В июне компания «Инфосистемы Джет» провела VI ежегодную конференцию по информационной безопасности «Информационные технологии для обеспечения безопасности бизнеса». В мероприятии приняли участие более 300 экспертов рынка ИБ и представители 18 вендоров. В выставочной зоне были развернуты 16 демо-стендов, на которых было продемонстрировано свыше 30 комплексных решений.
Подводя итоги минувшего года, директор Центра информационной безопасности компании «Инфосистемы Джет» Алексей Гришин отметил существенное изменение отношения заказчиков к технологиям ИБ. Современные заказчики хотят получить средства не просто предотвращения угроз, а обеспечения измеряемой выгоды для бизнеса – снижения издержек, уменьшения материальных потерь, возвращения похищенного и т. п. При этом, поскольку выбор на рынке решений по ИБ стал шире, а сами решения сложнее, возрастает роль интегратора, имеющего опыт работы с разными вендорами и знающего специфику бизнеса заказчика.
Среди ИБ-решений, интерес к которым со стороны заказчиков растет, – системы управления доступом: если несколько лет назад их могли себе позволить только крупные компании, то теперь организация со штатом от 500 человек вполне может внедрить эффективно работающую IdM-систему по приемлемой цене. Кардинально изменился взгляд заказчиков на решения класса Security Operation Center (SOC) – от них ожидают не постфактум-анализа инцидентов, а реагирования на инциденты в режиме реального времени.
За 2014 г. пятикратно возросло количество запросов на проекты по внедрению систем антифрода, при этом они все чаще привязываются к задачам экономической безопасности и соответствующим KPI. По экономическим соображениям повысился интерес к услугам аутсорсинга ИБ даже со стороны тех заказчиков, которые прежде ни под каким предлогом не соглашались давать сторонней компании доступ к своим информационным системам.
Наибольший же рост (60%) наблюдался в сегменте защиты веб-приложений. Этому направлению была посвящена одна из специализированных секций конференции. «Вебификация» – доступность все большего количества бизнес-приложений через веб-браузер – явная тенденция последних лет. При этом, как показывает, например, исследование компании Positive Technologies, основанное на пентестах, среди уязвимостей корпоративных информационных систем в 2013 г. уязвимости веб-приложений занимали 33%. В 2014 г. эта доля возросла до 60%. Одна из основных причин – ошибки в логике приложений, нередко банальные и хорошо известные хакерам. В условиях роста популярности методологии DevOps, обеспечивающей взаимозависимость разработки и эксплуатации программного обеспечения и нацеленной на ускорение создания и обновления приложений, уровень защиты новых релизов начинает отставать от уровня распространенности приложений и их ценности для бизнеса. Исправить положение должно дополнение цикла DevOps циклом непрерывной защиты (который можно обозначить как DevSec), когда разработка и внедрение приложения сопровождаются поиском уязвимостей, эксплуатация – тюнингом политик и т. д.
На практике непрерывность цикла защиты – как веб-приложений, так и других компонентов информационных систем – упирается в неготовность заказчиков финансировать техническую поддержку внедренных ИБ-решений. По свидетельству Евгения Акимова, директора по развитию бизнеса Центра информационной безопасности «Инфосистемы Джет», у многих заказчиков в принципе не существует бюджетов на информационную безопасность – деньги могут быть выделены только по запросу, если удастся доказать экономическую эффективность проекта. Доказать бизнес-эффект от технической поддержки ИБ-решений сложно, особенно если решение (SOC, DLP или другое) работает в режиме постфактум-анализа инцидентов. К сожалению, в большинстве случаев дело обстоит именно так: DLP функционирует как аналитический архив почтовых сообщений, где собственно предотвращение (с мгновенной передачей инцидентов в службу экономической безопасности) реализовано в минимальном объеме; WAF (Web Application Firewall), которые включены в активную блокировку атак и перенастраиваются с выходом обновлений веб-приложений, в России редкость и т. д.
Итак, команда внедрения должна суметь показать бизнесу, привыкшему мыслить в категориях ROI/CAPEX/OPEX, экономический эффект от применения технологий ИБ. Сделать это она сможет в случае, если обладает пониманием того, на чем компания данной отрасли может сэкономить или потерять деньги. А также если разбирается не только в средствах информационной безопасности, но и в информационном окружении в целом.
Ожиданиям бизнеса хорошо соответствуют решения, позволяющие автоматизировать бизнес-процессы: проверки контрагентов, управления доступом, поддержки соответствия регуляторным требованиям и т. п. Другое выигрышное предложение – сокращение расходов на техподдержку. Нередко выбор заказчиком лучших в своем классе решений оборачивается созданием зоопарка, который поддерживается множеством подрядчиков и содержание которого оказывается довольно затратным. Один из путей исправления ситуации – сокращение количества самостоятельных решений путем миграции на платформы комплексной безопасности. Другой – принятие интегратором на себя поддержки не только ИБ-системы, но и всего информационного окружения, т. е. систем, которые являются источниками данных для ИБ-системы. Экономия от централизации поддержки в руках одного опытного подрядчика составляет 20–30%. Эффект от централизации управления информационной безопасностью (за счет сокращения расходов на персонал) бизнес-заказчику также понятен.
Существуют решения, которые позволяют добиться ощутимого экономического эффекта относительно простыми средствами. Например, при сигнале об аномальной активности на кассе магазина можно обратиться к данным видеонаблюдения, чтобы узнать, какие действия производил кассир в конкретный момент.
Важную роль в доказательстве экономической целесообразности внедрения того или иного решения играют пилотные проекты. Пентесты до и после установки WAF или анти-DDoS, факты утечек, обнаруженные во время тестовой эксплуатации DLP, хорошо убеждают заказчиков.
Один из проектов, в котором внедрение СУИБ скоординировано с экономическими интересами бизнеса, был выполнен в ритейлерской компании «Эльдорадо». При подготовке проекта риски информационной безопасности были представлены в денежном выражении – в категориях допустимого ущерба и соотношения стоимости информационного актива и стоимости его защиты. Была учтена ценность информационных систем для бизнеса, оценены вклад и стоимость каждого их компонента. Это позволило структурировать процессы обеспечения ИБ и сформулировать для них понятные KPI.