Неосязаемая защита

Провайдеры связи не умеют продавать корпоративным заказчикам облачную безопасность — таково общее мнение участников круглого стола «Информационная безопасность как услуга», проведенного в середине марта журналом «Директор информационной службы» (CIO.RU) совместно с российским представительством McAfee. В рамках круглого стола руководители, отвечающие за информационную безопасность в «Вымпелкоме», МТС, ТТК и других телекоммуникационных компаниях, обсудили настоящее и будущее решений категории «информационная безопасность как услуга».

Совершенно не случайно к участию в круглом столе были приглашены именно телекоммуникационные компании: телеком тесно связан с облачными услугами, поскольку облака адекватно воспринимаются лишь вкупе с качественными каналами передачи данных. Операторы связи фактически являются системообразующими компаниями нарождающегося сектора облачных услуг. Более того, телеком-провайдеры вполне органично могут превратиться в провайдеров облачных сервисов — начав с оптимизации инфраструктуры и построения внутреннего облака, они быстро приходят к тому, что предоставляют аналогичные услуги вовне.

В треугольнике интересов

«В России облака сейчас скорее напоминают тучи, однако по мере преодоления поставщиками облачных вычислений организационных, технологических и правовых сложностей из этих туч может пролиться дождь в виде решений проблем заказчиков», — считает Роман Емельянов, директор по информационной безопасности компании «ТТК». Проблема очевидна: если говорить об использовании облачных сервисов, то с технической точки зрения вопросов возникает не очень много. Они появляются, когда речь заходит о доверии, юридической защищенности и ответственности. Как известно, при взаимодействии двух компаний именно ответственность зачастую является ключевым понятием.

«Доверие операторам связи есть, просто они не умеют им пользоваться», Дмитрий Соболев, директор по проектам МТС

Еще важнее то, что многие поставщики не могут внятно описать предлагаемую услугу, предложить гарантии ее качества и указать конкретные бизнес-выгоды от ее использования. Последний пункт является особо серьезным камнем преткновения. Услуга может быть хорошо реализована, но не продвигаться на понятном уровне — так, чтобы потенциальный пользователь мог оценить ее пользу. Говорить нужно не в терминах безопасности, а в терминах возможных экономических потерь и рисков для бизнеса. При этом речь вовсе не идет о необразованности российских пользователей. За рубежом ситуация, когда заказчик самостоятельно не может выбрать необходимую услугу (ему нужны консультации с провайдером), также является типичной.

ТТК уже достаточно давно предлагает своим заказчикам услуги безопасности, самой старой из которых является услуга межсетевого экрана, предоставляемая с 2004 года. В целом ее услуги делятся на три группы: защищенный Интернет (сюда включается защита от DDoS-атак, антивирусные и антиспамовые средства, межсетевые экраны), мобильный офис (предоставление защищенного удаленного доступа к корпоративным ресурсам), а также услуги по защите корпоративной сети. Последняя является самой новой, она может быть интересна государственным учреждениям, так как сертифицирована ФСТЭК.

Как подчеркнул Алексей Чередниченко, директор по продажам в телекоме и нефтегазовой отрасли компании McAfee в России и СНГ, провайдеры облачных систем до сих пор занимаются безопасностью создаваемых решений по остаточному принципу. В результате многие из существующих на рынке SaaS-предложений откровенно слабы с точки зрения безопасности. Необходимость же дополнительной защиты облачных сервисов пока явно недооценивается.

«Через два-три года в России сложится среда, готовая воспринимать идеи облаков и необходимость их защиты», Дмитрий Устюжанин, руководитель департамента информационной безопасности компании «Вымпелком»

Об этом же говорят и независимые аналитики. На сегодняшний день рынок средств безопасности оценивается аналитиками Forrester в 9 млрд долл., причем его облачная часть весьма незначительна. Однако уже к 2015 году рынок существенно «разбухнет», произойдет это именно за счет сегмента «безопасность как услуга» (security-as-a-service), который должен вырасти до 12 млрд долл.

Практика показывает, что в настоящее время большинство заказчиков приходят к провайдерам услуг безопасности после того, как столкнутся с серьезными инцидентами. Если при этом компания почувствовала определенный финансовый эффект, она готова подписаться на услуги, дабы негатив не повторился.

Другая проблема заключается в том, что системным интеграторам компании пока доверяют больше, чем провайдерам связи. В этом заключается психологический аспект такой щепетильной темы, как безопасность: компании охотно приглашают консультантов для построения и обслуживания решений на собственной территории, но не хотят отдавать безопасность в чужие руки.

Таким образом, облачные сервисы порождают конфликт интересов системных интеграторов и провайдеров связи. Третью вершину «треугольника интересов» составляют вендоры, практически каждый из которых имеет собственные облака, а значит, также является поставщиком услуг. В этом противостоянии системные интеграторы имеют определенное преимущество: они могут осуществлять более широкий спектр услуг, к тому же готовы взять за них ответственность.

Заслужить доверие

Как признаются участники круглого стола, операторы связи и сами далеко не всегда горят желанием предоставлять услуги безопасности — они им не очень выгодны, а потому составляют лишь малую толику прибыли по сравнению с предоставлением традиционных услуг связи. Тем не менее если телекоммуникационные компании все-таки решат активно включиться в борьбу за облака, то их перспективы могут оказаться не такими уж плохими. В этом случае, согласно прогнозам J-son & Partners, значительная часть облачного бизнеса будет перетекать к ним. Как показывают результаты проведенного исследования, те компании, которые пока не используют облачные решения, в идеале хотели бы получать такие услуги от «своих» операторов связи или хостинг-провайдеров.

Статистика показывает, что 80% угроз таится внутри компании, и лишь 20% приходят извне, а деятельность сотрудников подразделений ИБ направлена в обратной пропорции. Очевидно, было бы весьма полезным отдать защиту от внешних угроз в руки провайдера, а самим сосредоточиться на решении внутренних проблем. Однако, как подчеркивает Дмитрий Соболев, директор по проектам МТС, во многих компаниях существуют подразделения ИБ, которые возглавляют амбициозные и талантливые люди, не собирающиеся делиться своими полномочиями, они аккумулируют в своих руках значительные ресурсы (как человеческие, так и финансово-материальные), накапливают компетенции и делают карьеру внутри компании.

«Доверие к операторам связи есть, просто они не умеют им пользоваться», — полагает Соболев. В первую очередь провайдерам сервисов нужны достаточно подкованные в ИТ маркетологи, способные продвигать облачные продукты на уровне руководства компаний.

Еще одним важным шагом в продвижении предлагаемых продуктов может стать практика эксплуатации решения внутри компании. Иначе говоря, следует сначала внедрить сервис у себя, а уже затем его продавать. Вполне естественной реакцией по отношению к компании, продающей одни решения, а для собственных нужд использующей другие, является недоверие. Кроме того, крайне нежелательно работать с решениями единственного вендора: возможность выбора будет говорить о независимости и объективности провайдера.

«Необходимо обучать продавцов, готовых говорить доступным языком о проблемах безопасности и предлагаемых решениях», — согласен Дмитрий Устюжанин, руководитель департамента информационной безопасности компании «Вымпелком». По его словам, уже через два-три года в России сложится среда, готовая воспринимать идеи облаков и необходимость их защиты. К этому времени поставщики соответствующих сервисов должны быть в полной готовности.

• Видеоотчет о мероприятии можно увидеть на сайте издательства «Открытые системы»: http://tv.osp.ru/videos/mcafee_0316.html