Rambler's Top100
Статьи ИКС № 5 2006
Алексей ЛУКАЦКИЙ  01 мая 2006

Почти по Марксу, или Информационная безопасность как средство получения прибавочной стоимости

Дополнительную прибыль от информационной безопасности оператор может извлечь при оказании практически любой услуги, будь то доступ в Интернет, хостинг, IP-телефония и т.п. Каждая из них дает возможность использовать различные модели получения доходов – разовые платежи, арендную плату, подписку и т.п.

Clean Pipes, или Чистые трубы

Любой корпоративный заказчик, подлючающийся к Интернету и осуществляющий через Сеть те или иные операции, хочет одного – чтобы доступ к глобальным ресурсам был постоянным и не прерывался ни на секунду. Интернет-зависимость достигла такого уровня, что невозможность чтения почты или посещения любимого сайта даже в течение одного часа раздражает пользователя, вызывая чувство неуверенности и досады. А теперь представьте, что речь идет о бизнесе, часовой простой которого может привести к миллионным убыткам (именно в такой порядок цифр выливается, например, простой металлургического предприятия).

Сбой в работе может быть вызван тривиальной атакой «отказ в обслуживании» (Denial of Service, DoS), которая выводит из строя серверы, сетевое оборудование, пользовательские компьютеры и другие устройства, подключенные к сети. Для защиты от подобных атак созданы специальные программно-аппаратные решения, способные обнаруживать и отражать DoS- и DDoS-атаки (Distributed DoS). Разумеется, они могут быть установлены и в сети клиента, если бы не целых три «но». Во-первых, такие решения нельзя отнести к разряду экономных – их стоимость измеряется десятками тысяч долларов. Вовторых, DoS-атаки случаются далеко не каждый день. В-третьих, атака, достигшая периметра заказчика, будет отражена, но сам канал связи окажется «забит», что снизит его пропускную способность и может нарушить качество сервисов и бизнеспроцессов.

Выход из ситуации – установить решения по защите от DoS/DDoS-атак на сети оператора связи. Оператору это тоже выгодно: помимо повышения степени лояльности абонентов, он получает возможность внедрить новую услугу – обеспечение доступности и защиту от сбоев сети заказчика. Руководству же компании-заказчика такой сервис «подается под соусом» обеспечения непрерывной готовности бизнеса (Business Continuity Planning, BCP).

Аналогичный сервис актуален и при хостинге (как виртуальном, так и co-location). В этом случае защищаются ресурсы заказчика, которые размещены вне его территории, но могут быть целенаправленно атакованы злоумышленниками или попасть под шквальный огонь случайной атаки. Развитие данной услуги – защита на сети ASP-провайдера, который продает различные сервисы, например IP-телефонию.

Крупные операторы, имеющие «под собой» большое количество местных операторов и провайдеров (downlink), тоже могут предлагать такой сервис. Учитывая, что локальный оператор платит за весь принимаемый (нисходящий) трафик, услуга его очистки от нежелательных включений (а во время DoS-атак образуются горы мусора) окажется чрезвычайно востребована.

Какие же способы получения прибыли применимы к данной услуге? Во-первых, подписка на сервис ИБ, когда абонент платит определенный процент от своей стандартной стоимости доступа в Интернет (например, от тарифа за полосу пропускания). Другая модель подписки – взимание фиксированной стоимости только за отражение DoS-атак, хотя она и явно «вероятностная»: абонент на протяжении всего срока подписки может ни разу не подвергнуться атаке. В этом случае плата за защиту равносильна страховке, которую многие в нашей стране воспринимают как потерянные деньги.

Чтобы не возникало подобных мыслей, оператор может применить модель «подписки по требованию» – абонент платит только тогда, когда сам просит о помощи. Например, сеть предприятия подверглась массовой атаке и эксперты отдела ИБ понимают, что своими силами с возникшей угрозой не справиться. Тогда оператор связи включает свои механизмы защиты от атак «отказ в обслуживании», а затем выставляет счет по факту оказания услуги.

Контроль сервисов

Помимо подключения к Интернету, многие операторы предоставляют и другие сервисы, среди которых электронная почта и веб, а в последнее время – IP-телефония, SMS/MMS/EMS, WAP, контент-услуги, игры, цифровое телевидение и т.п. А где новые сервисы и новые деньги, там и хакеры, которые всеми правдами и неправдами будут пытаться нарушить их работоспособность. И тут не обойтись без защиты, которая тоже может дать оператору доход.

Дополнительные сервисы лучше предлагать по подписке, так как модель «по требованию» работает плохо. Среди услуг такого рода – защита от спама, вирусов, червей и шпионского ПО в электронной почте, контроль доступа к веб-сайтам с последующей генерацией статистики по каждому пользователю и др.

Безопасность в лизинг

Часто заказчики, подключающиеся к Интернету, предпочитают не покупать сетевое оборудование (маршрутизаторы и коммутаторы), а арендовать его у оператора связи. Можно пойти дальше и развить данное предложение, сдавая в аренду средства защиты. Потребителюэта схема выгодна, поскольку оборудование не ставится на баланс предприятия. Оператор же, помимо получения дополнительного дохода за аренду, может существенно снизить свои издержки (и соответственно увеличить доходы), задействовав механизмы виртуализации средств защиты информации. Последнее означает, что одно защитное решение входит в несколько логических или виртуальных защитных подсистем, каждая из которых обслуживает своего заказчика и даже может управляться им – при этом никакого «пересечения» между заказчиками не происходит.

Дополнительные деньги может принести и договор о сотрудничестве с производителем сетевого оборудования. Оператор приобретает «железо» или решение, а затем сдает свое «приобретение» в аренду, значительно ускоряя тем самым возврат инвестиций. В зависимости от условий сроки возврата инвестиций могут составить всего несколько месяцев. А с учетом срока службы современного телекоммуникационного «железа» оператор очень быстро начинает получать доход. И если при этом он заключил партнерский договор с производителем, то вскоре получает возможность приобретать оборудование с существенной скидкой.

Аутсорсинг безопасности

Есть еще одна область, где оператор может заработать немалые деньги, не прилагая больших усилий и не делая серьезных инвестиций, – это аутсорсинг безопасности. Потребность в таком сервисе – и немалую – испытывают многие предприятия. И в первую очередь потому, что для большинства из них информационная безопасность – непрофильное направление деятельности, ею они вынуждены заниматься, что называется, не от хорошей жизни. Следует признать, что многие заказчики делают эту работу спустя рукава: в инфраструктуре безопасности полно прорех, специалистов по защите не хватает и они не в состоянии проводить круглосуточный мониторинг, а обеспечивать безопасность 8 часов в сутки все равно что защищать только треть футбольных ворот.

Аутсорсинг же решает все эти проблемы, так как безопасность перекладывается с плеч заказчика на специализированную компанию, готовую взять эту головную боль на себя. Разумеется – не бесплатно. И оператор связи – первый и лучший кандидат на роль «защитника». Ведь у него есть все необходимое для аутсорсинга: инфраструктура создана – каналы связи и оборудование имеются, есть специалисты, круглосуточная работа обеспечивается (речь идет, конечно же, о серьезных операторах). Естественно, встает вопрос о гарантиях и ответственности, но это уже отдельная юридическая тема, которая не входит в круг вопросов данной статьи.

Список можно продолжить

Защита от DoS-атак, отражение вредоносного ПО, блокирование спама, аутсорсинг, лизинг средств защиты… Перечень возможных сервисов и так немалый. Но есть и другие услуги ИБ, которые могут принести операторам связи дополнительный доход. Например, сканирование защищенности ресурсов абонентов (находящихся на хостинге или на территории заказчика). По результатам сканирования клиенту предоставляется исчерпывающий список уязвимостей вместе с рекомендациями по их устранению.

А что делать, если сайт компании взломан хакером, который проник в базу данных и ворует конфиденциальную информацию? Еслисвоих специалистов нет или в момент атаки они отсутствуют (например, ночью), эту обязанность опять же можно возложить на оператора, который и будет реагировать на инциденты безопасности. На Западе существуют даже группы «компьютерного ОМОНа», выезжающего по вызову и расследующего компьютерные преступления.

Обо всем ли сказано? Конечно же, нет. Например, ни слова о такой услуге, как обеспечение конфиденциальности передаваемого трафика (например, между офисами или при использовании IP-телефонии), – попросту VPN. Но об этом говорено уже не раз, и многие российские операторы предлагают ее своим клиентам. Есть и другие сервисы ИБ, и список этот можно пополнять и пополнять.

***


Ну как, мы убедили вас, что информационная безопасность может (и должна!) приносить прибыль? Яркий пример, где получение добавленной стоимости реализовать достаточно легко, – операторский бизнес. Но это только то, что лежит на поверхности.

На самом деле и в несервисных компаниях, использующих безопасность для собственных нужд, а не для оказания услуг третьим лицам, ИБ способна стать источником доходов. Правда, они не всегда будут исчисляться в денежном эквиваленте. Как, например, оценить прозрачность компании, которая гарантируется грамотной архитектурой безопасности? Прямой зависимости нет (особенно в современных российских условиях). Но прозрачность бизнеса автоматически влечет за собой повышение инвестиционной привлекательности, рост кредитного рейтинга компании, усиление торговой марки и улучшение репутации, что в итоге положительным образом скажется на капитализации компании. В литературе можно встретить такие цифры: прозрачность бизнеса увеличивает капитализацию на 15% (для России эта цифра меньше – около 3%). А что такое даже 3% для компании стоимостью $1 млрд? Это 30 млн, которые, как известно, на дороге не валяются и являются не пустым звуком даже для владельцев миллиардных состояний.

Поэтому еще раз повторю свой постулат: информационная безопасность может стать источником доходов. Надо только правильно к ней подойти, увязать ее со стратегией бизнеса и выработать правильные критерии оценки эффективности.

Модель зрелости использования ИТ от Gartner – модель зрелости ИБ

Начальный уровень (нулевой) – хаотичное применение технологий, не связанных единой концепцией.

Первый уровень – реактивный подход. ИБ применяется только в ответ на возникшие угрозы – эпидемии, атаки, утечки информации и т.п. Очевидно, что эффективность такого подхода крайне низка, так как угроза успевает нанести ущерб предприятию.

Второй уровень – проактивный – характеризуется использованием технологий предвосхищения и предупреждения некоторых угроз. Для этого служат несигнатурные методы обнаружения атак, контроль поведения трафика и аномалий протоколов и т.п.

Третий уровень зрелости представляет безопасность как сервис, с обеспечением гарантированного уровня качества, доступности и других показателей.


На последнем, четвертом, уровне безопасность рассматривается как один из бизнес-процессов компании. Такое понимание ИБ позволяет сохранить целостность бизнеса, репутацию компании и конфиденциальность информации, а также получать доходы от использования технологий ИБ.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!