Интересы бизнеса или ИБ? История успешных переговоров о защите каналов связи
Криптографическая защита передаваемых данных — это базовый элемент информационной безопасности организации. С этой целью в инфраструктуре устанавливаются криптошлюзы — программные или аппаратные комплексы для сквозного шифрования проходящего через них трафика. Вот только срок их службы, а заодно и поддержки производителя, обычно составляет порядка 5 лет — дальше придется закупать новые.
Для бизнеса это означает существенные одномоментные затраты, но и пренебречь этой задачей нельзя: отсутствие защиты или произошедшие инциденты — нарушение регуляторных норм, особенно для госструктур, объектов ключевой информационной инфраструктуры и операторов персональных данных. Таким образом топ-менеджмент компании и специалисты по ИБ приходят к необходимости искать оптимальный ответ на вопрос: как защитить каналы связи, когда не хватает бюджета?
Делимся историей нашего заказчика, который хотел в прошлом году провести модернизацию свой защищенной сети передачи данных несмотря на рост цен, перераспределение бюджета и опасения коллег. Расскажем, как он убеждал руководство не экономить на безопасности и чем все закончилось.
— Я же говорил, надо было закупать оборудование в феврале! Сейчас бы уже все развезли по офисам и настроили.
— Даже если бы мы начали закупочные процедуры 9 января, то всё равно бы не успели до подорожания.
Это типичный диалог разыгрался прошлым летом между сотрудниками госструктуры, которая рассматривала закупку криптошлюзов в 2024 году. Проблема назрела: купленное ранее оборудование свой срок уже отслужило, в ноябре заканчивался срок действия сертификата ФСБ России, а использовать несертифицированные средства криптозащиты запрещено. Однако финансовые аспекты внесли коррективы в эти планы.
«Криптошлюзы в этом году не обновляем» — такой вердикт вынесло руководство на ежемесячном совещании. Сотрудника отдела ИБ этот подход категорически не устраивал. Его «ветераны» свое отработали: они были куплены почти пять лет назад, еще и достались от предыдущей команды, а сейчас начинаются мелкие, но регулярные поломки.
— Может, в этом году ограничимся тем, что версию софта обновим? Вендор криптошлюзов пойдет навстречу, а аппаратные платформы когда-нибудь потом поменяем.
— Этому «железу» уже 5 лет, новый софт на него не установишь, уже уточняли у вендора.
Действительно, иногда такой вариант возможен, и в компании однажды уже пошли по этому пути: кучу времени потратили на все нюансы при переходе с версии на версию. Повторять процедуру, конечно, никому не хотелось, но если это единственный выход при истекающем сертификате, то куда деваться?
Загвоздка в том, что у криптошлюзов сложный жизненный цикл:
«Железо», то есть аппаратная часть, технически может работать от 3 до 6 лет. Позже возрастает вероятность поломки, причем в самый неподходящий момент.
Юридически аппаратная часть должна использоваться не более 5 лет, это требование указывается вендором в формуляре.
Версия программной части, то есть софта, фиксируется в формуляре или сертификате ФСБ России. Сертификат действует три года, вендор может продлить его еще примерно на полтора с учетом сроков оформления. Если сертификат закончился и не будет продлен, то требуется обновить софт.
Но иногда новый софт несовместим со старым железом, и обновление невозможно.
В данном случае сошлись все факторы: «железо» устарело технически и юридически, установленный софт устарел, а новый не установить. Поэтому безопасник и настаивал, что нужно покупать и аппаратные платформы, и ПО.
— А почему криптошлюзы так подорожали, ведь они сделаны в России?!
— Софт, конечно, российский, но установлен он на «частично российские» серверы.
Специалист имел в виду, что российские процессоры пока не вышли на массовый коммерческий рынок, поэтому платформы для криптошлюзов в лучшем случае собраны в России из иностранных комплектующих, а в худшем — привезены в готовом виде. Из-за кризиса полупроводников и санкций оборудование сильно подорожало.
— Давай попросим вендора сохранить для нас прошлогодние цены, мы же их постоянные клиенты.
— Даже если вернуть цены 2023 года, то нашего бюджета не хватит.
— Это еще почему? Мы же в прошлом году заложили на это бюджет, даже запас небольшой был.
— Потому что мы внепланово подключили защиту от DDoS атак и приобрели Web Application Firewall. Не то что запаса нет — уже дефицит…
В планировании, конечно, невозможно предусмотреть все. Появились новые угрозы — а точнее, возросла актуальность старых — вот и пришлось срочно реагировать, поэтому некоторые ранее запланированные проекты теперь могут сорваться.
— Мы перебрали все варианты на этот год, я не вижу решения. Придется принимать риск и планировать закупку криптошлюзов на 2025 год.
— Но решение нужно уже в этом году. Тем более, не факт, что в следующем году впишемся в бюджет, который запланируем. Давайте посмотрим на вариант с сервисной моделью.
Сервисы по предоставлению криптошлюзов существуют давно. Это такой же легитимный вариант, как и приобретение оборудования на свой баланс, только за весь жизненный цикл криптошлюзов отвечает сервис-провайдер. Сервисная модель предполагает ежемесячные платежи, например, вместе с оплатой каналов связи. Когда вендор повышает цены на оборудование, сервис-провайдер, как правило, отражает это в размере платежа, однако этот вариант позволяет равномерно распределить финансовую нагрузку. Стоимость сервиса за 3 года сопоставима с покупкой оборудования, при этом затрат на старте проекта не возникает.
В Solar MSS, экосистему сервисов кибербезопасности по подписке от «Солара», тоже входит шифрование каналов связи — сервисы ГОСТ VPN и ГОСТ TLS с использованием российской инфраструктуры с отечественными криптоалгоритмами.
В сервисной модели все задачи, связанные с оборудованием, берет на себя сервис‑провайдер, и поэтому у отдела ИБ возникло новое опасение.
— А не получится, что мы как специалисты больше не будем нужны?
К счастью, пообщавшись с коллегами в других ведомствах, безопасник прояснил для себя ситуацию и убедился: без него все равно не обойтись. Сервис-провайдеру нужен специалист на стороне заказчика, чтобы взаимодействовать по техническим вопросам, да и эксплуатацию других средств защиты никто не отменял.
Поэтому он предложил вариант с сервисом руководству, заранее подготовив тезисы.
Прогнозируемые платежи на весь срок оказания сервиса.
Обновления, замена оборудования — головная боль сервис-провайдера.
Бюджета хватит на несколько оставшихся месяцев этого года.
Сотрудники отдела ИБ смогут больше времени уделять другим средствам защиты, актуальность которых в этом году сильно возросла.
Железные аргументы и дар убеждения сделали свое дело, и руководство вынесло новое решение: согласовать сервисную модель.
Сейчас дополнительное соглашение к договору на каналы связи уже подписано. Мы заменили криптошлюзы на новые, которые предоставляются по сервисной модели. Клиенту подключен сервис ГОСТ VPN, он пользуется им уже пять месяцев, и все вопросы по защищенной сети сняты.
Руководство убедилось в эффективности сервисной модели, а специалист — что вполне реально достичь оптимального решения сохранив устойчивый подход к кибербезопасности.
А в вашей организации часто звучат подобные диалоги? Расскажите, на какие ИБ-задачи никогда не хватает денег — и может ли их решить сервисная модель? С аргументами для руководства готовы помочь!