Обзор подготовлен
Дмитрий Соболев:
Мы – супермаркет комплексных ИБ-услуг
Дмитрий Соболев, директор департамента ИБ «Энвижн Груп», рассказал CNews о своем видении потребностей рынка, кадровой и партнерской политике компании. Эксперт считает профильный рынок труда «перегретым», призывает игроков объединять усилия для формирования законодательной базы и рассуждает о том, какие стандарты нужны отрасли.
CNews: На ваш взгляд, достаточно ли рыночные компании сейчас участвуют в создании законодательной базы, относящейся к их бизнесу?
Дмитрий Соболев: Думаю, недостаточно. До недавнего времени я работал в компании, которая прилагала определенные усилия, чтобы повлиять на законодательную базу. Договариваясь c партнерами – операторами связи, мы пытались влиять на законодательство в области защиты персональных данных. Существовало некоторое общественное движение, которое сыграло свою роль, хотя видимого результата не принесло. Очередная попытка была предпринята при появлении обязательных «черных списков», но и она не удалась. Текущее общение показывает, что участники рынка перестали объединяться, вырабатывать общее мнение и пытаться донести его до законодателей, регуляторов. Вынужден констатировать, что в настоящее время отсутствуют видимые признаки результативного взаимодействия между государством и экспертным сообществом.
CNews: Что именно рынок может предложить регуляторам, чиновникам?
Дмитрий Соболев: В России есть клуб «Валдай» – входящие в него эксперты раз в год собираются и обсуждают самые «горячие» темы в политике. Власть прислушивается к их мнениям, делает выводы, принимает соответствующие управленческие решения.
Мне кажется, подобный клуб должен быть и в сфере обеспечения безопасности. Государству полезно обсуждать с отраслевыми экспертами насущные проблемы: киберпреступность, требования безопасности при использовании новых технологий и т.д. Благодаря реальному опыту бизнес может помочь и гражданам, и государству. Главное – позволить это сделать.
CNews: Какие новые стандарты, относящиеся к ИБ, нужно создать при участии таких экспертов?
Дмитрий Соболев: Безусловно, новые стандарты необходимы. Они аккумулируют общие знания и практики, доводят их до участников рынка. Но, к сожалению, есть несколько проблем. Если раньше разработка стандартов финансировалась государством достаточно щедро, то сейчас денег явно не хватает. Поэтому приходится искать средства у бизнеса. А у бизнеса свои интересы, причем зачастую разные группы влияния в рамках одной отрасли преследуют различные цели.
В Росстандарте есть, как минимум, три профильных технических комитета: по криптографии (ТК26), по безопасности банковских операций (ТК122) и по защите информации (ТК362). Жизнь там вроде бы кипит. Но из-за недостаточного финансирования ТК362 в этом году примет всего 6 гармонизированных стандартов и один отечественный. Регламентируют ли они новые области? Боюсь, что нет.
CNews: Для чего необходимо разработать стандарты в первую очередь?
Дмитрий Соболев: Сейчас «в полный рост» поднимается тема безопасности автоматизированных систем управления производством. В соответствии с «Основными направлениями государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры РФ» должны начаться работы по формированию соответствующих требований. Но заметное движение в этом направлении начнется не раньше 2014 года. А нам уже сегодня нужны стандарты, которые позволяют предприятиям самим решать вопросы безопасности – быстро и результативно.
Очевидно, что в вопросах безопасности АСУ ТП главную роль будет играть государство. По сложившимся традициям оно будет это делать медленно. Почему бы не разработать необходимые стандарты в рамках того же Росстандарта с привлечением экспертов от бизнеса? Получившийся результат регуляторы могли бы использовать для разработки обязательных требований.
CNews: А что вы скажете насчет «облаков»?
Дмитрий Соболев: По-моему,«облака»не являются чем-то принципиально новым. Скорее это следующий виток развития технологий, которыми мы уже давно пользуемся, в частности виртуализации. И здесь нужны не столько стандарты, сколько четкие требования к программным продуктам играмотное проектирование при создании подобных систем. Например, уже сейчас, используя стандарты семейства ГОСТ-Р 15408, можно разработать профили защиты, которые позволят обеспечить требуемый уровень безопасности в «облаках». На основании профилей защиты сертифицировать продукты по согласованным с регуляторами заданиям безопасности.
CNews: Насколько сейчас развито ПО для защиты «облачных» систем?
Дмитрий Соболев: К сожалению, отечественных решений очень мало. А вот за рубежом рынок средств безопасности для виртуализации достаточно насыщен.
Например, на портале VMware можно найти множество продуктов от компаний-«стартапов», которые делают молодые ребята. Их продукты входят в топ-10 на рынке безопасности виртуализации, и мы их используем в своей работе. Сейчас мы в состоянии решить практически все задачи в сфере безопасной виртуализации.
CNews:Каковы сейчас основные тенденции развития российского рынка ИБ?
Дмитрий Соболев: Многие интеграторы переходят от поставок оборудования к оказанию комплексных услуг. Заказчикам предлагаются информационные системы, спроектированные по требованиям информационной безопасности. Одновременно интеграторы стараются оперативно реагировать на вызовы рынка. Например, сейчас возникает много инцидентов, связанных со взломами сайтов и с мошенничеством в платежных системах. Как следствие, пользуется популярностью анализ уязвимости исходного кода. Уже появился серьезный пластпрофильных специалистов, которые могут эти уязвимости выявлять. Их услуги очень востребованы. Именно в этом я вижу основные тенденции развития рынка ИБ.
CNews: За счет чего растет сегмент услуг? Это в большей мере заслуга регуляторовили все же заказчиков?
Дмитрий Соболев: Регулятор предъявляет формальные требования: например, его интересуют установленные средства защиты, но при этом не интересует ни качество исходного кода, ни организация процесса обеспечения информационной безопасности. Бизнес же, наоборот, заинтересован в том, чтобы обеспечение информационной безопасности приносило конкретную пользу.
В качестве примера приведу такую область ИБ, как гарантия качества программного обеспечения с точки зрения безопасности. Сейчас заказчик вынужден приобретать ПО «как есть», фактически без обязательств со стороны разработчика. При этом существуют специальные средства, которые выявляют уязвимости еще на этапе разработки, но разработчикам невыгодно ими пользоваться с экономической точки зрения. Требований регуляторов нет. Заказчики, особенно банки и сервис-провайдеры, понимают, что из-за уязвимостей в ПО злоумышленники могут нанести им серьезный ущерб. Они очень живо интересуются этой темой, и это отличный драйвер роста рынка.
CNews: Какие еще тенденции на рынке ИБ вы видите?
Дмитрий Соболев: Рынок поворачивается в сторону решения конкретных проблем клиента. Уже не столь актуально пытаться продать заказчику некое решение или сервис. В сфере ИБ наметились две основных тенденции: снижение издержек на обеспечение требуемого уровня безопасности и противодействие мошенничеству, гарантирование устойчивого ведения бизнеса. Поэтому мы помогаем клиентам грамотно организовать обеспечение ИБ – в первую очередь определить, что в данный момент более полезно для бизнеса, как снизить риски и результативно решать вопросы безопасности.
Также мы «приучаем» клиентов, что нужно отдавать на аутсорсинг хотя бы часть функций даже в такой «интимной» области, как обеспечение безопасности. При этом мы объясняем, что не страшно сокращать штат людей, которые занимаются техническими вопросами обеспечения безопасности. Необходимо ориентировать их на организацию процесса обеспечения безопасности, на более тесное взаимодействие с бизнесом. С нашей точки зрения, у заказчика должны быть специалисты, которые могут на языке бизнеса оценить риски и предложить меры по минимизации, разработать средства контроля и передать на аутсорсинг. Со средствами защиты могут отлично справляться ИТ-специалисты и аутсорсеры.
CNews: Почему на рынок сейчас приходят игроки, которые раньше не занимались ИБ целенаправленно?
Дмитрий Соболев: Вопрос интересный. Может показаться, что ИБ-рынок достаточно большой, но на самом деле это не так. Если сравнить объем рынковИТ и ИБ, легко увидеть, что второй составляет не более 5% первого.
С другой стороны, работая на высококонкурентном рынке, интеграторы осознали, что безопасность – неотъемлемое свойство любой информационной системы. Обеспечив ее, можно добиться конкурентного преимущества и увеличить маржинальность. Грубо говоря, лист бумаги сам по себе стоит три копейки, а с водяными знаками – уже 50. При этом появляются новые риски, услуги по их снижению высокомаржинальны, поэтому привлекают новых игроков.
CNews: Как меняется отношение российского бизнеса к ИБ?
Дмитрий Соболев: Отношение изменилось в основном у крупного бизнеса. Перенимая западный опыт, владельцынаучились управлять рисками. Наверное, сейчас трудно найти крупную компанию, у которой нет подразделения, ответственного за бизнес-риски. Инциденты, которые случались за последнее время, и резонанс, полученный от них, привели к тому, что крупный бизнес теперь серьезно рассматривает риски информационной безопасности. В частности, наиболее заметными являются мошенничество, регуляторные риски, а также опасности, связанные с утечкой информации ограниченного доступа.
CNews: Как владельцы оценивают эффективность мероприятий? Существуют ли для этого формализованные методики?
Дмитрий Соболев: В оценке результативности мероприятий по ИБ главная проблема не в методике, а в наличии механизма, который регламентирует принятие решения. Методик разработано множество. Необходимо заставить себя ими пользоваться. Подойдет даже простая качественная оценка. Например, в одной международной нефтедобывающей компании члены комитета по рискам просто голосуют. Каков риск: высокий, низкий, средний? Подняли руки, посчитали, приняли решение и самое главное - его исполняют.
CNews: Есть ли здесь ниша для появления стандарта?
Дмитрий Соболев: Когда-то выдвигалась идея, что внедрять процессную модель управления безопасностью нужно на уровне государства, как это сделано в Японии. Но мы еще не доросли до того, чтобы государство определяло риски и механизмы их снижения и давало сигналы бизнесу. Вряд ли сейчас нам это нужно.Есть проблемы гораздо важнее.
CNews: Какова ситуация с кадрами в сфере ИБ?
Дмитрий Соболев: С моей точки зрения, рынок труда в сфере ИБ «перегрет». Искать сотрудников очень тяжело. Спрос достаточно высок. В результате очень сложно найти компромисс между запросами кандидата и его возможностями. Зачастую приходят соискатели, которые не являются специалистами, но имеют достаточно высокие претензии по уровню вознаграждения. Поэтому многие интеграторы вкладывают средства в образовательные программы.
Есть такой опыт и у нашей компании: например, мы сотрудничаем с МИФИ, СибГУТИ и НГТУ. Сейчас в «Энвижн Груп» успешно трудятся стажеры из указанных вузов, часть из них являются магистрантами.
CNews: Каковы гарантии, что сотрудник, в которого вложились, не уйдет? Существуют какие-то документальные обязательства?
Дмитрий Соболев: По-моему,любые бумажки – это элемент недоверия. Кроме того, при необходимости их легко оспорить в суде. Нужно создать комфортные условия в коллективе, предоставить каждому возможности профессионального роста. Если человек чувствует себя частью команды, участвует в интересных проектах, зачем ему куда-то идти? Денежный вопрос всегда можно урегулировать, хороший специалист будет получать достойную зарплату.
CNews: Какие специалисты сейчас нужны ИБ-рынку в целом и конкретно вашей компании?
Дмитрий Соболев: Сейчас мы в первую очередь ищем людей, которые занимаются бизнес-консалтингом с точки зрения ИБ. Также нам интересны специалисты, которые занимаются безопасностью промышленных систем – как уже было сказано выше, этот рынок будет расти.
Мы не стремимся знать и уметь абсолютно все. Если мы считаем какой-то сегмент рынка специфическим, то заключаем партнерские соглашения с компаниями, которые на нем работают. Например, по расследованию компьютерных инцидентов – с Group-IB, по защиты от DDoS-атак – с HighloadLab, и т.д.
Да, мы заинтересованы в росте собственной экспертизы, потому что это позволит нам увеличить маржинальность. Но если рынок маленький, зачем нам тратить ресурсы, если мы можем обращаться к нишевым компаниям? Мы понимаем, что в подобных сегментах многим игрокам будет тесно, ивыступаем в качестве «супермаркета». К нам приходит заказчик за комплексной услугой и уходит, получив ее, а делаем мы это своими силами или привлекаем партнеров, ему не важно.
CNews: Значит, у вас есть хорошая статистика? Какие ИБ-решения востребованы заказчиками в первую очередь?
Дмитрий Соболев: Производственные предприятия заинтересованы в консалтинге, так как уровень зрелости ИБ у них сейчас крайне низкий. Благодаря грамотным советам такие клиенты принимают определенные стратегии и планы по развитию.
Зрелый (с точки зрения ИБ) бизнес, в первую очередь банки и телеком-операторы, стремится оптимизировать определенные процессы, заменять устаревшие технические решения более результативными, решить проблемы, связанные с безопасностью новых технологий.
Государство стало более рационально относиться к ИБ. Если раньше речь шла в основном о внедрении базовых технологий обеспечения ИБ, то сейчас многие госорганы требуют обеспечить безопасность информационных систем комплексно. В общем, у каждого заказчика есть свои требования, свои особенности, и со всеми нужно находить общий язык. И нам это удается.
CNews: Сколько сотрудников вашей компании занимаются ИБ? Как менялся штат за последний год?
Дмитрий Соболев: За последний год общая численность подразделения увеличилась примерно вдвое, и сейчас в департаменте ИБ работает 41 сотрудник. Это единый центр компетенции для всей компании: мы поддерживаем своей экспертизой представительства в регионах, стимулируем их профессиональный рост.
Подробнее расскажу про наш производственный блок, который состоит из трех отделов. Первый – консалтинга и аудита, основные экспертизы которого связаны с внедрением процессного подхода менеджмента ИБ, PSIDSS, безопасностью национальной платежной системы, непрерывностью бизнеса, разработкой стратегий, стандартов организаций и т.д. По сути это бизнес-консультанты. Сейчас у нас фактически готовы все отраслевые направления: для операторов связи, финансовых учреждений, производственного сектора.
Второй – отдел системной интеграции, здесь трудятся проектировщики и аналитики, создающие сложные информационные системы. Как правило, эта работа проводится для госорганов, холдингов и корпораций. Наконец, третий отдел –инженерно-технический. В нем сосредоточенався нашаэкспертиза по средствам защиты. Мы поддерживаем партнерские отношения с более чем 40 вендорами.
CNews: Какие еще компетенции вы планируете развивать?
Дмитрий Соболев: Наша главная цель – стать лидером по компетенциям на рынке ИБ. Поэтому сейчас мы активно занимаемся вопросами комплексной безопасности. Мы активно участвуем в создании сервисов управления безопасностью (manage security) на базе операторов связи или «инсорсинговых» интеграторов.
Очевидно, что на данном этапе развития рынка крупным холдингам интересно развивать собственные центры оказания услуг ИБ. Мы оказываем помощь при создании «инсорсинговых» провайдеров услуг информационной безопасности, разрабатываем подходы для решения такой задачи.
Модель оказания услуг в данном случае довольно проста. Как правило, «инсорсинговый» интегратор имеет узкие экспертизы в интересах конкретного заказчика. Мы помогаем ему развернуть инфраструктуру и стать оператором услуг информационной безопасности для всего материнского холдинга. При этом часть работ мы берем на аутсорсинг. Тем самым наращиваем и собственный потенциал, укрепляя позиции на рынке. При этом мы не только развиваем собственные компетенции, но истараемся делиться опытом с другими. «Энвижн Груп» является членом двух технических комитетов Росстандарта, участником шести организаций, объединяющих экспертов в области ИБ.
CNews: Спасибо.
