четверг, 27 февраля 2014 г.

По ту сторону: взгляд вендора


Вы замечали, что информационная безопасность напоминает религию? Причем религию языческую – со множеством богов и божков. Судите сами: каждая организация приносит ежегодные жертвы в виде продления техподдержки на уже приобретенные средства безопасности, тратит немало средств на закупки новых средств и внедрение все новых систем защиты – больше приношений тому богу, на кого уповают в первую очередь. Причем прямой выгоды от этих приношений никакой: как ни крутись, инциденты продолжают случаться, поскольку стопроцентной защиты ни одно средство или мера обеспечить не может, потенциальный риск можно оценить, но не пощупать, да и непонятно, куда в следующий раз попадет снаряд. Наращиваешь защиту периметра, а тут девочка с ресепшн куда-то не туда пересылает конфиденциальный документ! Внедряешь DLP – глядь, а тут твой вебсайт падает в результате хакерской или DDoS атаки! Или троян на компьютере главбуха чудес натворил, а уж если обиженный админ какой-нибудь увольняется, то врагу не пожелаешь... С другой стороны, ИБ не выкинешь из головы: то и дело в СМИ обсуждают очередной скандал с утечкой или кражей данных, многомиллионные убытки, потерю репутации. Реальны случаи даже полного разорения. Детальной информации для открытого анализа и статистики по компьютерным инцидентам мало, но так для богов даже лучше - чем больше слухов и мистики, тем больше страха. Богатые организации, которым есть что терять, поклоняются сразу нескольким идолам, на всякий случай делая наиболее существенные вливания самым почитаемым божествам.

Здесь есть свои уважаемые жрецы в виде регуляторов, роль которых «корректировать веру», призывая поклоняться только правильным золотым тельцам (т. е. покупать только сертифицированные, одобренные жрецами средства, и внедрять определенные меры безопасности). У храма каждого бога имеются свои прихожане, которые веруют в святость выбранного божества и пытаются убедить всех в его превосходстве над другими (с помощью всевозможных рейтингов и «независимых» отчетов). Но каждая организация по сути все же делает выбор на свой страх и риск, поскольку нет никакой гарантии, что выбранные боги и принесенные жертвы реально помогут избавиться от напастей. Все как в жизни: кто-то поклоняется своему рукотворному золотому тельцу, уповает на проприетарность своей информационной системы, но при этом терпит зависимость от своего жреца-админа, который все это умеет поддерживать и настраивать, кто-то ратует за унификацию и доверяет известному богу из раскрученного храма, третьи, по сути, надеются на авось…

Российские банки все же стоят особняком среди этого «религиозного угара» – именно приходя сюда, часто видишь четко сформулированные цели внедрения той или иной меры защиты и критерии выбора конкретных средств безопасности. И это неудивительно, потому что именно финансовые организации чаще всего имеют дело с реальными инцидентами безопасности и вполне ощутимым ущербом от них. Именно СЗИ банков подвергаются практически ежедневной проверке на эффективность противостояния вирусам, червям и прочим зловредам, спланированным хакерским атакам, мошенничеству и т.п. Именно коммерческие банки лучше всех считают деньги и, значит, адекватнее определяют ценность своих активов, чаще всего разрабатывают собственную методологию оценки рисков и хоть как-то пытаются рассчитывать TCO внедряемых ими средств защиты, перед этим проводя тестирование, стараются оптимизировать расходы на инфраструктуру и эксплуатацию. Представители банков и других финансовых институтов - самая активная и восприимчивая аудитория на конференциях и мероприятиях, посвященных теме информационной безопасности, они задают больше всего вопросов, постоянно интересуются новинками рынка, активно работают в различных профессиональных объединениях, вступая в диалог с контролирующими органами, и добиваясь значительных уступок. Чем не идеальный клиент для вендора?

И при всей своей любви к российским банкам, нельзя не сказать о том, что огорчает. Именно они являются самыми дотошными в плане экономии средств. При всей своей продвинутости они часто делают самый простой выбор - исходят из минимальной цены. Именно здесь чаще всего можно услышать аргумент, мол, такой-то вендор дает нам минус 70% (уважает!), и вы давайте нам столько же, иначе сделки не будет... А что они запросили у другого вендора, насколько предложенное им решение реально соответсвует их требованиям, сколько в действительности стоит решение другого вендора, обладающее необходимыми характеристиками, - в расчет не берется. Получем абсурдную ситуацию: предлагаемое решение и так дешевле, чем конкурентное, даже с 70% скидкой, но у нас все равно требуют 70% скидку (вы что, нас не уважаете?). Дальнейший разговор представляет любой, кто хоть раз был на восточном базаре. Таким образом, вендорам, работающим на российском рынке, нужно делать отдельный российский прайс, чтобы не оказаться в минусе. Умножаем цену на десять и заходим к клиенту: «Только сегодня и только для Вас скидка 90%». А как это объяснить европейским и американским коллегам (у них для партнеров нормальные скидки 30-40%)? Остается только ссылаться на загадочную «русскую душу»…

Выбор поставщика банками тоже оставляет желать лучшего. Тщетно уламывая интегратора сделать все практически бесплатно, они или получают «никакое» внедрение, или при поставке не то, что заказывали, потому что квалифицированные специалисты стоят денег, и бесплатное проектирование или внедрение непременно «отбивается» на поставке или на техническом сопровождении. Вот и мечутся уважаемые организации между поставщиками с неизбежной нервотрепкой, получая не в срок и не то, что нужно. Но при этом - с минимальными ценами. А крайним в этой чехарде чаще всего оказывается вендор – именно он не обеспечил требуемой маржинальностью партнера или вообще подсунул «кривые кирпичи», которые никак не заставишь работать заявленным способом. Можно возразить, что это поставщики в конец разленились и не желают оказывать качественный сервис ни за большие деньги, ни за малые, но из своего опыта скажем, что найти поставщика, который сделает действительно качественно и быстро, возможно. Реальной альтернативой является приобретение собственных квалифицированных обученных технических специалистов, вопрос только в том, как после получения всех сертификаций их потом удержать...

Необходимо помнить также, что перед внедрением каких-либо технических средств необходимо сначала произвести проектирование целостной многоуровневой системы информационной безопасности, разработать ее архитектуру, включая адекватные организационные и технические меры защиты на всех уровнях, что также не может быть выполнено бесплатно и без детального обследования информационной системы. В противном случае вы получите набор не связанных между собой средств безопасности, в лучшем случае взятых из проекта по защите информационной системы какого-то другого банка. Но вероятность, что ваши информационные системы идентичны или хотя бы похожи, так мала... За минимальные деньги вам предоставят обычно проект, который содержит только рекламные описания продуктов, без всякой привязки к конкретной ситуации. Ньюансы могут быть разные, и нередки случаи, что даже маловажные с точки зрения непрофессионала моменты, например, в области корпоративной культуры, могут повлиять на выбор тех или иных мер защиты. Конечно, если стоит задача не просто отчитаться перед руководством и получить медаль, а создать высокоэффективную систему защиты, которая позволит ИТ качественно работать, а не постоянно преодолевать навязанные ИБ сложности.

Как уже было отмечено, на данный момент среди российских организаций самый распространенный вариант выбора средств защиты – тендер на самое дешевое предложение, обладающее минимальным набором необходимых характеристик (производительность, интерфейсы и наличие сертификата, если это применимо). Но необходимо учесть, что затраты на эксплуатацию систем защиты часто несоизмеримо выше начальных затрат на приобретение оборудования. Одновременно с поставкой заказчик обычно получает набор эксплуатационных документов, иногда только на английском языке. Оценить, сколько затрат потребуется на установку или настройку того или иного средства в таком случае практически невозможно. Кроме того, необходимо учитывать еще и косвенные расходы на обучение персонала, простои и разбор инцидентов безопасности, управление и техническую поддержку системы защиты, телекоммуникации, связанную инфраструктуру, не говоря уже о затратах на последующие аудит и неизбежную модернизацию системы защиты. Очевидно, что более вдумчивый выбор средств ИБ с учетом всех связанных затрат позволит организациям получить более эффективное и экономически выгодное решение, не выгадывая на мелочах.

Екатерина Яблокова
Заместитель директора по развитию бизнеса в России
Stonesoft, A McAfee Group Company


Статья опубликована 
в журнале "Банковские технологии" (№1/2014)

Комментариев нет:

Отправить комментарий