Для какой компании нужны свои специалисты по информационной безопасности

Когда мы слышим словосочетание «информационная безопасность», мы обычно представляем себе серверные стойки, сложные коды и серьезных людей в наушниках, которые следят за экранами. Однако для 99% российских компаний реальность выглядит иначе: у них нет ни серверных, ни людей в наушниках. Сегодня интервью с Игорем Краевым, экспертом по информационной безопасности на тему аутсорсинга специалистов информационной безопасности  для среднего и малого бизнеса.

В интервью Игорь рассказывает, почему держать своего специалиста по кибербезопасности в штате — это моветон, какие этапы защиты нельзя пропускать даже при скромном бюджете и как крупный бизнес страдает от отсутствия «взгляда со стороны».

Собственная служба информационной безопасности — это иллюзия

Игорь, вы работаете с различными компаниями по информационной безопасности. Но почему вас привлекают проблемы именно малого и среднего бизнеса?

Самое прямое. Потому что сегодняшний малый бизнес — это завтрашние партнеры крупных корпораций. Или их жертвы. Знаете, как выглядит самая модная атака последних двух лет? Хакеры заходят не на завод, а в бухгалтерию подрядчика, который поставляет этому заводу еду для столовой. У подрядчика защита — на троечку. И через эту дыру злоумышленники перепрыгивают в контур гиганта.

Но главная проблема не в этом. Главная проблема — в иллюзии. Многие директора малых и средних предприятий думают: «У нас маленькая компания, кому мы нужны?». Или наоборот: «Я посадил своего системного администратора, пусть он и отвечает за безопасность».

И то, и другое — фатальные ошибки.

То есть держать своего специалиста по ИБ в штате — плохая идея?

Для малого бизнеса — да, это как завести свою атомную электростанцию, чтобы питать одну лампочку. Просто посчитайте: зарплата мало-мальски приличного специалиста по информационной безопасности начинается от 150–200 тысяч рублей в месяц. Плюс налоги, плюс оборудование, софт, лицензии. Для компании с оборотом даже в 10–20 миллионов это серьезные цифры.

Но дело даже не в деньгах. Один человек в штате — это всегда риск. Сегодня он есть, завтра его перекупили. Он может болеть, уходить в отпуск, или просто чего-то не знать. Информационная безопасность — это командный вид спорта, где нужны сменщики и разные специалисты: один настраивает сети, другой ловит инциденты, третий работает с персоналом.

Поэтому для 80% рынка ответ очевиден: аутсорсинг безопасности. Или, как это модно называть, SOC as a Service — центр мониторинга как услуга.

Кухня аутсорсинга информационной безопасности: от скальпеля до винтика

Хорошо, убедили. Допустим, директор малого предприятия решил отдать безопасность на аутсорсинг. Что он должен купить? Как вообще выглядит этот процесс?

Если мы говорим про системный подход, а не про «поставили антивирус и забыли», то путь состоит из семи обязательных этапов. И любой добросовестный партнер предложит вам именно такой чек-лист.

1. Первичный аудит текущего состояния. Мы не можем лечить, не поставив диагноз. На этом этапе специалисты приходят (или подключаются удаленно) и смотрят, что у вас вообще есть. Где лежат данные, кто имеет к ним доступ, какие стоят пароли, есть ли резервные копии. Часто на этом этапе выясняется, что «все плохо», но директор об этом даже не догадывался.
2. Анализ угроз и возможностей. Нужно смотреть  не только на технику, но и на людей. Есть ли у вас обучение? Не заказываете ли вы пиццу по телефону, называя номер карты? Не пересылают ли секретари документы в мессенджерах?
3. Настройка оборудования и ПО. Самый скучный, но самый важный этап. Специалисты должны разработать архитектуру информационной безопасности и настроить правила на межсетевых экранах, настроить антивирусы, закрыть «дыры», которые нашли на первом этапе.
4. Внедрение ИИ-агентов. Современная защита — это не только поиск известных вирусов и угроз. Это машинное обучение. ИИ-агенты должны встраиваться в вашу инфраструктуру и учиться тому, что у вас считается нормой. Чтобы потом заметить аномалию: например, бухгалтер вдруг начала качать файлы в три часа ночи.
5. Круглосуточный мониторинг (SOC). Самое ценное, что дает аутсорсинг. Пока ваш системный админ спит дома, в дата-центре сидит дежурная смена, которая смотрит на ваши логи. Если происходит что-то подозрительное — они реагируют мгновенно.
6. Обучение сотрудников. Я не устану это повторять. Самый слабый элемент — человек. Хороший аутсорсер обязательно проводит тренинги и, что важнее, симуляции атак. Рассылает фейковые фишинговые письма, звонит с незнакомых номеров, пытается «взломать» секретаршу социальной инженерией. Тех, кто попался — отправляет на пересдачу.
7. Обратная связь и корректировка. Это не разовая услуга. Угрозы меняются каждый день. Сегодня мы защищаемся от вируса, завтра — от новой уязвимости в операционной системе или новом оборудовании. Подрядчик должен постоянно адаптировать политики под новые реалии.

Только пройдя все эти круги, можно спать спокойно.

Звучит дорого. Сколько это стоит в деньгах обойдется для компании?

Для микробизнеса (до 20 человек) можно уложиться в 20–30 тысяч рублей в месяц. Это цена хорошего ужина в ресторане. Для среднего бизнеса (до 200–300 человек) — от 100 до 300 тысяч в месяц. Согласитесь, держать штат из пяти человек за эти деньги невозможно, а уровень защиты вы получаете, как у крупной корпорации.

Крупный бизнес: проблема зеркал

А что же крупный бизнес? У них-то свои отделы есть, свои специалисты. Им аутсорсинг не нужен?

Нужен, и даже больше, чем малому бизнесу. Только в другой роли. Крупному бизнесу критически необходим независимый аудит.

Понимаете, когда вы работаете внутри компании годами, у вас возникает эффект «замыленного глаза». Вы смотрите на систему и видите то, что привыкли видеть. Вы знаете, кто сидит в соседней комнате, вы доверяете коллегам. И перестаете замечать риски.

Самые громкие утечки последних лет происходили не потому, что у компаний была плохая защита, а потому, что они не проверяли сами себя.

И как часто нужно проводить такой аудит?

Минимум раз в год. И обязательно — с привлечением внешних экспертов. Мы называем это Red Team / Blue Team упражнениями. Внешняя команда (Red Team) пытается взломать компанию любыми способами: от отправки фишинговых писем до физического проникновения в офис. А внутренняя служба безопасности (Blue Team) должна это обнаружить и предотвратить.

Это один из способов понять, работает ли ваша защита на самом деле. Потому что любой отдел ИБ, который не проверяют со стороны, рано или поздно начинает имитировать бурную деятельность, а не заниматься реальной безопасностью.

Проблемы, которые решает аутсорсинг в информационной безопасности

Если подвести итог, от каких именно проблем спасает такой подход?

От трех главных бед российского бизнеса.

Первое — остановка бизнеса. Вирус-шифровальщик может парализовать работу на неделю. Аутсорсер с настроенными бэкапами и мониторингом остановит атаку за часы.

Второе — финансовые потери. Штрафы за утечку персональных данных сегодня растут. Если утечка произошла по вашей вине, а вы не можете доказать, что принимали меры (тот самый аудит, политики, обучение), штраф будет максимальным. Если у вас есть документы от подрядчика — вы хотя бы покажете регулятору, что старались.

Третье — кадровая зависимость. Уволился системный администратор, который знал все пароли? Для компании с аутсорсингом это не катастрофа. Пароли хранятся в защищенном хранилище, доступы переоформляются за час, а мониторинг ни на минуту не прекращается.

И последний вопрос: а нет ли риска, что аутсорсер сам сольет данные?

Риск есть всегда. Поэтому нужно тщательно выбирать партнеров. Смотрите на их репутацию, на кейсы. Заключайте договоры со строгими NDA (соглашениями о неразглашении). Но если выбирать между «дядей Васей», который поставил пиратский антивирус, и профессиональной командой, которая отвечает за свою работу рублем, — то, конечно, выбирайте профессионалов.

Рынок информационной безопасности взрослеет. Уходит эпоха «священных коров», когда каждая компания пыталась обзавестись собственным гуру безопасности. Приходит эпоха разделения труда и специализации. И для малого, и для среднего, и для крупного бизнеса главным словом становится не «контроль», а «доверие». Доверие профессионалам, которые знают о киберугрозах чуть больше, чем написано в новостях.