Естественное состояние любого бизнеса – стремление к эффективности, повышение прибыли и сокращение издержек. Руководитель отдела развития облачных решений и сервисов Axoft Никита Черняков рассказал о преимуществах сервисов информационной безопасности по подписке.
Для многих компаний и организаций расходы, связанные с ИБ, являются издержками: бизнес не зарабатывает на внедрении средств информационной безопасности, не повышает свою бизнес-продуктивность и производительность труда. В идеальном мире, где нет киберпреступности, нет необходимости и в ИБ-продуктах как таковых, но, к сожалению, мир не идеален. Ландшафт угроз постоянно расширяется и эволюционирует, и для эффективного противодействия современным киберугрозам компаниям требуется современные средства, что влечет увеличение расходов на информационную безопасность (в среднем, по данным Gartner, рынок ИБ растет на 10-15% год к году вне зависимости от кризисов и прочих мировых проблем).
Другой фактор, влияющий на увеличение расходов, связанных с ИБ – импортозамещение и уход с российского рынка иностранных вендоров и поставщиков информационной безопасности, а также ужесточение требований регуляторов. Компании активно заменяют используемые программные и аппаратные средства, переходя на отечественные аналоги.
Третий фактор – возрастающая стоимость ИБ-персонала, общий дефицит квалифицированных кадров, изменение требований к экспертизе ИБ-специалистов, что также значительно оказывает влияние на расходы организации.
Получается, что с точки зрения бизнеса расходы на ИБ – постоянно растущая статья, при этом вполне реальные риски могут быть очевидны только ИБ-специалисту, а зрелость процессов в различных компаниях находится на разном уровне. Поэтому тем, кто реализует ИБ-политику, важно понимать, как работает и как мыслит бизнес, чтобы донести понимание пользы от затрат на кибербезопасность.
Важная особенность: бизнес не формулирует задачу так, как решают ее ИБ-специалисты. Сложно представить себе ситуацию, в которой бизнес придет с таким запросом: «Нам нужно купить WAF и anti-DDos на L3/4/7 конкретного производителя, на столько-то RPS». Скорее всего, задача будет звучать следующим образом: «Надо, чтобы на нашем сайте никто не размещал изображения обнаженной натуры...больше». И сформулированную подобным образом задачу решает команда по информационной безопасности, исходя из собственного опыта, уровня компетенции и видения мира в целом.
Загвоздка при достижении взаимопонимания бизнеса и ИБ-команды может также заключаться в неэластичности принимаемых решений со стороны последней. Так, некоторые ИБ-специалисты привыкли к понятиям «периметр», «защита периметра», но в современном мире понятие «периметр» утрачивает свою актуальность. Что можно считать «периметром», когда мы говорим про web-приложения, особенно если это не корпоративный портал, а интернет-магазин, например? Таким образом, когда ИБ-команда начинает выстраивать защиту такого web-приложения в привычной традиции: покупая все on-prem и, в идеале, железное – бизнес с одной стороны несет большие расходы, а с другой – само решение получается более громоздким, чем специализированный сервис по защите web-приложений.
Собственная инсталляция будет:
· априори избыточной – вычислительные мощности, лицензии, хранение должны закладываться «с запасом», поскольку должны учитывать колебания трафика, в том числе и сезонные;
· менее эффективной – специализированные сервисы предлагают в том числе и CDN для первичного демпфирования атак, а собственный CDN абсолютное большинство позволить себе не могут;
· более требовательна к людям и экспертизе – эти решения надо кому-то интегрировать и поддерживать;
· устаревающей – железо и технологии устаревают, и это естественный процесс, но, как правило, провайдеры могут позволить себе более частое обновление, так как сами стремятся к эффективности;
· с низким показателем time-to-market – внутренней ИБ-команде требуется достаточно много времени на запуск нового сервиса, при этом долго, дорого и сложно будет обосновать необходимость смены, например, anti-DDos одного разработчика на решение другого.
В качестве альтернативы собственной инсталляции уместно поговорить про SECaaS – сервисы информационной безопасности по подписке. Основное отличие SECaaS от предоставления продуктов информационной безопасности по подписке в том, что это готовый сервис, который включает в себя и технологический стек решений информационной безопасности, и сервис провайдера по интеграции и сопровождению.
SECaaS очень хорошо воспринимается бизнесом по нескольким причинам:
· он решает ту задачу, которую формулирует бизнес: при необходимости защиты сайта провайдер предлагает именно этот сервис. При этом заказчика не особо волнует, как именно достигается требуемый уровень информационной безопасности: конечный потребитель в целом и не обязан разбираться в технологическом стеке, который использует провайдер. Ему требуется, чтобы картинки с обнаженной натурой перестали появляться на его сайте. Пример из обычной жизни, который хорошо демонстрирует мысль выше: потребителей горячей воды дома, не очень беспокоит, какие насосы использует провайдер и как именно он делает воду горячей – им нужен определенный уровень сервиса (вода должна быть горячей);
· использование SECaaS позволяет заказчику нивелировать проблемы дефицита кадров, уровня экспертизы команды, снизить показатель time-to-market и убрать зависимость от выбранного ранее решения (переход от одного провайдера к другому быстрый и не обременительный процесс);
· при переходе на сервисную модель потребления продуктов информационной безопасности заказчик оплачивает то, что он фактически потребляет, ему нет необходимости приобретать сервис «с запасом», что позитивно сказывается на общей экономической эффективности.
Но есть и обратная сторона. Несмотря на то, что SECaaS растет темпами, сильно опережающими традиционный ИБ, он все еще не стал стандартом. Обычно к SECaaS предъявляется несколько претензий: утрата контроля, SLA и ответственность провайдера.
Рассмотрим эти претензии более подробно:
· Утрата контроля – это самое популярное возражение, которое появляется при обсуждении сервисов и облачных технологий. Когда мы говорим про SECaaS, данное возражение не совсем применимо – компаниям критична потеря контроля над своими данными, но SECaaS не предполагает передачу контроля над данными провайдеру. В сценарии SECaaS заказчик делегирует провайдеру сопровождение ИБ-решений, как правило, оставляя за собой возможность точечной настройки и аудита.
· SLA и ответственность провайдера. SLA провайдера логично сравнивать с внутренним SLA ИБ-команды, которого, как правило вообще нет. Наличие внутреннего SLA присуща компаниям, которые перешли на сервисную модель взаимодействия с бизнесом, но тогда они фактически становятся внутренним сервис-провайдером для конкретного заказчика. На практике же SLA провайдера сравнивается с некой идеальной картиной внутреннего ИБ, которая в реальности не существует.
Итак, SECaaS является эволюционном шагом развития отношений бизнеса и ИБ, что позволяет как решать задачи, которые ставит бизнес перед ИБ, так и повысить эффективность и прозрачность трат бизнеса на информационную безопасность.