Татьяна Игуменшева: "Проблема численности ИБ-департамента — не самая серьезная из связанных с персоналом. Страшнее, что люди не успевают повышать свою квалификацию так быстро, как развиваются киберугрозы"
Татьяна Игуменшева,
директор по маркетингу компании Attack Killer
© ComNews
04.03.2019

Недавний опрос, проведенный аналитическим центром Anti-Malware.ru, показал: большинство российских компаний для обеспечения безопасности использует только антивирусы (88%) и инструменты защиты сетевого периметра (60%). Защита от кибератак есть менее чем у 35% компаний, и это в наше время разгула киберспреступности. При этом 86% респондентов ответили, что за год хотя бы раз устраняли инциденты в области кибербезопасности. Почему же российский бизнес игнорирует эту растущую угрозу? Попробуем разобраться.

Нет бюджетов

Исследование Anti-malware показало, что почти две трети компаний (63%) расходуют на ИБ менее полумиллиона рублей в год: иными словами, менее 42 тысяч рублей в месяц. Эта сумма не покроет даже одну зарплату квалифицированного специалиста по информационной безопасности. В целом по стране результаты, вероятнее всего, еще более плачевные — в силу того, что на опросник популярного ИБ-издания отвечали только те, кто вообще хоть как-то заинтересован вопросами защиты бизнеса от киберугроз.

По опыту работы, можно сказать, что затраты на информационную безопасность в российских компаниях растут год от года крайне незначительно, в основном у тех, кто успел серьезно пострадать от действий злоумышленников. В то же время, по данным отчета Gartner, в мире затраты на обеспечение кибербезопасности существенно увеличиваются: в частности, по итогам 2018 года исследователи прогнозируют общий прирост на уровне 12,4%.

Аналитики связывают столь внушительную цифру с двумя фактами: с одной стороны, на рынок повлиял вступивший в силу регламент GDPR, но с другой — бизнес начинает видеть в информационной безопасности резерв для повышения конкурентоспособности и драйвер развития бизнеса. Самое неприятное в этой ситуации для российских компаний — тот факт, что угрозы кибербезопасности во всем мире развиваются экстерриториально, а значит, и инвестировать в защиту придется всем и независимо ни от чего. И пока необходимость этих инвестиций мало кто понимает, российский бизнес теряет свои конкурентные позиции на глобальном рынке просто потому, что слабо защищенные цифровые продукты не будут нужны.

Нет людей

Снова вернемся к исследованию Anti-malware. Более чем в половине российских компаний (54%) информационной безопасностью занимаются от 1 до 5 человек. Часто это даже не выделенный ИБ-специалист, а системный администратор или сам собственник бизнеса. Даже в крупных компаниях штат департамента по кибербезопасности составляет не более 2-5 человек — и тех часто нанимают для того, чтобы формально выполнить требования регуляторов.

Сколько человек нужно компании для обеспечения информационной безопасности — сложный вопрос, ответ на который зависит от отрасли, размера компании, специфики угроз и еще множества факторов. Согласно последнему отчету о трендах в ИБ, подготовленному компанией FireEye, крупные европейские и американские компании переходят от построения SOC к созданию круглосуточных центров киберзащиты (cyber defense center, CDC), для полноценной работы которых требуется минимум 9-12 штатных сотрудников. Для подавляющего большинства российских компаний это совершенно непозволительная роскошь.

Нет компетенций

Проблема численности ИБ-департамента — не самая серьезная из связанных с персоналом. Страшнее, что люди не успевают повышать свою квалификацию так быстро, как развиваются киберугрозы. Иными словами, обычный квалифицированный специалист вынужден постоянно тратить время на обучение, чтобы не отставать слишком сильно.

И это не только российская действительность — о растущей зависимости от человеческого фактора говорят и иностранные аналитики. Одним из трендов года эксперты называют то, что системы обнаружения угроз часто пропускают активность злоумышленников из-за неверной настройки, к которой приводит недостаток обучения персонала. Еще одним признаком нашего времени они называют недостаточно эффективное расследование инцидентов по причине того, что специалисты все хуже могут идентифицировать угрозу в постоянном потоке индикаторов. Так, 14% инцидентов удается выявить только тогда, когда злоумышленники уже успешно завершили атаку.

В России проблема еще серьезнее, особенно в регионах. Здесь ИБ-эксперты работают в условиях дефицита информации: отрасль сложная и довольно закрытая, вузовские программы не успевают за реальностью, а тематических мероприятий, где можно обменяться опытом с коллегами, в субъектах совсем немного.

Нет аутсорсинга

Хороший выход в такой ситуации – передача функций информационной безопасности провайдерам управляемых услуг (managed service providers, MSP). Такой подход скорее обоснован для среднего и малого бизнеса, у которого чаще всего в распоряжении только антивирус: эти компании хуже всего защищены и наиболее уязвимы.

Сервис-провайдеры могут гарантировать приемлемый уровень защиты бизнеса: у них уже накоплено достаточно компетенций, есть в распоряжении необходимые ресурсы и квалифицированные сотрудники, и они лучше подготовлены к угрозам разного вида.

И тем не менее, если вернуться к исследованию Anti-malware, только 20% опрошенных компаний прибегают к помощи аутсорсинговых фирм. Происходит это по ряду причин: здесь и традиционное недоверие к работам, выполняемым подрядчиками "на стороне", и уже упомянутое отсутствие бюджетов, и отсутствие полноценного рынка аутсорсинга услуг по обеспечению кибербезопасности.

Что делать?

Проблемы информационной безопасности в российских компаниях сформировались не вчера, и никакой "панацеи" от них быть не может. Однако уже сейчас можно наметить несколько тенденций, которые помогут преодолеть дефицит кадров и бюджетов.

Будущее — за комплексными решениями, работающими автономно от человека

Рынок кибербезопасности будут захватывать продукты, позволяющие свести к минимуму участие человека в процессе защиты. В первую очередь, речь об использовании решений на базе искусственного интеллекта. Информационная безопасность — благодатная среда для механизмов машинного обучения. Например, веб-сайты компаний получают огромное количество запросов, на базе которых нейросеть может обучаться, выявлять закономерности и эффективно совершенствовать механизмы защиты.

Кроме того, стоимость таких инструментов существенно ниже затрат на найм и выплату зарплаты специалиста по ИБ. При этом, очевидно, что стоимость часа работы большинства квалифицированных экспертов будет только расти за счет того, что с рутинной ручной работы они переключаться на высокоуровневую деятельность: формирование стратегии безопасности, управление средствами, совместную работу с функциональными заказчиками внутри компании.

Безопасность должна бесшовно "встраиваться" в процессы

Одна из проблем состоит в том, что информационная безопасность всегда оставалась "за бортом" основных бизнес-процессов компании. Например, при разработке новых цифровых продуктов сначала выпускалась новая версия ПО, а затем ее начинали тестировать на предмет брешей в коде, а ведь на это нужны ресурсы: как минимум, люди и время.  Все это серьезно замедляет основной бизнес-процесс. "Бессмысленной" с точки зрения заказчиков траты ресурсов можно избежать, если встроить инструмент сканирования кода прямо в жизненный цикл разработки и интегрировать ее с баг-трекером.

Развитие ИБ-аутсорсинга

Компаниям малого и среднего бизнеса все равно придется прибегать к услугам сторонних организаций. Если сейчас большинство из них решает свои проблемы при помощи "знакомого админа", то уже в ближайшем будущем затраты на аутсорсинг станут необходимостью.

Скорее всего, аутсорсинг ИБ будет развиваться так же, как облачные услуги: медленно преодолевать недоверие к провайдерам, наращивая объем рынка и привлекая в него все более крупные инвестиции. В конечном итоге, для СМБ это станет наиболее привлекательным способом закрывать потребности в информационной безопасности: практика покажет, что ИБ-аутсорсинг — наименее затратный способ поддерживать приемлемый уровень защиты. Ведь объем атак на компании всех масштабов будет только расти, а бизнес всегда принимает решения рублем.