V časoch keď sa relevantné bezpečnostné agentúry niekedy až predbiehajú v odhadoch rastu kyberbezpečnostných hrozieb, by sa mohlo zdať, že firmy prirodzene siahajú po špecializovaných bezpečnostných službách. Podobne ako služby využívajú v správe personálnej či účtovnej agendy.
Realita na Slovensku je však iná. Kybernetická bezpečnosť ako služba je skôr priekopnícke rozhodnutie. Je to však rozhodnutie relevantné zmenenému svetu.
Podobnosť čisto náhodná
Vidím isté paralely medzi nájomným bývaním a outsourcovaním komplexných kyberslužieb. Nájomné bývanie je vnímané ako dočasné riešenie, nevýhodnejšie, nie je to plnohodnotná alternatíva. Veľmi podobné premýšľajú firmy, ak dôjde na budovanie interných kapacít versus outsourcing danej služby.
Ak sa však na tieto nevýhody pozrieme hlbšie, zistíme, že veľakrát sú zdanlivé. Outsoucing kyberslužieb poskytuje flexibilitu a môže šetriť veľmi dôležitú veličinu - čas.
Bežná prax aj výnimka
V západnej Európe je používanie bezpečnostných služieb bežnou praxou. V USA sú v tomto smere ešte ďalej. Firmy tam vyhľadávajú outsourcing služieb, ktoré nepredstavujú ich hlavný biznis. Môžeme len polemizovať, nakoľko k tomuto “fenoménu” na Slovensku prispieva silná mentalita vlastniť a nakoľko to spôsobuje vyspelejší kapitálový trh na západ od nás. Vyššia vymožiteľnosť práva a povinností či už pri nájomnom bývaní, alebo biznis vzťahoch prispieva k väčšej istote pri používaní týchto služieb.
Bolo by však nezodpovedné tvrdiť, že služby kyberbezpečnosti sa na Slovensku nevyužívajú. Ich využívanie je však veľmi vzácne a často zamerané len na konkrétnu časť infraštruktúry alebo služieb. Oveľa častejšie registrujeme klasický mód, kedy sa cez projekty nasadia izolované technológie, na ktoré sa zaobstará takzvaná podpora. Často je to však iba hardvérová podpora, alebo podpora „ak sa to pokazí, treba to opraviť”.
A tak častejšie ako by sme chceli, vidíme situáciu, kedy sa implementujú sofistikované nástroje, no v tíme nie je takmer nikto, kto by ich kontinuálne spravoval a hlavne reagoval na jednotlivé hlásenia. Komplexné služby kybernetickej bezpečnosti sú „len” ako doplnok k technológiám, ak vôbec sú, no takmer nikdy samostatne.
Zas o peniazoch
Jedným z najčastejších argumentov, s ktorým sa stretávame, je, že interný tím je oveľa lacnejší ako zakúpenie si služieb komplexnej kybernetickej ochrany. Isteže, cena je dôležitým meradlom, ale nie jediným.
Vybudovať interný tím kybernetickej bezpečnosti nejaký čas trvá. Priemerný čas na nájdenie špecialistu je podľa našich skúseností šesť mesiacov. Musí sa potom zaškoliť minimálne na dané prostredie a na procesy. Treba rátať aj s tým, že okrem času nového špecialistu „pálime” aj čas kolegov, ktorí ho zaškoľujú.
Tik tak, tik tak.
Čas hrá v tomto smere proti nám. Útočníci nebudú čakať, kým bude interný tím pripravený. Navyše, interný tím treba riadiť, je nutné rátať s prirodzenou fluktuáciou či brať do úvahy, že tím vyskladaný z jednotlivcov sa práve neškáluje ideálne. Kritický nedostatok takýchto ľudí samotný proces skladania interného tímu robí ešte náročnejší.
Veľakrát sa pri porovnávaní interného a outsourcovaného tímu kyberbezpečnosti neporovnáva relevantne. Často krát sa porovná len počet špecialistov, ale porovnanie seniority a skúseností je často zanedbané, alebo absentuje úplne.
Pri hlbšom skúmaní tak častokrát zistíte, že správne definovaný zmluvný vzťah a vhodne vybraný partner vedia šetriť čas a aj náklady.
Správny postup
Ak si vyberáte službu komplexnej kybernetickej ochrany, viac ako inde odporúčame nepodceniť proces due-deligence. V tomto procese sa treba hneď na začiatku zamerať do vnútra firmy: definovať svoje potreby a to, čo konkrétne od služby očakávate.
Pri zvažovaní konkrétneho partnera odporúčame sa zamerať na jeho merateľné výsledky v minulosti – ako dlho pôsobí na trhu? Aké má referencie a reálne skúsenosti z praxe? Samozrejme, nejde len o firmu, ale aj o konkrétnych špecialistov - akými disponujú skúsenosťami a certifikátmi.
Seriózny partner však vie poskytnúť viacej ako len papierové dôkazy už pri obstarávacom procese. Po základných informáciách o potrebách budúceho klienta by mal byť schopný predstaviť víziu, roadmapu s odporúčaniami a plánom dlhodobého rozvoja.
Samozrejmosťou je transparentná, merateľná a dlhodobo udržateľná zmluva s jasne definovanými SLA (Service Level Agreement) a KPI (Key Performance Indicators). Cieľom by malo byť udržateľné partnerstvo pre obe strany a nie prehnane tvrdá zmluva s množstvom dodatkov.
Prvá položka
Služby kybernetickej bezpečnosti by nemali byť až poslednou položkou na zozname možností. Isteže, nie je to všeliek a v mnohých prípadoch je budovanie vlastného tímu oveľa výhodnejšie. No stigmatizovanie kyberbezpečnostných služieb odsúva neprávom ich používanie na okraj záujmu, čo zvyšovaniu kybernetickej bezpečnosti nepomáha.
Dajte na misku váh všetky racionálne argumenty a na základe toho sa patrične rozhodnete.
Michal Srnec vedúci oddelenia informačnej bezpečnosti