ИБ-аутсорсинг даст ответ
С идеей создать под эгидой Центрального банка единого аутсорсингового оператора, который взял бы на себя решение задач обеспечения информационной безопасности малых и средних банков, выступил председатель Комитета Государственной Думы по финансовым рынкам Анатолий Аксаков.
По его словам, именно малые и средние банки в наибольшей степени стеснены в средствах и не могут привлечь и удержать квалифицированные кадры. Все это повышает уязвимость таких финансовых учреждений перед посягательствами со стороны как криминала, так и политически мотивированных злоумышленников.
Генеральный директор компании "БСС-Безопасность" Виктор Гулевич уверен, что из-за напряженной геополитической обстановки и увеличения количества атак на информационную инфраструктуру финансовых организаций инициатива создания аутсорсингового ИБ-оператора видится своевременной, однако стоит помнить, что такая инициатива появляется не первый раз: в 2018 г. уже была довольно жаркая дискуссия на эту тему.
Директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании "Ростелеком-Солар" Алексей Павлов считает данную инициативу своевременной, но ее реализация потребует серьезных усилий. "Плюсы данного решения очевидны: снижение издержек за счет типизации решений по защите и комплексного предложения. Минусы также очевидны. Важным моментом будет выбор конечного исполнителя и степень добровольности решения, а также влияние монополизации услуги на ее стоимость. На текущий момент основные вопросы вызывает реализация идеи. От нее напрямую будет зависеть доверие к поставщику услуг и его компетенциям", - говорит он.
Основатель и генеральный директор Qrator Labs Александр Лямин считает инициативу по созданию аутсорсингового ИБ-оператора вполне реализуемой, однако она несет в себе ряд дополнительных рисков: "В первую очередь риски будут касаться "бумажной безопасности". Компаниям придется соблюдать compliance, ориентируясь на требования регулятора, а не на текущий ландшафт угроз, и в таком случае реальная работа может превратиться в формальность. Данное утверждение справедливо для любой отрасли - не только для банковской индустрии".
По мнению Алексея Павлова, результат может быть как позитивным, так и почти нулевым: "Существует множество сложностей. Например, количество игроков на рынке ИБ очень ограниченно, а с учетом потенциального числа клиентов и требуемой емкости кадровых ресурсов для обеспечения функций - игроков остаются единицы. Кроме того, потребуются изменения в процедуре прохождения проверок Банка России: поскольку часть функций (сервисов) будет предоставлять внешняя компания, то, очевидно, потребуется ее сертификация".
"Идея вполне реализуема, только при условии наличия специалистов с высоким уровнем компетенции и большим проектным опытом. Финансовый рынок обладает определенной спецификой, поэтому важно, чтобы команда сочетала в себе серьезный опыт в данной сфере и проектные достижения. К слову, наша компания существует более 15 лет, активно участвуя как в процессах безопасной разработки банковских систем, так и в проектах по анализу защищенности и регуляторному комплаенсу, - считает Виктор Гулевич. - Отдельно отмечу тот факт, что навязывание единого контрагента по ИБ полностью убивает конкуренцию и может негативно сказаться на качестве и стоимости предоставляемых услуг. А если все же происходит навязывание, то данный ИБ-оператор, в случае возникновения инцидентов ИБ, должен нести полную ответственность, как юридическую, так и финансовую".
Отдельным важным вопросом, как предупреждает Алексей Павлов, является реализация контроля качества работы подрядчика со стороны банков и Банка России, а также определение ответственности за возникающие инциденты и возможные потери: "Текущий уровень зрелости ИБ банков может довольно сильно отличаться, соответственно, и усилия по приведению его к медианному значению будут очень разными. В любом случае банки будут настаивать на независимости ИБ-оператора от структур Банка России, комплексности услуги, возможно, на включении в состав сервисного пакета страхования рисков ИБ для минимизации остаточных рисков".
Виктор Гулевич считает, что данная инициатива вполне может быть распространена и на другие отрасли, но с тщательным учетом их специфики.
По мнению Алексея Павлова, последние два месяца показали, что под удар попадают отрасли КИИ и СМИ, соответственно, подобная инициатива должна затрагивать именно их. "Многие годы мы сталкиваемся с дефицитом кадров на рынке ИБ, и это является краеугольной проблемой. Аутсорсинг ИБ уже сейчас активно развивается за счет указанной выше причины, но каждая компания самостоятельно решает, как обеспечивать собственную безопасность - ведь ответственность остается на ней. Принудительный аутсорсинг может как быстро повысить общую защищенность отраслей, так и размыть ответственность за инцидент между поставщиком аутсорсинговых услуг и заказчиком - все зависит от конечной реализации", - говорит Алексей Павлов.