ИБ как услуга — это не экономия на людях, а покупка времени реакции

— Константин, за последний год многие компании перешли от «железа и лицензий» к сервисным контрактам. Это вынужденная мера из-за кадрового дефицита или зрелая стратегия?

— И то, и другое. Дефицит специалистов никуда не делся — по России он измеряется десятками тысяч, а глобально — миллионами, и это главный тормоз для самостоятельного наращивания ИБ-функций. Но переход к сервисам — не про нехватку рук, а про покупку предсказуемого результата: времени обнаружения и реагирования, дисциплины обновлений, непрерывной аналитики телеметрии. Сервисный провайдер масштабирует практики на портфель клиентов и может держать нужный ритм 24/7 — это то, чего одиночной команде часто не хватает. На рынке это отражается просто: растет доля управляемых услуг, прежде всего MDR и SIEM-как-сервис, плюс консалтинг уровня виртуального CISO для тех, кому нужен стратегический «мозг», но невыгодно держать его в штате.

— MDR — слово-герой 2025 года. Что в реальности получает клиент, когда «подключает MDR»?

— Он получает фабрику обнаружения и реагирования, а не «коробку». Это сбор и нормализация событий, корреляция, готовые плейбуки реагирования и круглосуточная команда, которая закрывает инцидент до того, как он станет кризисом. Важная часть — генеративные и узкоспециализированные ИИ-помощники: они ускоряют анализ артефактов и дают интерфейс естественного языка для поиска по логам и телеметрии. При этом MDR окупается быстрее собственного SOC за счет масштаба, а качество детекта растет, потому что мы ежедневно видим широкий спектр атак, включая вариации RaaS и MaaS.

— Если у клиента уже есть SIEM, зачем ему еще и «SIEM-как-сервис»?

— Потому что SIEM — это не продукт, а процесс. Лицензия не ловит злоумышленника, ее ловит методология корреляции, актуальные правила, интеграции с облаками, автоматизация откликов и покрытие источников. В сервисной модели мы отвечаем за эти «скрытые» компоненты: движок корреляции, коннекторы, управление политиками и штат аналитиков. Добавьте сюда GenAI-помощников, которые действительно сокращают путь от сигнала к гипотезе. В результате у клиента снижается MTTR и растет прозрачность — он видит, как сигнал превращается в действие, а не в красивый график.

— Многие считают, что «свое — значит контролируемое». Почему этот аргумент сегодня не работает?

— Свое — это еще и свой технический долг. Самая частая причина инцидентов — не экзотический 0-day, а неаккуратные обновления: патчи откладывают из-за рисков простоя, нехватки «песочниц» и людей. Отсюда — уязвимости в приложениях и цепочках поставок, которые копятся месяцами. В сервисной модели дисциплина апдейтов и «канареечных» релизов встроена в контракт, а их стоимость распределена между клиентами. Особенно это критично для МСП: бюджеты в среднем в районе нескольких десятков миллионов рублей в год, существенная доля которых уходит на быстро устаревающее оборудование. Им проще перейти от CAPEX к OPEX, чтобы всегда быть на актуальной версии защиты и не содержать дорогостоящую смену в SOC.

— Что происходит на рынках за пределами России? Где спрос на сервисы выше всего?

— В Азии компании переживают «нормализацию» вымогателей и активно автоматизируют предикцию угроз. Там фокус на киберустойчивости: не только детект и блокировка, но и быстрый возврат к операционной норме, от резервирования до планов непрерывности. На Ближнем Востоке к этому добавляется безопасность контрольных точек — от API и удостоверений до охраны данных в облачных сценариях. Там доля компаний, уже успевших столкнуться с результативными атаками за год, очень высока, поэтому спрос на управляемые сервисы и ИИ-помощников растет наиболее динамично.

— Регуляторика усложняется по всему миру. Как она меняет сервисные контракты?

— Меняет радикально. В России ужесточается ответственность за утечки и вводятся новые требования к работе с данными, одновременно в США и ЕС усиливают акценты на киберустойчивость и безопасную разработку. Для клиента это не «бумага ради бумаги», а новые KPI безопасности: проверяемость процессов, трассируемость изменений, готовность к инцидентам. В контракт мы закладываем соответствие локальным и международным стандартам, аттестации облачной инфраструктуры, а также измеримые SLA не только по времени реакции, но и по качеству аналитики.

— Какую роль вы отвели генеративному ИИ в безопасности? Это уже практика или пока витрина?

— Это практика, но с ремарками. Более 90% реальной пользы от ИИ в ИБ в ближайшие годы дадут сторонние поставщики — те, кто умеет промышленно интегрировать модели в процессы, а не просто «подложить чат-бота под логи». Мы уже используем ИИ, чтобы уменьшать шум, ускорять первичную квалификацию, подсвечивать закономерности, которые сложно заметить человеку в потоке. Там, где модель ошибается, у нас встроен «человек в петле» и обязательная валидация гипотез. ИИ меняет роли: машины станут «первыми читателями телеметрии», а люди — архитекторами правил и владельцами контрольных точек.

— Если говорить о кадрах: где сейчас болят сильнее всего?

— Самые острые разрывы — облачная безопасность, Zero Trust, пентест, цифровая криминалистика, безопасность приложений. Это не прихоть рынка, а отражение того, где в реальности проходят атакующие. Отсюда и популярность формата virtual CISO: компании покупают не человека с рынком зарплат «Сайберпанк-уровня», а проверенную практику управления рисками и архитектурой, зафиксированную в SLA.

— Вы часто говорите про «ритм» ИБ. Что это означает в операционном смысле?

— Это управленческая привычка жить в цикле «показали — обсудили — доработали». Каждую неделю мы приоритезируем риски на языке бизнеса: какие сервисы критичны, какая обратная совместимость нужна, что патчим сейчас, что — после регрессии. И в этом ритме важны не только технологические навыки, но и коммуникация: объяснить, почему обновление сегодня — это меньше риска завтра, почему иногда нужно отложить релиз фичей ради безопасности. Когда у клиента и провайдера общий ритм, сокращается путь от сигнала к действию — и это главная метрика зрелости.

— Есть ли кейсы, где сервисная модель точно «не взлетит»?

— Она не взлетит там, где безопасность воспринимают как проект «внедрил и забыл». Сервис — это совместное владение результатом. Если в компании нет владельца рисков, нет согласованной архитектуры и доменных моделей, никакой провайдер не закроет эту лакуну. Но когда внутренняя команда удерживает «смысл» — риск-аппетит, стандарты, референс-архитектуры, — а мы берем на себя рутину и масштаб, получается симбиоз, который устойчив к турбулентности угроз.

— Каким будет рынок через три года?

— Код и инструменты будут дешеветь, а масштабируемость, надежность и бизнес-эффект — дорожать. Услуги будут «сшиваться» вокруг данных и идентичностей, а не вокруг «ящиков». Появятся SLA нового типа — не только про минуты реакции, но и про качество аналитики, снижение техдолга и доказуемую киберустойчивость. Победят те, у кого короче путь от события к действию и у кого архитектура позволяет обновляться без боли. Это и есть настоящая «ИБ по подписке» — не экономия на людях, а покупка времени, внимания и зрелости процессов.

— Если бы вам нужно было назвать один вопрос, который ИТ-директор должен задать себе уже сегодня, какой бы это был вопрос?

— «Что мне нужно защитить прежде всего — данные, идентичности, цепочку поставок?» Как только ответ прозрачен, стратегию сервисов собрать несложно: выстраиваете контрольные точки, договариваетесь о ритме с провайдером и начинаете мерить путь от сигнала к действию. Все остальное — производная.