри компании. Когда мы имеем дело с какими-то непрофильными функциями, не несущими серьезного риска для бизнеса, не имеющими стратегического значения, то есть, по сути, уменьшающие текущие ресурсы компании, которые нужны для реализации более важных задач. Вот эти вещи имеет смысл передать на аутсорсинг, и в том числе, потому что имеющиеся компетенции внутри компании в состоянии проконтролировать все то, что получается. Вот тогда нет конфликта с ожиданиями.

 

У нас все наоборот в безопасности, переворачивается почему-то: что мы не умеем, мы отдаем на аутсорсинг, а ерундовую, рутинную работу, которую мы знаем, мы пытаемся делать внутри компании. Мне кажется, это неправильно.

 

Эльман Бейбутов:

- Моя позиция здесь более категоричная, более крайняя. Я считаю, что аутсорсинг - это необходимость.

 

Олег Седов:

- Вынужденная?

 

Эльман Бейбутов:

- Она вынужденная, вынужденная тем вектором угроз и атак, которые сейчас на рынке существуют, который присущ рынку ИБ. Я об этом уже говорил. Есть та самая сервисная модель на темной стороне, и она очень эффективная, противостоять ей отдельно взятой компании очень сложно. Сбор информации о компаниях, эффективная продажа, я привел здесь пример некоторой статистики выгрузки, research, которая сделала компания в 2016 году именно российскому under ground маркету. То есть по рынку, который формируется хакерами.

 

Смотрите, здесь приводятся лозунги, лозунги, отдельно взятых хакеров или их фирм, уже можно так говорить, которые в терминах конкретных интеграторов или сервис-провайдеров рассуждают, то есть они message черного рынка дают, почему их нужно выбрать – что у них качественный сервис, они готовы поддерживать свои вирусы, трояны 24/7, они готовы в ticket модели устранять баги и делать модификации к этим вирусам и троянам, чтобы они не детектировались конкретным антивирусом. То есть это абсолютно сервисный подход на черном рынке.

 

Дальше, есть конкретное понимание стоимости информ ресурсов, досье на компанию, содержащую оргструктуру, содержащую фамилию, имя главбуха, например, телефон, для проведения фишинга, для проведения целенаправленной атаки в отношении этих людей стоит не очень дорого.

 

Опять-таки досье стоит вменяемых 40 – 60 тыс., ну может быть, где-то дороже - до ста тысяч рублей за досье. Оперируя таким набором информации, плюс хорошей поддержкой от разработчиков вредоносов, хакер становится эффективным менеджером группировки, которая проводит атаки. Это команда, эффективных ребят, которая понимает, как информацией на черном рынке воспользоваться. Они строят верхне уровневые цели, они декомпозируют задачи, дальше под эти задачи себе в помощь покупают сервисы, те самые сервисы менеджеров дропперов.

 

 

Олег Седов:

- То есть ты говоришь, что нужно вкладывать не в аутсорсинг, не в свой персонал, а в хакеров?

 

Эльман Бейбутов:

- Я веду к тому, что та модель, которая есть по ту сторону баррикад, она уже признается эффективной, по статистике взломов банков от того же finCERT.

 

Олег Седов:

- Ты у нас сегодня чемпион по джинсе, сначала ты себя рекламировал, теперь ты хакеров рекламируешь, не могу понять…

 

Эльман Бейбутов:

- Я хочу вернуться к тому, что противостоять такого рода подходу нужно ровно в той же модели. Нужно искать на рынке услуг ИБ людей, может быть, фрилансеров, которые будут выполнять, отдельно взятые, узкие профильные услуги по защите на должном уровне, на уровне на котором хакеры живут. И эта модель современного ИБ отдела.

 

Олег Седов:

- Убедительно, и на этом фоне мы получаем вопрос, который меня ввергает в жуткое уныние. Экс - министр обороны Сердюков вывел на аутсорс: поваров, медиков и уборщиков. И вдруг выяснилось, что когда армии приходится заниматься своими прямыми обязанностями - войной, она пойдет в бой голодной, грязной и почти без медицинского щита. То есть, на мой взгляд, это то немногое, что Сердюков сделал достойное для армии - освободил ее от непрофильных функций, заставил заниматься боевой подготовкой. Как он это сделал и почему этого не произошло с точки зрения автора, это отдельный вопрос, но меня этот вопрос в уныние ввергает, потому что вопрос не о том, что аутсорсинг хорошо или плохо, а о том, как мы управляем этими рисками, этими взаимоотношениями.

 

Александр Бондаренко:

- Мне кажется, это как мнение, что плохой аутсорсинг - это всегда плохо, хороший аутсорсинг - это всегда хорошо.

 

Олег Седов:

- И где тут поспорить? Но, тем не менее, это впечатление нашей аудитории от итогов нашей беседы.

 

Александр Бондаренко:

- А правильно ли это было сделано? Нужно ли было отдавать?

 

Олег Седов:

- Опять же, это другой разговор. Какова перспектива аутсорсинга в контексте общей тенденции переноса инфраструктуры в облака. Быть этому или не быть?

 

 

Эльман Бейбутов:

-Понятно, что компаниям облачная технология выгодна , компаниям интересно смотреть в сторону облаков и ИБ аутсорсинг в этом плане обязательно претерпит трансформацию, и есть уже сейчас прецеденты, когда отечественные провайдеры так или иначе задумываются о том, чтобы некоторые сервисы по безопасности у себя приземлить.

 

Олег Седов:

- Изначально?

 

Эльман Бейбутов:

- Изначально, или в довесок к тем сервисам IT - шным, которые они строят, при этом приземлению подлежат вполне конкретные, в наших терминах простые, услуги по ИБ. Я привел тут пример, это услуги по anti -DdoS, по блокированию веб -угроз, по управляемым firewallам, по поточным антивирусам и т.д. То есть это то, что является must have для большинства компаний, даже SMB.

 

Дальше вопрос в том, а где эти самые сложные аналитические сервисы, которые требуют те самые высокие компетенции? На мой взгляд, они в облака не уйдут, в облака уйдет, может быть, модель предоставления услуги по whitelabel, когда некий хостинг заявляет, что он такое-то уже делает. Но на самом деле команда при этом остается некоторая внешняя, сторонняя для него, некоторый субподрядчик образовывается, то есть модель продажи через облако вполне вероятна, но взрастить у себя в каждом отдельном хостинг-провайдере облачном вменяемую команду аналитиков, реверс инженеров, команду, которая сможет тщательно выявлять инциденты и смотреть - я в это не верю. Все равно будет, отдельно стоящая компания, в этом специализирующаяся.

 

Александр Бондаренко:

- Я здесь придерживаюсь обратного мнения. Не в краткосрочной, а в долгосрочной перспективе мне кажется, что ИБ-аутсорсинг, как самостоятельная дисциплина, не сохранится. Поясню. Первый тренд, который долгосрочный - компании переходят в облака. Компания, которая получает какое-то приложение, какую-то услугу через облако, вполне логично ожидает, что это облако будет обеспечивать безопасность в контексте именно этой услуги, именно этого сервиса, этого приложения. То есть мало кому сейчас хочется навешивать сверху контроль доступа самостоятельного, но опять же, это облако мы не контролируем, если вы нам это даете, то будьте добры дайте нам все, что требуется. В эту тенденцию входит то, что у нас появляются провайдеры, которые дают защищенные ЦОДы в контексте закона о персональных данных и т.д. То есть идея такая, что передавая что-то в облако этому провайдеру, ты получаешь вместе с этим еще то, что это безопасно. Это первый момент. А мой взгляд, что компания, которая оказывает такие услуги, она перейдет на модель работы не с конечными потребителями, а с провайдерами и с теми, кто предлагает облачные сервисы, но здесь опять же в долгосрочной перспективе, как мне кажется, суть этой компании как самостоятельной единицы туманна, она скорее может войти в состав этой компании, предоставляющей соответствующий сервис.Много вопросов на мой взгляд.

 

Второе, что вендоры создают собственные сервисы. Сейчас видно, что просто продукты конечным потребителям не интересны, соответственно продукт может поставляться с дополнительным сервисом, который может быть связан с обслуживанием, настройкой, адаптацией.

 

Вот эти все услуги, которые сейчас оказывают интеграторы…здесь я вижу пока слабую, но намечающуюся тенденцию того, что вендоры начинают забирать эти вопросы себе. И в этом ключе опять же, какие-то сервисы по безопасности будут идти вместе с продуктом, а не как отдельный вариант аутсорсинга безопасности.

 

И третье, что крупные IT производители покупают ИБ компании, зачем они это делают? То есть мы имеем немало примеров: IBM, HP, компания EMC. Немало примеров, когда крупный IT вендор приобретает ИБ , но зачем? Я предполагаю, что в долгосрочной перспективе, руководство этой компании полагает, что IT сервис будет включать в себя составляющую безопасность. И соответственно безопасность станет опцией, как бы нам грустно не казалось. И соответственно, места ИБ-аутсорсингу, как самостоятельной единице тоже будет не так много.

 

Олег Седов:

- Отлично, мы договорились до того, что Александр Бондаренко предписал всех нас, что мы все останемся без работы, то есть все будет в облаке.

 

Александр Бондаренко:

- Нет, в облаках тоже ж кто-то должен работать. И плюс, я же обозначил, что именно аутсорсер, кто работает в аутсорсере, аутсорсинг как самостоятельная услуга в моем представлении в долгосрочной перспективе может войти в состав IT- сервисов, IT-продуктов и т.д.

 

Для людей, которые работают внутри компании, безопасность, я как раз всю сегодняшнюю встречу отстаивал точку зрения, что внутри компании, своя сильная компетенция в безопасности должна быть, и ее необходимо развивать, не отдавать на аутсорсинг. Поэтому, даже если компания переходит в облака, нанимает аутсорсинг, внутри компании должны быть люди, которые обладают серьезной компетенцией, понимают все то, куда и что отдается на аутсорсинг.

 

Олег Седов:

- И последний вопрос, который кажется мне очень важным. Передавая функции безопасности аутсорсерам, всегда ли необходимо раскрывать им (аутсорсерам) содержание информации, с которой эти функции работают? Например, курьер перевозит чемодан, должен ли он знать его содержимое?

 

Эльман Бейбутов:

- Абсолютно не должен знать, более того, аутсорсер должен всячески открещиваться от доступа к такой информации в компаниях, ровно для того, чтобы не коим образом себя не запятнать в случае раскрытия этой информации на рынке. Есть прецеденты, когда на уровне сбора логов попадает ИБ- аутсорсеру информация конфиденциального характера, в виду настройки системы. Об этом аутсорсер обязательно должен предупредить, по возможности, вычистить это на уровне фильтра, на уровне сборщиков логов эту информацию, потому что она аутсорсеру не нужна, нужно просто понимание тех сегментов, тех серверов, которые компания считает критичными без раскрытия деталей. Вот на этом уровне услуга и функция вполне может быть запущена.

 

Олег Седов:

-Александр, ты видишь сейчас, как переживает аутсорсер, от того, чтобы не проснуться утром с пулей в башке? Поэтому лучше от греха подальше, не брать на себя лишней информации.

 

Александр Бондаренко:

- Пример не совсем правильный, потому что практически все службы, которые занимаются перевозкой посылок, посылки подсвечивают. Они может и не должны знать, но они знают с точки зрения собственной безопасности, и в том числе выполнение тех законов, которые сейчас принимаются в государстве, связанных с борьбой с терроризмом.

 

Если говорить про аутсорсинг в широком смысле, то это, конечно, зависит от того, что мы передаем. В одной ситуации, которую описал Эьман, данные не нужны, но вполне возможно, что функцию, которую вы передаете, невозможно выполнить без определенных сведений. Лет пять, шесть назад, видел решение, которое разработал Intel и почему-то оно так и не нашло своего широкого применения, потому что я больше о нем не слышал. Это был специализированный gаtеway, который ставился на шлюзе компании и кодировал всю информацию, которая уходит в облака. То есть идея была такая, что, если вы пользуетесь облачным сервисом, вы не хотите, чтобы провайдер этой системы видел данные, все ваши операции, все ваши контакты с компаниями и т.д. Вы ставите gateway и все, что уходит в облачный сервис определенным образом шифруется, а когда возвращается обратно, и люди обращаются к этому сервису, оно дешифруется. Либо они столкнулись с какой-то технической проблемой, либо еще с чем-нибудь, так или иначе эта тема не пошла.

 

Вопрос в том, что если вы даже захотите какие-то данные не пустить к аутсорсеру, скорее всего, технически, вы не сможете это сделать. То есть нет таких подходов.