Почему ИБ-аутсорсинг неизбежно станет для всех привычным

Ведущий аналитик "СёрчИнформ" Леонид Чуриков рассуждает о прошлом и будущем сервисов безопасности и считает их единственным вариантом обеспечить нужный уровень ИБ в ситуации кадрового голода.

Не припомню такого мощного сочетания факторов, мотивирующих менять организацию информационной безопасности в российских компаниях, как в этом году. Это и законодательное давление (майские указы президента, а также грядущие изменения в ФЗ-152). Это и рост реальных киберугроз, который в 2022 году виден невооруженным глазом. Хочу остановиться на одном из требований нового законодательства - необходимости создавать собственный отдел ИБ. Оно касается сотен тысяч компаний.

Как говорит директор Департамента обеспечения кибербезопасности Минцифры Владимир Бенгин, после выхода указа президента на министерство обрушился шквал звонков со стороны компаний. Для многих новое требование создает огромную головную боль: найти ИБ-специалистов в нужном количестве будет практически невозможно.

Во множестве организаций, субъектах КИИ, банках, предприятиях ТЭК ИБ-служба уже давно есть. Это сферы, где к безопасности традиционно более серьезное отношение. Но если смотреть шире, ситуация оказывается сложнее. У 60% компаний в России нет выделенного подразделения кибербезопасности, это показывают данные опроса более тысячи представителей компаний. И если вы считаете, что это касается только МСБ - нет. Мне известен случай, когда выделенной службы нет у одной из крупнейших организаций России!

Но за крупные компании можно быть относительно спокойным - они найдут на рынке нужных специалистов. А вот что делать компаниям, которые не могут конкурировать с крупным бизнесом за кадры (зарплаты ИБ-специалистов с февраля выросли в два раза)?! Ждать, пока вузы и онлайн-университеты выпустят новых ИБ-специалистов, а пока доучивать людей на местах. И тут возникает другая принципиальная проблема, даже более сложная, чем финансовая, - непрофильность самого вопроса информационной безопасности для огромного числа организаций.

Представьте себе какую-то медицинскую компанию. Она относится к КИИ, но оснащенность и кадровая обеспеченность здесь низкая по сравнению с другими КИИ-отраслями (например, финансовой). Все-таки задача медицины - охранять здоровье людей, а охрана ИТ-инфраструктуры медучреждениями отодвигалась на задний план как наименее актуальная. И кого тут перепрофилировать в ИБ-специалистов? В лучшем случае в медицине задачи ИБ включены в ИТ и занимаются ими администраторы. Но это не тот уровень защиты информации и инфраструктуры, который ожидает государство.

Как видите, проблем в этой отрасли уже предостаточно, и ужесточение от регулятора лишь в долгосрочной перспективе улучшит ситуацию. Уверен, что только аутсорсинг в самых разных вариантах может помочь радикально быстро выстроить требуемый уровень защиты.

Мы долгие годы наблюдаем ситуацию на рынке "безопасность как услуга" (MSSP) и видим, как она меняется. Тогда как за рубежом уже давно сформировалась зрелая практика, в России еще отживает свое скепсис. Но ситуация заметно сдвинулась с мертвой точки в период глобальной удаленки. По нашим данным от 13% до 17% компаний обращались к аутсорсерам, когда нужно было быстро нарастить уровень защиты в новых условиях.

С тех пор из точечной практики MSSP становится привычной рутиной, хотя динамика могла быть заметнее. Ее особенно хотелось бы видеть в госструктурах, где решение вопроса с информзащитой имеет гигантское общественное значение.

Панацея ли аутсорсинг? Нет. Сообщество прекрасно знает об ограничениях этого инструмента. Аргументы "против" легко нагуглить, не буду тратить ваше время на них.

Пожалуй, единственный "несгибаемый" аргумент против - это то, что компания не накапливает экспертизу внутри. Но на нынешнем этапе, на мой взгляд, он перекрывается всем тем, что может быть сказано "за". Это в первую очередь возможность получить срочную готовую защиту, когда нет времени наращивать экспертизу внутри. Второе "за" - это возможность избежать проблемы кадрового дефицита (про то, что рынок не предоставляет нужного количества квалифицированных кадров, всем известно). Третий аргумент - это экономическая целесообразность. В кратко- и среднесрочной перспективе ИБ-аутсорсинг дешевле, чем собственный отдел. И последнее - внешний специалист в вашем распоряжении всегда, без отпуска и больничных.

Мы сами многие годы вкладываем силы в услугу аутсорсинга, и это часто работа по развитию рынка. Как коммерческой услугой им пользуются компании из сферы малого и среднего бизнеса, у которых просто нет ресурсов, чтобы выстраивать отдел ИБ. С помощью аутсорсинга у руководителя появляется в штате собственный "безопасник", которого он не смог бы нанять, а также специализированное ПО, которое было бы сложно купить.

Другая категория пользователей аутсорсинга - это большие компании. Там служба ИБ уже есть, но рук на все задачи все равно не хватает. Вакансии могут не закрываться месяцами. И вместо того чтобы подолгу нанимать, вводить в курс дела и удерживать дефицитные кадры, в этих компаниях отдают функции внешней компании.

Пока среди клиентов госорганизаций немного, хотя аутсорсинг им "показан" едва не больше, чем коммерческим структурам. Но решения в госорганизациях принимаются сложнее, иначе строится бюджетирование. Ускорить этот процесс могут центры, которые располагались бы в каждом регионе и брали бы на себя мониторинг событий ИБ, предотвращение утечек информации. Центры располагали бы нужным числом специалистов, ПО, становились бы центром компетенций.

Мы видим, что и партнеры, конкуренты рассуждают в схожем направлении. Поэтому все происходящее вокруг услуг в информационной безопасности подсказывает, что уже через пару лет ИБ-ландшафт очень сильно изменится. То, что недавно казалось невозможным, станет совершенно привычным.