|
|
Обзор подготовлен
У российского среднего и малого бизнеса (СМБ), как и у любого другого, есть потребность в комплексном обеспечении информационной безопасности (ИБ). В то же время, ему не хватает квалифицированных кадров, средств для покупки сложных решений и отчетливого понимания - зачем они нужны. Для того, чтобы, в частности, решить возникающие проблемы с ИБ сегодняшние СМБ устанавливают “коробочное” ПО, берут в штат системных администраторов, прибегают к аутсорсингу, пробуют облачные сервисы.
Сегодня доля бизнес-потребителей из СМБ, SOHO и смежного с ними сегмента частных потребителей более чем ощутима. В частности, согласно экспертному отчету компании LETA «Рынок информационной безопасности 2010: New generation», в 2010 году совокупная доля потребителей средств ИБ из малого и среднего бизнеса, а также частных клиентов, составила 37%, причем на последующие годы был сделан прогноз к ее росту.
Потребители ИБ
Источник: LETA, 2011
Этот достаточно емкий рынок является сложным и специфичным, что заставляет многих поставщиков ИБ-решений фактически обходить его стороной или же проявлять к нему лишь минимальный интерес. Тому есть ряд причин.
Спрос со стороны “небольших” бизнес-потребителей достаточно сложно прогнозировать, предсказать, в частности, исходя из изменений законодательства. Например, ФЗ №152 «О защите персональных данных» повлиял на них гораздо слабее, чем на потребителей крупных.
СМБ-потребители при внедрении средств ИБ заинтересованы в конечном результате. С точки зрения теории это должно было бы найти свое выражение в системном подходе, анализе рисков, некой проактивности и стремлению следовать существующим стандартам в области ИБ. На практике же у СМБ не хватает денежных средств и квалифицированного персонала на длительные, дорогостоящие комплексные внедрения, а реагирует малый бизнес часто не на риски, а на то, что уже с ним случилось.
Типичный руководитель в малом бизнесе, скорее всего, быстро выделит средства “в пожарном порядке” на разрешение конкретной экстренной ситуации путем покупки и установки очередного “коробочного” ПО из числа имеющихся на рынке. Убедить же среднестатистического директора СМБ-компании, исходя из чисто теоретических соображений, что ему на самом деле нужна не очередная “заплатка на безопасность” а, например, аппаратное UTM (Unified Threat Management) решение, - задача не из легких.
Дистрибуторскую компанию, работающую с большими оборотами и небольшой маржой, можно смело закрывать после того, как злоумышленник, получивший доступ к системе “банк-клиент”, подгадав нужный момент, “распорядится” средствами на ее расчетном счете. Небольшая консалтинговая или аудиторская компания вполне может потерять своих клиентов, если допустит несанкционированный доступ к их конфиденциальным данным и т.д. Можно привести и другие примеры, когда компании из СМБ бывают в достаточной степени мотивированы на внедрение современных средств ИБ, притом что ресурсы их ограниченны, а доступных решений на рынке предлагается не так много.
Ведение любого современного бизнеса сегодня довольно сложно представить без применения компьютерной техники. Поэтому актуальным для любой компании является поиск ИТ-специалиста (или, как вариант, внешнего аутсорсера). Малый бизнес обычно не структурирует свои проблемы так, как это было бы удобно специалистам по ИБ. Гораздо ближе и яснее владельцу малого бизнеса понятие “хороший системный администратор”.
Уровень ИБ, который обеспечит конкретный системный администратор, зависит от его подготовки, желания развиваться и постоянно повышать квалификацию и пр., а количество функций, которые он по факту выполняет в малом бизнесе, весьма велико. Найти и удержать мотивированного специалиста в небольшой компании объективно сложно. У системного администратора много прав, а над его действиями – мало контроля.
Так может быть внешний аутсорсинг способен гарантированно удовлетворить потребности российских СМБ в обеспечении ИБ?
Согласно отчету Ассоциации стратегического аутсорсинга «АСТРА» “Российская индустрия аутсорсинга, 2011”, коммерческий рынок ИТ-аутсорсинга в 2010 г. оценивался суммой свыше $1 млрд. По данным обзора IDC “Russia IT Security Services 2011-2015 Forecast and 2010 Vendor Shares” в 2010 г. российский рынок ИБ-услуг составил около $312 млн (причем 30% этого рынка пришлось на 5 ведущих компаний).
Эксперты достаточно единодушно предрекают рынку российского аутсорсинга бурный и продолжительный рост. Казалось бы, наличие в штате аутсорсинговой компании специалиста по ИБ, предоставление квалифицированных услуг, а также разработка отраслевых решений в области ИБ могло бы стать одним из драйверов роста рынка аутсорсинга в сегменте СМБ, решить множество проблем, стоящих перед небольшими компаниями-заказчиками. Но созрел ли для этого рынок?
Недорого, квалифицированно, комплексно – вот, пожалуй, основные аргументы, которыми пытаются привлечь клиентов из СМБ специализированные компании, занимающиеся ИТ-аутсорсингом. Большинство руководителей СМБ, сделавших выбор в пользу комплексного ИТ-аутсорсинга, руководствуются простыми и понятными соображениями чисто практического плана. Им действительно необходимо вовремя заправлять закончившиеся картриджи, организовать ремонт компьютеров и оргтехники, создать и обеспечить бесперебойную работу компьютерной сети, своевременно обновить программу 1С, ликвидировать последствия заражения компьютеров вирусом и т.д. и т.п., вписавшись при этом в те средства, которыми они реально располагают.
Один из руководителей ИТ-аутсорсинговой компании как-то поделился в этой связи несколько забавным, но совершенно правильным наблюдением. Если звонит новый клиент и начинает описывать свою конкретную проблему со “сломавшимся сервером” – это действительно клиент из СМБ. Если же разговор начинается со слов “сколько у вас стоит аутсорсинг?” – это, скорее всего, звонок от конкурентов с целью мониторинга цен. Заказчик из СМБ обычно максимально предметен и конкретен, попытки же как-то воздействовать на него “заклинаниями” типа ROI, TCO или “управление рисками” малоуспешны.
Практическими результатами работы с аутсорсером часто бывает установка антивирусов, межсетевых экранов, отказ от использования нелицензионного ПО, проведение регулярных обновлений и резервного копирования, защита данных на компьютерных устройствах мобильных пользователей, разъяснение персоналу заказчика и внедрение на практике простых и эффективных политик безопасности, проведение базового аудита и расследование инцидентов ИБ и т.п. При помощи аутсорсера клиент часто переходит от стадии установки коробочного ПО к внедрению и поддержке типовых (а иногда и оригинальных) программно-аппаратных решений. В ряде случаев аутсорсеры помогают клиенту выбрать, установить и защитить серверное оборудование и СХД, создать VPN, смонтировать видеонаблюдение, СКУД, начать использовать смарт-карты и USB-ключи для аутентификации пользователей, внедрить специализированные ИБ-решения и т.д. Немаловажным обстоятельством является возможность клиента оперативно обратиться через Help Desk, воспользоваться удаленной помощью или экстренно вызвать специалиста (в оговоренные договором сроки), получить консультацию.
Сотрудничая с накопившим опыт обслуживания небольших клиентов аутсорсером, компания из СМБ, как правило, объективно повышает свой уровень ИБ как с технической точки зрения, так и с организационной. Аутсорсеры нередко выполняют определенную миссионерскую функцию, разъясняя клиенту необходимость применения средств ИБ, а также, знакомя с новыми решениями для СМБ в данной области. В определенной степени это отвечает потребностям и самого аутсорсера, поскольку позволяет ему реализовать дополнительные услуги, оптимизирует количество экстренных выездов к клиенту, повышает удовлетворенность заказчика и т.д.
Порог выхода на рынок комплексного ИТ-аутсорсинга для СМБ крайне низок, множество небольших фирм на нем конкурируют между собой по цене. Длительный демпинг часто приводит к тому, что аутсорсинговые компании предлагают небольшие зарплаты, а текучесть кадров в них высокая. То обстоятельство, что низкооплачиваемый специалист компании-аутсорсера так или иначе получает доступ к компьютерной сети заказчика ведет к тому, что многими потенциальными клиентами небольшие ИТ-аутсорсеры субъективно воспринимаются как своего рода новый вид угрозы для их ИБ, притом, что цены крупных (в т.ч. специализирующиеся на ИБ), зарекомендовавших себя на рынке аутсорсинговых компаний – кажутся слишком высокими.
Подобного рода, простые, но практически важные для любого бизнесмена соображения, приводят и к тому, что наличие наработанных отраслевых решений и опыт обслуживания аналогичных компаний может примерно с равной вероятностью привлечь или же, наоборот, оттолкнуть нового клиента, опасающегося что информация о его деятельности может так или иначе попасть к конкурентам. Возможно по той же причине, многие заказчики явно предпочитают выездное обслуживание удаленному, что, в частности, затрудняет развитие современных сервисов специализированного ИБ-аутсорсинга, а также снижает эффективность аутсорсера в целом.
Практика показывает, что подавляющее большинство российских СМБ предпочитают при первой же возможности завести в штате своего ИТ-специалиста, и даже при наличии очевидной необходимости достаточно неохотно обращаются к аутсорсерам, найденным “по объявлению”, чаще предпочитая сотрудничать с ними (или же договариваться с специалистами-совместителями) на основании рекомендаций, личных взаимоотношений и пр. Попытки же маркетингового продвижения аутсорсинговой компании, позиционирующей себя “дешевле вашего системного администратора” и строящей тарифный план на основе количества единиц обслуживаемой техники, привлекают преимущественно клиентов из микро-бизнеса, достаточно затратных в обслуживании.
Все это, как правило, не дает возможности полноценно развивать современные направления аутсорсинга, включая аутсорсинг обеспечения ИБ, нанимать и удерживать ценных специалистов в этой области.
Электронная почта с защитой от спама и вирусов, хостинг корпоративных сайтов, Skype и сервисы ВКС, мессенджеры, файло-обменники, сдача отчетности в электронном виде, онлайн бухгалтерия, “банк-клиент”, средства управления работой проектных команд, офисное ПО, электронные карты... Список подобного рода сервисов (разной степени популярности) можно продолжать долго.
Некая консервативность и настороженность, которую СМБ-компании иногда проявляют в отношении аутсорсинга, часто компенсируется тем, что они одними из первых начинают пользоваться всевозможными онлайн сервисами, особенно если они понятно и удобно (с их точки зрения) структурированы, а также качественно реализованы хорошо известными на рынке вендорами. Чем “толще” и дешевле становятся каналы связи, чем богаче и разнообразнее предложение сервисов, тем больше становится СМБ-компаний, делающих свой выбор в пользу SaaS и пр.
Это имеет под собой реальную почву: от DDoS атаки на корпоративный сайт лучше всех может защитить провайдер связи, а внешний сервис корпоративной электронной почты может оказаться ничем не хуже собственного. В облако одно за другим уходят многие, хорошо знакомые СМБ приложения. В начале декабря компания 1С планируется представить “1С: Бухгалтерия 8” третьей редакции, пригодную как для локального, так и облачного использования. "Все наши продукты имеют облачные аналоги, если же их нет и не ожидается, то они будут выведены из нашего предложения в ближайшее время,” – сообщил руководитель направления маркетинга облачных технологий Microsoft Юрий Ларин.
Публичные облака построены на гибкой и востребованной СМБ модели оплаты за фактическое использование сервисов. “Компания, предлагающая ПО как услугу, целенаправленно занимается обеспечением ИБ и тратит на это существенные ресурсы. Но для конечного клиента эти затраты практически незаметны, т.к. они равномерно распределяются между всеми клиентами сервиса,” – считает директор проекта SolverMate Сергей Мехоношин.
Провайдер облачных сервисов берет на себя значительную часть затрат и забот об обеспечении ИБ, что, с одной стороны, снимает часть проблем по защите ИС компании, с другой – порождает новые, причем современная облачная концепция и методы комплексного обеспечения ИБ пока окончательно не сформировалась.
“Существующие методы были спроектированы на заре информатизации – в конце последних десятилетий прошлого века - и кардинально с тех пор не менялись, в то время как облачный подход появился только сейчас. Одной из серьезных проблем ИБ при организации облачных систем является, например, наличие угроз нижнего уровня, которые невозможно выявить стандартными методами на уровне ОС”, - считает старший вице-президент Kraftway Ринат Юсупов.
Понятно, что построенная на базе тонких клиентов и виртуализации приложений сеть потребует других подходов, навыков ее обслуживания и обеспечения ИБ, чем администрирование привычных для СМБ локальных сетей. Как быстро произойдет в сегменте СМБ массовый выход “за периметр” – покажет время.
Антон Степанов
CNews: Как вы оцениваете изменение спроса российских заказчиков на услуги и решения в области информационной безопасности?
Денис Суховей: Все больше компаний-заказчиков определяет стратегию защиты информации, опираясь на экономический подход. При этом необходимость соответствия требованиям регулирующих органов является частью этого подхода. Безусловно, такое положение вещей изменяет структуру потребления на российском рынке ИБ. Консультационные услуги ИБ, к примеру, все чаще используются в областях с наибольшей сложностью и слабой определенностью – тогда, когда необходимость исполнения требований информационной безопасности должна сочетаться с требованиями бизнеса по использованию сложных информационных систем. Интеграционные компании все реже привлекаются заказчиками для построения отдельных (standalone) подсистем защиты. Услуги, включающие в себя сложный комплекс организационных и технических мероприятий, обретают большую востребованность на рынке.