Нельзя доверять никому?

Заметки ведущего «круглого стола» на тему «Аутсорсинг информационной безопасности: прекрасная утопия или выход из тупика?»

ЯННИК БУРК: «Чем крупнее фирма, тем больший уровень конфиденциальности ей требуется. Поэтому банки, госучреждения и военные ведомства отдают на аутсорсинг лишь второстепенные функции защиты»

Мартовская конференция «Информационная безопасность предприятия: как противостоять новым угрозам?», организованная компанией IDC и издательством «Открытые системы», завершилась традиционной открытой дискуссией. Предложив для нее название «Аутсорсинг информационной безопасности: прекрасная утопия или выход из тупика?», автор данной статьи и одновременно ведущий «круглого стола» намеренно сгустил краски. В самом деле, об утопичности идеи говорить не приходится: успешные примеры предоставления соответствующих услуг имеются не только на Западе, но, вроде бы, и в России. До тупика дело тоже пока не дошло: худо-бедно, организации справляются как с традиционными, так и с постоянно возникающими новыми угрозами. Несмотря на рост интенсивности внешних атак, большинство инцидентов не приводят к катастрофическим последствиям, а бизнес в целом продолжает развиваться...

Но, странное дело, обсуждение показало, что указанное название в какой-то мере отражает состояние дел в этой области. Некоторым заказчикам возможность перехода на модель аутсорсинга в сфере ИТ-безопасности и по сей день представляется нереальной, утопичной, а то и попросту вредной. А представителей компаний, предлагающих такие услуги, многие вопросы поставили в тупик.

Начать хотя бы с того, что само представление об аутсорсинге, по поводу которого уже было сказано столько слов и вокруг которого сломано столько копий, трактуется участниками рынка самым произвольным образом. Скажем, Jet Infosystems уже не первый год заявляет о предоставлении российским клиентам услуг аутсорсинга в области защиты информации. Однако, как можно было понять из высказываний Бориса Симиса, возглавляющего в этой компании группу сопровождения систем безопасности, весь аутсорсинг сводится к проектированию, разработке регламентов и последующему внедрению на предприятии заказчика соответствующей системы. Помнится, подобная деятельность раньше всегда именовалась системной интеграцией, и попытку позиционировать ее в качестве аутсорсинга можно расценить как неудачный маркетинговый ход.

Но даже если договориться о дефинициях, окажется, что к детальному обсуждению некоторых проблем, неизбежно возникающих при переходе заказчика на модель аутсорсинга, поставщики услуг пока не готовы. И одна из них — завоевание доверия клиента. В России нет многолетней практики делегирования третьей стороне функций защиты корпоративных информационных систем (ИС). Даже те отечественные компании, которые не первый год работают на рынке информационной безопасности, аутсорсингом стали заниматься совсем недавно. В этих условиях проблема доверия, возникающая практически при любых бизнес-взаимоотношениях, возводится в квадрат.

Суть ее предельно проста: поручая внешней организации защищать свою корпоративную сеть, заказчик должен быть уверен, что достигнутый собственными силами уровень конфиденциальности корпоративной информации как минимум не понизится. Не секрет, что провайдер услуг в области безопасности становится «лакомым кусочком» для хакеров: взломав используемые им средства защиты, злоумышленники получают доступ к корпоративным системам множества организаций. К тому же не исключено, что в стенах самого поставщика услуг возникнет своеобразная биржа информации, особенно если его клиентами окажутся конкурирующие фирмы.

Надо признать, проблему осознают и сами провайдеры. Согласно заявлению Руфата Кримана, возглавляющего сервисное подразделение в российском представительстве Lucent Technologies, в этой компании выработаны механизмы предотвращения подобных ситуаций. Во всяком случае, в договорах предусмотрена выплата заказчику компенсаций в том случае, если, скажем, его клиентская база данных попадет к конкуренту или вообще окажется в открытом доступе. Более того, список уже обслуживаемых заказчиков предоставляется новым клиентам, чтобы последние могли оценить риск и осознанно принять решение о сотрудничестве с данным провайдером услуг.

Разумная достаточность

Требования к конфиденциальности в разных организациях существенно различаются. По справедливому замечанию Янника Бурка, директора Lucent по эксплуатации систем безопасности в европейском регионе, чем крупнее фирма, тем более высокий уровень конфиденциальности ей требуется. По этой причине банки, госучреждения и военные ведомства отдают на аутсорсинг не ключевые, а лишь второстепенные функции защиты. А вот в малых и средних компаниях (SME) ситуация иная: на первый план выходит задача снижения операционных расходов. Такие организации не могут себе позволить держать в штате высококвалифицированных администраторов систем безопасности, поэтому практически полностью переходят на модель аутсорсинга — у них просто нет иного выхода.

Точки зрения участников дискуссии на проблему доверия между провайдером и заказчиком разделились. Например, г-н Симис считает, что это — явно не ключевой аспект таких взаимоотношений. По его словам, существуют проверенные механизмы (использование регистрационных имен, паролей), позволяющие обособиться от недобросовестности привлекаемой к аутсорсингу организации. Как утверждает Михаил Левашов, начальник отдела информационной безопасности МТС, доверие — абстрактное понятие, не имеющее отношения к взаимодействию субъектов бизнеса. На «круглом столе» можно было услышать и нечто вроде реплики «в наше время вообще нельзя доверять никому», которая, в сущности, отражает ситуацию на российском рынке.

Трудно спорить с тем, что, привлекая к обеспечению информационной безопасности внешнюю компанию, заказчик не должен передавать ей все сведения, относящиеся к защите корпоративной ИС, а тем более открывать доступ к базе данных клиентов и иной информации делового характера. Функции поставщика услуг сводятся к мониторингу имеющихся у заказчика средств защиты, уведомлению о выявленных инцидентах и принятию необходимых контрмер.

По словам Алексея Лукацкого, руководителя отдела компании «Информзащита», ни один провайдер не предлагает полной защиты ИС заказчика. Как правило, услуги сводятся к мониторингу внешнего периметра системы защиты и лишь в отдельных случаях — внутреннего инструментария, например систем обнаружения сетевых атак (IDS) или средств шифрования. Прикладным уровнем и средствами внутренней защиты такие провайдеры не занимаются, поскольку у каждой компании — свои технологии, и их специфика поставщику услуг неизвестна. Он берет на себя выполнение наиболее типичных функций защиты, а ключевые процедуры должны остаться в руках клиента.

Как ни странно, опыт зарубежных стран заставляет усомниться в справедливости последнего тезиса. Согласно данным IDC, во всем мире 75% случаев утечки конфиденциальной информации связаны с деятельностью самих сотрудников компаний. Поэтому, по мнению Дмитрия Фишелева, директора по развитию бизнеса проекта DATA FORT фирмы IBS, отдавая на аутсорсинг функции информационной защиты, заказчик не повышает, а понижает уровень риска.

Ответственность провайдера

Так или иначе, приходится констатировать: проблема доверия вполне реальна и лежит в экономической плоскости. По сути, речь идет об ответственности поставщика услуг за ущерб, нанесенный бизнесу клиента из-за нарушения регламента безопасности. Характер этой ответственности конкретизируется в соглашении об уровне обслуживания (Service Level Agreement, SLA), подписываемом заказчиком и поставщиком услуг. Именно в нем должны найти отражение все детали защиты корпоративной сети и ИС, все регламенты, процедуры реагирования на различные события и т. д. Контракт SLA нередко насчитывает около сотни страниц, и его разработку можно рассматривать как отдельную услугу.

Финансовое выражение ответственности провайдера, фиксируемой в SLA, до сих пор остается притчей во языцех. С одной стороны, согласно сложившейся мировой практике, эта ответственность ограничивается тем, что провайдер не получает от клиента плату за период, в течение которого нарушались положения контракта SLA. С другой, такая «компенсация» не имеет ничего общего с возможными убытками заказчика из-за серьезного инцидента в области информационной защиты.

В развитых странах такое противоречие разрешается благодаря использованию страховых схем. Скажем, фирма ISS привлекает для этой цели Marsh — одного из крупнейших страховых брокеров. Есть примеры (правда, не в России) установления предела ответственности по контрактам SLA в области безопасности в размере 100 млн долл. К счастью, в нашей стране крупнейшие страховые компании («Ингосстрах», РОСНО) тоже начали страховать информационные риски, но практика эта еще очень далека от повсеместной, да и возможные страховые выплаты ограничиваются гораздо меньшими суммами.

Проблема ответственности имеет еще одну сторону. Клиенту необходим контроль за текущей деятельностью провайдера и соответствием построенной системы защиты требованиям регулирующих органов. Один из вариантов — содержать в штате специалистов, квалификация которых позволяет надежно контролировать все действия поставщика услуг; однако на практике это реализовать сложно. Другой вариант сводится к делегированию контрольных функций еще одной компании, которая вызывает у заказчика большее доверие, нежели провайдер. Но и в таком случае возникают серьезные препятствия. Достаточно сказать, что сегодня в России лишь одна организация уполномочена выдавать сертификаты соответствия систем защиты требованиям стандарта ISO 17799. В итоге поставщик услуг зачастую одновременно является и контролирующей фирмой — со всеми вытекающими отсюда последствиями.

Финансовая составляющая

Причины, вынуждающие организацию делегировать ряд функций в области информационной безопасности сторонней компании, могут быть самыми разными (дороговизна законченных решений, проблемы поддержки средств защиты, отсутствие квалифицированного персонала и т. д.), но, в конечном счете, все они переходят в финансовую плоскость. Существует старый миф о том, что аутсорсинг дешевле приобретения, развертывания и эксплуатации системы защиты собственными силами. Однако недавние публикации в американском еженедельнике Computerworld свидетельствуют, что услуги аутсорсинга часто обходятся вдвое дороже.

Некоторые из участников дискуссии считают, правда, что финансовый аспект вообще не является решающим: порой аутсорсинг — единственный способ повысить качество информационной защиты или освободиться от непрофильных задач для концентрации на основном бизнесе. В российских условиях руководители компаний нередко вообще не оценивают реальных затрат на ИТ, и взаимодействие с поставщиком услуг дает хороший повод ликвидировать этот пробел.

При всей справедливости подобных аргументов вопрос экономии, особенно актуальный для малого и среднего бизнеса, остается. Как выяснилось, большинство игроков данного рыночного сегмента не готовы ответить на него, что называется, с карандашом в руках. Какие-то оценки смогла предоставить только компания «Информзащита». По мнению г-на Лукацкого, точка пересечения кривой собственных затрат заказчика и расходов на аутсорсинг достигается примерно через 36—40 месяцев после запуска проекта, а затем плата провайдеру оказывается выше собственных издержек. Несколько иначе те же цифры выглядят в представлении оператора «Эквант», оказывающего определенные услуги защиты данных на базе собственной телекоммуникационной инфраструктуры: подписка на такой сервис позволяет клиенту за три года уменьшить расходы на 30—40%.

Величина экономии напрямую зависит от бизнес-модели, выбранной провайдером. При работе с крупными организациями он может оговаривать стоимость своего сервиса в индивидуальном порядке, но стоит ему нацелиться на обслуживание представителей малого и среднего бизнеса, как ситуация меняется. Набор необходимых им функций защиты стандартен, что позволяет провайдеру разрабатывать типичные сценарии и предлагать тиражируемую услугу по приемлемым тарифам. Однако возможности снижения его собственных затрат не безграничны: рост клиентской базы требует дополнительного привлечения высококвалифицированных специалистов, поскольку один человек не в состоянии проводить мониторинг более десятка клиентских сетей (на практике цифра еще меньше). В итоге баланс между ценой предложения и спросом не всегда достижим, и провайдеру становится невыгодно работать в секторе SME.

В нашей стране проблема усугубляется тем, что у многих мелких компаний нет средств даже на приобретение элементарных средств защиты, и вопрос организации аутсорсинга вообще не возникает. По словам г-на Лукацкого, случаи понимания руководителями фирм того, что, помимо брандмауэра и антивирусного ПО, требуются еще какие-то инструменты защиты, можно пересчитать по пальцам. Не располагая необходимыми средствами, небольшие организации вынуждены ограничиваться бесплатно распространяемым ПО, которое инсталлируется на одном компьютере. В такой ситуации провайдеру просто нечего контролировать. И, судя по всему, именно ограниченность финансовых ресурсов клиентов еще долго будет основным фактором, сдерживающим развитие отечественного рынка услуг в области информационной безопасности.