Об аутсорсинге безопасности в России

Попросили меня сегодня о рецензии одной статьи про аутсорсинг безопасности в России. Написана она сотрудницей одного российского ИБ-интегратора. Вот и решил я тут повторить эту рецензию в расширенном формате.

Об аутсорсинге безопасности (Managed Security Services, MSS) сегодня говорят все, кому не лень. Такие услуги предлагает каждый второй интегратор, но реальных проектов, которыми можно было бы похвастаться в России практически нет. Почему? Есть несколько болевых точек, на которых необходимо сделать акцент.

Во-первых, кто может предлагать услуги аутсорсинга? Вопреки распространенному мнению о том, что такие услуги может оказывать любой крупный интегратор, это неверно. Дело в том, что мало иметь набор софта и железа и штат персонала, как это считает автор статьи. Учитывая, что услуги MSS оказываются дистанционно, то это обязательно подразумевает наличие качественных каналов связи от центра управления до клиента, и желательно с резервированием. В России интеграторы не могут похвастаться этим, в отличие от операторов связи (и то не всех). Т.е. заключить такие договора с операторами и закупить необходимое оборудование они в состоянии, но пока о таких прецедентах я не слышал.

Во-вторых, несмотря на громкое заявление в статье, ни один провайдер MSS не возьмет под контроль любые системы защиты. У него не безграничные возможности (по оборудованию, по людям, по финансам) и поэтому управлять он будет только широко известными решениями, под которые можно легко найти людей и для которых услуга будет рентабельной. Я с трудом могу представить провайдера, который будет в России управлять продуктами Fortinet. Только потому, что эти продукты у нас не распространены.

В-третьих, все "аутсорсеры" почему-то считают, что их работа заканчивается на этапе приема сигнала тревоги и возможной реконфигурации системы защиты. Но это только половина работы. Необходимо провести расследование "почему произошел инцидент?", "кто виноват?" и "что делать?". Иными словами, помимо обнаружения угрозы, необходимо еще реализовать и реагирование на инциденты. А для этого требуется зачастую выезд на территорию заказчика, что может быть проблематично в масштабах России. И вообще, утверждая, что аутсорсер может оперативно реагировать на обнаруживаемые атаки, необходимо пояснять как это будет делаться. Когда у MSS-провайдера всего одна площадка и она в Москве, сложно ожидать, что он сможет оперативно реагировать на взлом во Владивостоке.

В-четвертых, очень мало кто говорит о гарантиях и ответственности. Все их упоминают, но мало кто из российских компаний готов их брать на себя; в т.ч. и по причине финансовой несравнимости со многими из своих заказчиков. А ведь это самое главное в аутсорсинге. Если все-таки компанию с миллиардным оборотом взломали, то чем отвечает компания с оборотом в 30-40 миллионов? А страхование данного вида деятельности у нас пока не развито.

Наконец, меня всегда умиляет ссылка на наличие высококвалифицированных экспертов у компании-"аутсорсера". Откуда им взяться, если у нас специалистов не хватает для более приоритетных задач, а те люди, что есть, циркулируют между компаниями, надолго в них не задерживаясь? Если кто-то и осуществляет аутсорсинг, то это скорее студенты или недавние выпускники, о высокой квалификации и богатом опыте которых говорить рановато.

Еще 2 замечания по статье, уже сугубо технических. Первое касается описания услуги мониторинга средств защиты. Автор предлагает все оповещения об угрозах после их обработки у аутсорсера отправляется клиенту. Вопрос - зачем? Если клиент и платит аутсорсеру, то именно за то, чтобы не связываться с получением таких оповещений. Более того, как правильно замечает автор, у клиента нет ни достаточного количества людей, ни экспертизы, ни возможности работать круглосуточно. Зачем же посылать ему оповещения, которые не будут обработаны? И второе замечание касается такой темы, как хранение сигналов тревоги. Автор пишет, что клиенту не надо думать о том, чтобы хранить все логи от средств защиты - это сделает аутсорсер и будет делать это в течение нескольких лет. Интересно автор когда-нибудь считала какое должно быть хранилище, чтобы решить эту задачу? Один МСЭ генерит порядка около гигабайта логов в день. Умножая этот показатель на число дней в году, количество лет и число контролируемых средств защиты, можно понять, что центр обработки данных у аутсорсера должен быть "недетским". Таких у нас пока нет.

Поэтому я скептически отношусь к идее массового внедрения услуг аутсорсинга в России в настоящий момент. Спрос на них есть, предложение "на бумаге" за ним начинает поспевать, но на практике этот спрос остается неудовлетворенным. Поэтому-то и реальных примеров назвать никто не может.