Аутсорс кібербезпеки — чи справді це небезпечно та дорого?

Багато цікавості до цього питання виявляють студенти та школярі. Тож кількість охочих спробувати зламати чиюсь систему захисту постійно зростає. Ще й штучний інтелект, такий як ChatGPT та OpenAI може допомогти кіберзлочинцям у цьому питанні.

Водночас багато компаній, навіть великих, не можуть собі дозволити тримати окремих фахівців з безпеки в штаті, щоб тестувати систему на вразливості та вибудовувати для шахраїв перешкоди.  Тож оптимальний вихід з цієї ситуації — аутсорс. 

Тільки річ у тім, що питання безпеки зазвичай перекладають на розробників. Це може виглядати нормальним рішенням, але в останніх безліч інших завдань, тож вони можуть не встигати стежити за тенденціями та новими технологіями. Та й взагалі складно бути спеціалістом у кількох напрямках одночасно. Наприклад, розробник може встановити антивірусне програмне забезпечення, але не зможе розслідувати інцидент проникнення.

Чому деякі компанії не наважуються на аутсорс? Відповідь проста: тема нова та не дуже зрозуміла, тож обростає міфами. Більшість думає, що це надто дорого, краще впоратись власними силами, та небезпечно, бо сторонні люди отримають доступ до важливих даних. Також багато хто при словах “аудит безпеки” очікує побачити людей у білих комірцях та краватках, що виглядають вишукано, але схожі на втілення певної небезпеки, до того ж надають розмиті та незрозумілі поради. 

Розберімося, чи насправді такий страшний аутсорс, яким його малює уява. 

Про що будемо розповідати:

• Що таке аутсорс кібербезпеки
• Що входить до послуг з аутсорсу
• Кому потрібен аутсорс кібербезпеки
• Аутсорс безпеки і витік інформації
• Чи справді аутсорс буде дорожчим від власної команди
• Як мінімізувати витрати на аутсорс

Що таке аутсорс кібербезпеки

Аутсорс кібербезпеки — це модель отримання бізнесом відповідних послуг, які обмежені часом виконання та не передбачають необхідності найму співробітників у штат. Такі послуги можуть мати разовий характер, або надаватися періодично, але при цьому забезпечувати безперебійну роботу інфраструктури за умови дотримання інструкцій протягом тривалого часу. Наприклад, доки не закінчиться гарантійний термін програмного забезпечення чи обладнання (зазвичай протягом року).

Що входить до послуг з аутсорсу

Різні компанії можуть спеціалізуватися в різних напрямках надання послуг з кібербезпеки. Наприклад, це:

• Аудит з кібербезпеки для оцінки захищеності.
• Тестування на DDos-атаки для пошуку вразливостей.
• Розслідування інцидентів для виявлення впливу шахраїв.
• Управління репутацією для підвищення рейтингу бренду.
• Захист конфіденційних даних для уникнення витоку інформації.
• Управління доступами та ідентифікацією для попередження зламу.
• Надання хмарних послуг з посиленими системами захисту.
• Технічні засоби захисту для посиленої автентифікації.
• Розробка внутрішніх політик з кібербезпеки задля попередження інцидентів.
• Надання послуг із сертифікації для управління інфраструктурою відкритих ключів (PKI).

Тільки із цього переліку можна побачити, що напрямки досить різні, тож охопити їх одній людині буде складно. Але команда може включати фахівців різних галузей (хтось краще знає психологію шахраїв, хтось вправно аналізує та розробляє інструкції, а хтось більше орієнтується в новітніх технологіях), тож вони можуть закривати більшість запитів клієнтів, надаючи послуги якісно.

Кому потрібен аутсорс кібербезпеки

Звичайно, аутсорс кібербезпеки може бути потрібен не всім компаніям. Зазвичай ці послуги замовляють:

• Компанії, яким бракує відповідних вузьких фахівців.
• Бізнеси, які не можуть надати достатнє навантаження спеціалісту для відповідної ролі в штаті, тож утримувати його на фултайм недоцільно.
• Підприємства, яким бракує часу на те, щоб розбиратися з питаннями кібербезпеки самостійно, для яких важливо швидше вибудовувати інші процеси.
• Організації, які через специфіку бізнесу мають відповідати певним стандартам. 

Аутсорс кібербезпеки і витік інформації

Поговоримо про страх витоку інформації через втручання сторонніх компаній. Спойлер — він недоцільний. Тому є кілька причин:

• Компанії, що надають відповідні послуги, дуже ретельно дбають про свою репутацію.
• Аутсорсинг не передбачає повну передачу прав та доступів підрядникам. Компанія продовжує регулювати всі процеси та надає відповідні права і доступи контрольовано, за попереднім погодженням і якщо є необхідність у тому чи іншому випадку. 
• Перед тим, як розпочати роботу, аутсорсингова компанія укладає відповідний договір — Service-level agreement (SLA) — про рівні доступів та гарантії. В цій угоді детально описуються всі види послуг, що надаються, та штрафні санкції за порушення угоди.

Ще один факт: коли людям потрібні послуги вузьких фахівців, наприклад, стоматолога чи няні, вони не думають про те, наскільки це може бути небезпечно, а до “білих хакерів” відчувають страх. Хоча послуги з кібербезпеки — це всього лише послуги, такі самі як будь-які інші. Є певні ризики в будь-якій професії, але досвідчені фахівці знають, як їх уникати.

Чи справді аутсорс буде дорожчим від власної команди

Коли бізнесмен піклується про захист, в першу чергу він думає про технології. Наприклад, він дізнається про мережевий екран, що відстежує інциденти, і вирішує його придбати. Але виявляється, що:

• мережеві екрани бувають різних типів (шлюзи, пакетні фільтри, керовані комутатори тощо), треба знати, який краще буде працювати саме в певній IT-структурі, бо вони мають певні переваги та обмеження;
• навіть якщо вкласти багато грошей в якісний мережевий екран, треба навчитися правильно читати повідомлення — чи відноситься воно до інциденту, чи ні, та чи потрібно в результаті буде переналаштовувати обладнання, вибудовувати нову систему захисту, чи достатньо буде просто видалити загрозу. 

Таких прикладів можна навести багато. Якщо постійно вкладати гроші в обладнання та навчання/перепідготовку штату, то це вийде значно дорожче, ніж замовити разові послуги.

Як мінімізувати витрати на аутсорс

Звичайно, щоб не переплачувати за будь-які послуги, треба пробувати попередньо розібратися у видах загроз та можливих системах захисту. Для цього доцільно періодично відвідувати різні заходи з кібербезпеки, читати новини або консультуватися з фахівцями. Наприклад, останніми трендами із захисту інформації є використання хмарних сервісів та апаратних методів захисту облікових записів (смарт-картки, ключі безпеки, апаратні модулі).

Перед кожною консультацією з фахівцями доцільно зібрати інформацію та сформувати список питань та побажань:

• можливо, ви хочете надавати різні доступи для команди (адміністратори зазвичай мають більше прав, ніж редактори чи автори, а звичайним користувачам достатньо обмежених можливостей);
• можливо, ви хочете мінімізувати витрати на обслуговування IT-структури, при цьому не купувати додаткове обладнання, сервери тощо;
• а може, ви підозрюєте, що хтось з команди працює на конкурентів і треба це дуже коректно виявити;
• можливо, ви хочете надавати високий сервіс та провести тестування системи на вразливості або захиститися від підступів конкурентів. 

Після того, як ви сформулювали список питань, зв’яжіться з компанією, що надає послуги з захисту інформації, та замовте консультацію. 

Будьте готові до того, що вам нададуть список додаткових запитань, бо фахівцям потрібно оцінити обсяг робіт перед тим як підрахувати, скільки будуть коштувати послуги. Також досвідчена команда зазвичай може вам запропонувати кілька варіантів послуг для розв’язання ваших питань. Після цього ви зможете визначитися, які саме послуги купувати: чи тільки аудит безпеки, чи тестування на атаки, чи програмне забезпечення, чи “переїзд” у хмару, чи апаратні рішення тощо. 

А наша компанія, яка має досвід роботи у сфері понад 30 років, буде рада допомогти з вашими питаннями. Звертайтеся, якщо вам потрібно вибудувати надійну систему захисту інформації! 

Інші наші публікації