Автоматизация процессов решит кадровую проблему в кибербезопасности

Руководитель направления автоматизации информационной безопасности Positive Technologies Михаил Стюгин на Инфофоруме рассказал, что крупным российским компаниям для мониторинга угроз требуется гораздо больше специалистов в области ИБ. Однако занимается этим в среднем штат от одного до 10 человек. "Очень часто мы имеем ситуацию, когда за этим следит лишь один человек. Он не занимается расследованием инцидентов как таковых, он ищет нарушения внутренних регламентов безопасности, на которые нужно реагировать", - добавил Михаил Стюгин.

Также он посчитал, сколько инцидентов в сутки способна закрывать команда из 10 человек: "Если в компании есть 10 человек, то это уже неплохо. Однако все равно мало. Для успешной работы нужно в разы больше специалистов. 10 человек на смене - это примерно 57 человеко-часов в сутки, которые мы имеем на расследование и реагирование на инцидент. Всего инфраструктура генерирует в среднем от 600 до 3000 подозрений на инцидент в сутки. На каждую отработку нужно около семи минут. Таким образом, максимальный ресурс команды аналитиков - это 488 отработок в сутки при 8-часовом рабочем дне. Поэтому без автоматизации некоторых процессов покрыть модель угроз крупной корпорации невозможно".

Директор по информационной безопасности АО "Элемент" (производитель микроэлектроники) Александр Дворянский объяснил, с чем связана нехватка специалистов: "Квалифицированных специалистов и аналитиков по разбору инцидентов ИБ в центре мониторинга информационной безопасности (SOC), действительно, остро не хватает. Это связано с бурным развитием и расширением функционала коммерческих SOC. Одним из вариантов решения кадровой проблемы является как раз автоматизация реагирования на типовые некритичные инциденты. Большая часть из них обрабатывается в автоматическом режиме, а на контроль к аналитику попадают только действительно критичные инциденты. В настоящий момент лидируют компании, автоматизировавшие реагирование на максимально возможное количество инцидентов".

Генеральный директор компании-интегратора по информационной безопасности iTPROTECT Андрей Мишуков рассказал, из скольких человек должна состоять команда специалистов: "По нашим оценкам, в финансовой сфере хватает сотрудников для мониторинга и обеспечения ИБ, за исключением небольших банков. Похожая ситуация в телеком- и хай-тек-компаниях. Но в большинстве других корпораций, действительно, ощущается недостаток специалистов по разным направлениям кибербезопасности. Если мы говорим про малый бизнес, то там достаточно одного сотрудника. Но для среднего и крупного - до 1000 человек персонала - требуется как минимум три специалиста в команде по кибербезопасности. В случаях, где работает свыше 1000 человек, на каждую тысячу нужно добавлять в команду минимум одного специалиста. Для того чтобы развивать и совершенствовать систему управления ИБ, нужно либо привлекать интегратора, который будет выполнять часть функций, либо увеличивать команду и усиливать ее в направлениях, которые требуют развития".

Заместитель директора центра киберустойчивости Angara SOC по развитию бизнеса Артем Грибков предположил, к чему может привести ситуация с нехваткой кадров: "В соответствии с ТК РФ, для организации одной круглосуточной дежурной смены аналитиков требуется не менее семи человек. В зависимости от размера организации и количества активов, таких смен может требоваться несколько. Кроме этого, в штат нужны старшие аналитики угроз, руководители смен, специалисты, отвечающие за сопровождение и эксплуатацию систем мониторинга. Таким образом, состав такого подразделения может достигать численности в 15-20 человек. При этом специалисты должны обладать высоким уровнем экспертизы. Обеспечить российские компании таким количеством кадров едва ли возможно. Эта ситуация ведет к растущей популярности внешних сервис-провайдеров, предлагающих услуги по мониторингу и реагированию на инциденты ИБ".

Также Михаил Стюгин рассказал, что оценочная величина риска реализации недопустимых событий в среднем составляет более 20 млрд руб.

Андрей Мишуков считает это значение интегральным и зависящим от многих факторов: "Сумма зависит, в частности, от оборота компании, ее типа бизнеса, его зависимости в целом, от неподверженности кибератакам. Нужно понимать, что бизнес маркетплейса, у которого очень многое зависит от киберсреды, и угледобывающей компании, которая может работать практически без интернета, используя только электронную почту, сталкивается с разными рисками, и оценивать их нужно индивидуально. Каких-то конкретных общих цифр назвать нельзя. Поэтому каждый бизнес выбирает для себя, во-первых, недопустимые события, которые для него важны, и уже после этого, используя риск-ориентированную модель, оценивает вероятный ущерб от наступления этих событий".