Рустэм Хайретдинов, CEO компании Appercut Security
Примета кризиса – ускоренный перевод корпоративных процессов на аутсорсинг. Плюсы такого подхода, особенно при экономии ресурсов и снижении горизонта планирования до нескольких месяцев, понятны: легко попробовать и легко прекратить, если не понравилось, потерять лишь стоимость фактически потребленных услуг. Сюда же можно отнести и перенос расходов с капитальных на операционные, что улучшает нужные показатели в финансовой отчетности и другие бизнес-выгоды. Каким образом подстраивается под новые требования бизнеса такая консервативная отрасль, как корпоративная информационная безопасность?
Какие сервисы относятся к SecaaS
Прежде всего хотелось бы уточнить, какие сервисы относить к SecaaS (Security-as-a-Service). Это не так просто, как кажется на первый взгляд, – большинство современных продуктов информационной безопасности имеют облачную составляющую, помогающую накапливать знания и оперативно реагировать на новые угрозы. Является ли локально установленный антивирус, межсетевой экран или система обнаружения вторжений с ежечасным обновлением сигнатур облачным сервисом? Считается, что нет. А антиDDoS-решение с локально установленным сенсором атак? Считается, что да. Что можно отнести к облачным сервисам с клиентской частью, а что – к корпоративным продуктам с облачной составляющей? Здесь дело не только в самоклассификации, но и в особенностях отечественного бухучета.
Довольно часто в России облачные сервисы с клиентской частью пытаются продавать как продукт, несмотря на то что основная услуга оказывается в облаке, а на клиенте реализованы лишь хранение настроек и доступ в облачный личный кабинет (иногда через веб-интерфейс, что особенно забавно). Экономические причины такой стратегии понятны: платежи за продукты, точнее за лицензии как право пользования продуктами, освобождены от НДС, что экономит заказчикам 18% стоимости. Обсуждение того, насколько это законно с юридической точки зрения и какие налоговые риски возникают после подобной маскировки у поставщика и заказчика, выходит за рамки статьи – мы лишь отметим, что наличие такой льготы визуально уменьшает объем рынка SecaaS.
Иногда внешние сервисы информационной безопасности появляются в компаниях одновременно с переводом в облака каких-либо автоматизированных процессов, которые там надо защищать. Перенесла компания в облако какое-то приложение, например CRM или бухгалтерию, – процессы и данные такого приложения требуют защиты и там. Отказались от локального почтового сервера в пользу облачного – сразу антивирус, DLP и антиспам тоже стали облачными. Арендовали серверы на Amazon для тестирования приложений – их также надо защищать. Все упомянутые сервисы традиционно относят к SecaaS, хотя очевидно, что это не информационная безопасность из облака, а информационная безопасность в облаке.
Поэтому более правильно, с нашей точки зрения, рассматривать такую архитектуру сервисов информационной безопасности, которая подразумевает нахождение объекта защиты внутри инфраструктуры компании, а сервиса – за его пределами (WAF, антиDDoS, потоковые антивирусы, антиспам). Кроме того, традиционно к SecaaS относят вынесение за пределы компании функций отделов ИБ – управление инцидентами, анализ уязвимостей, исследование исходного кода заказных приложений, управление учетными записями, резервное копирование и т. д.
Облачный контроль входящей информации
Отдать в облако контроль над входящей в корпоративную информационную систему информацией легко – она и так изначально находится за пределами контроля. Поэтому шлюзовые локальные, а не облачные провайдерские вирусные и спам-фильтры сегодня уже выглядят анахронизмом – возможности провайдеров по анализу трафика превосходят возможности любой корпоративной системы и по вычислительной мощности, и по скорости реакции на новые угрозы. Услугу по защите от DDoS-атак, также подразумевающую анализ входящего трафика, вообще невозможно оказывать локально, к тому же сейчас производители стремятся интегрировать антиDDoS и WAF, поскольку неэффективно разбирать трафик и анализировать его только по одному виду угроз. Проще покупать трафик, очищенный от всех угроз, чем разбирать и очищать его самостоятельно. Это самый быстрорастущий сегмент рынка, поскольку количество корпоративных интернет-приложений и нагрузка на них постоянно растут. Кризисные явления в экономике лишь ускорили рост рынка, поскольку заставили компании сокращать количество офлайновых точек присутствия (офисов, магазинов, шоу-румов) и концентрироваться на Интернете как на самом дешевом способе привлечения и обслуживания клиентов. Свою лепту внесла и напряженная геополитическая обстановка, которая обострила и добавила политические мотивы в и без того непростую ситуацию с атаками на российские интернет-ресурсы.
Перенос устоявшихся процессов ИБ за пределы компании
Гораздо хуже обстоят дела с переносом уже настроенных процессов информационной безопасности за пределы компании. Здесь предложение значительно превышает спрос – на рынке доступны любые виды SecaaS: резервное копирование, управление учетными записями, анализ защищенности приложений, управление инцидентами информационной безопасности, DLP-решения, однако спросом они пользуются весьма умеренным. Корпоративные пользователи консервативны, корпоративная информационная безопасность консервативна вдвойне, поэтому инновации здесь приживаются плохо. Сам факт необходимости передачи своих данных в любом виде – обезличенных, хешированных, зашифрованных – уже нарушает их парадигму информационной безопасности, в которой чем меньше информации об информационной системе покидает компанию, тем более защищена система. Если у облачного сервиса есть «близнец», которого можно установить локально или в корпоративный дата-центр, они предпочтут его, поэтому для поддержания темпов продаж многие производители имеют наряду с сервисом и продукт с тем же функционалом.
Быстрый старт SecaaS
Лучшим шансом подвигнуть корпоративную службу информационной безопасности начать пользоваться SecaaS является автоматизация процесса, еще не реализованного в компании. Тогда экономические аргументы – быстрый старт, небольшие регулярные платежи, простое масштабирование – могут перевесить профессиональную деформацию лиц, принимающих решение о начале проекта.
Сейчас многие компании не имеют возможности приобрести продукты, реализующие конкретные функции информационной безопасности ввиду сокращения бюджетов и выросшего курса доллара. Особенно это чувствуется в компаниях среднего размера, у которых бюджеты на информационную безопасность еще как у небольших компаний, а задачи – как у больших. Для покупки дорогого функционального решения им не хватает денег, а для настройки бесплатного – квалифицированных сотрудников, найти которых иногда сложнее, чем деньги. SecaaS для таких случаев – идеальный вариант, и ради получения нового процесса, необходимого в обеспечении информационной безопасности, даже начальник корпоративной информационной безопасности договорится со своей паранойей.
Например, работа по круглосуточному анализу инцидентов требует не только достаточно дорогого программного решения (от нескольких миллионов рублей за российское решение до десятков миллионов рублей за решение от гартнеровского лидера), но и несколько смен дежурных аналитиков. Такого позволить себе небольшая компания, в которой часто весь отдел информационной безопасности состоит из одного-двух человек, не в состоянии. Купить же услугу полного цикла по управлению инцидентами у специализированной аутсорсинговой компании можно за сотни тысяч рублей в месяц.
То же самое можно наблюдать в новой для компаний услуге по аудиту защищенности заказных бизнес-приложений, особенно в области веб-приложений. Комплект необходимых инструментов для такой задачи (статический сканер исходного кода и динамический сканер) может стоить от нескольких миллионов до сотни миллионов рублей, а анализ одного ключевого приложения, например системы ДБО, может обойтись в несколько сот тысяч рублей. Если приложение не меняется часто, скажем, раз в квартал, то сервисная модель даже выгоднее, поскольку не надо содержать штат дорогих аудиторов кода и пентестеров.
Схожие пропорции соблюдаются и для решений по облачному резервному копированию, управлению уязвимостями и др.
Перспективы SecaaS
Из приведенных примеров видно, что в долгосрочной перспективе (больше двух-трех лет) сервис обойдется дороже собственного решения, однако краткосрочные выгоды, такие как отсутствие первоначальных вложений и легкость отказа от сервиса в случае его неэффективности или неактуальности, в кризис перевешивают выгоды долгосрочные. В нынешней ситуации никто не знает, что будет с бизнесом и валютой в течение года, поэтому планировать на год вперед сейчас никто не будет – отличный шанс для компаний, предлагающих SecaaS.
Этот рынок несомненно будет расти. Облачные сервисы – электронная почта, хостинги фотографий, файловые хранилища, бизнес-приложения и многое другое уже бесповоротно вошли в нашу жизнь, и безопасность обязательно последует за ними. Увеличивается количество мобильных сотрудников, которые по умолчанию находятся за пределами корпоративного периметра. Даже самые консервативные государственные ведомства оказывают государственные услуги через Интернет и закупают необходимые товары и услуги на электронных торговых площадках. Задачи корпоративной информационной безопасности растут гораздо быстрее, чем штат служб защиты информации и их бюджеты, поэтому в стратегической перспективе альтернативы облачным сервисам, особенно для компаний среднего размера, нет.
Надо лишь обратить внимание на особенности принятия решений сотрудниками информационной безопасности. К сервисам по безопасности обычно относятся более требовательно, чем к другим облачным сервисам. Заказчика помимо функционала интересует гарантия сохранности передаваемых в облака чувствительных корпоративных данных – будь то информация об инцидентах или найденных уязвимостях, исходные коды приложений, в том числе в случае прекращения сотрудничества. Желательно подтверждать квалификацию таких сервисов международными и российскими сертификатами, аттестовать системы по требованиям российских законов. Отговорки типа «наши серверы находятся в США, поэтому российские законы нас не касаются» в безопасности не работают, поэтому к законодательству надо относиться очень внимательно и не только соблюдать законы самим, но и помогать их соблюдать заказчикам, консультируя их по правилам использования ваших сервисов.
Сегодня выбор категорий решений SecaaS практически совпадает с выбором традиционных решений информационной безопасности, и заказчики имеют выбор не только в ценах и брендах, но и в архитектуре. Функционально и технически архитектуры дают одинаковое качество сервиса, поэтому конкуренция между сервисами переходит к традиционному философскому вопросу «владеть или арендовать». На наш взгляд, для развития рынка SecaaS необходимо доверие между заказчиками и сервис-провайдерами, что по силам профессиональным объединениям SecaaS-провайдеров.