Rozmowa z Grzegorzem Szałańskim, kierownikiem zespołu Fortinet w Veracompie
Czy korzystając z usług w modelu Managed Security ServiceProvider (MSSP) nadal trzeba zatrudniać własnych ekspertów ds. bezpieczeństwa, czy też raczej należy zaufać ich dostawcy w całości?
W małych i średnich firmach raczej trzeba założyć, że nie będzie zatrudnionego lokalnego eksperta, jedynie musi być wyznaczony informatyk do kontaktu z MSSP, gdy potrzebna jest współpraca w rozwiązaniu jakiegoś problemu. Natomiast inaczej wygląda sytuacja w przypadku dużych, wielooddziałowych przedsiębiorstw. Tam z reguły w centrali jest grupa osób odpowiedzialnych za ochronę środowiska IT, które dbają o stworzenie, wdrożenie i utrzymanie polityki bezpieczeństwa, a firmie zewnętrznej zlecają one albo opiekę nad wybranym obszarem w tym zakresie, albo np. nad oddziałami, agencjami itp.
Klient, który decyduje się na współpracę z MSSP, nie jest ekspertem, trudno jest mu więc ocenić w jaki sposób i z jaką skutecznością będą realizowane te usługi. Tak naprawdę kupowane jest poczucie bezpieczeństwa. W jaki sposób kwestie odpowiedzialności usługodawcy powinny być uregulowane w umowie?
Tu jest analogia do przypadku zlecenia firmie trzeciej wykonania instalacji alarmowej czy zabezpieczenia domu. Klient określa co dana firma ma dostarczyć, jak ma działać zaprojektowany przez nią system, a reszta jest regulowana umową ubezpieczeniową. Oczywiście każdy usługodawca deklaruje jak największą staranność w wykonaniu umowy realizowanej na bazie polityki bezpieczeństwa klienta, ale zawsze istnieje ryzyko popełnienia błędu, nieprawidłowego zadziałania sprzętu czy przeprowadzenia ataku w sposób, który nie był dotychczas znany. Dlatego na rynku pojawiły się już ubezpieczenia od takich sytuacji i stają się coraz popularniejsze.
Czy klient może w jakikolwiek sposób sprawdzić kwalifikacje swojego usługodawcy i zyskać pewność, że są one wystarczające?
Trudno mi wyobrazić sobie, żeby klient dokonywał testów skuteczności usługi. Ich współpraca bazuje raczej na zaufaniu, a głównym miernikiem skuteczności jest reputacja MSSP na rynku. Można ewentualnie spytać o narzędzia, z jakich usługodawca korzysta i zweryfikować ich oceny dokonane przez niezależne instytucje testujące, jak np. NSS Labs. Dzięki nim łatwo można ocenić, czy dostawca danego rozwiązania jest liderem rynku, czy też raczej w „ogonie” stawki. Co ważne, w przypadku każdych testów trzeba analizować trend w kilku kolejnych, a nie starać się wyciągać wnioski na podstawie pojedynczego. Natomiast bardziej świadomi klienci mogą skorzystać z usług świadczonych w modelu co-managed, w których to operator jest właścicielem urządzenia i odpowiada za jego wdrożenie we własnej infrastrukturze oraz zaimplementowanie podstawowych reguł polityki bezpieczeństwa, natomiast klient ma dostęp do interfejsu rozwiązania, może weryfikować jego pracę i wprowadzać drobne poprawki konfiguracyjne, np. blokować wybrane aplikacje lub wyrażać zgodę na ich używanie.
Według jakich kryteriów usługodawcy powinni dobierać rozwiązania do świadczenia usług?
Tu wybór powinien być dokonywany przede wszystkim po analizie, który z dostawców jest liderem rynku. Z reguły w każdej dziedzinie związanej z bezpieczeństwem nie ma ich wielu, więc decyzja nie będzie trudna i sprowadza się głównie do łatwości obsługi czy rozliczania klientów. Ale najważniejsze jest, żeby integratorzy zaczęli sprzedawać mniej sprzętu, a skoncentrowali się na świadczeniu usług, w tym zarządzanego bezpieczeństwa, bo z tego po prostu będą mieli większy przychód. Pokutuje opinia, że rynek usług zarządzanych jest nierozerwalnie powiązany z operatorami telekomunikacyjnymi. Tymczasem obserwujemy, że część integratorów skutecznie konkuruje w tym modelu oferując usługi bardziej specjalizowane.
Czy w ogóle MSSP powinni swoją ofertą pokrywać wszystkie możliwe zagadnienia związane z bezpieczeństwem, czy też raczej większy sens ma specjalizowanie się w wybranych dziedzinach, jak ochrona aplikacji, sieci, gwarancja zachowania weryfikacji tożsamości itd.?
Raczej nie ma co się ograniczać, jeśli chodzi o specjalizację, bo dziś ataki przeprowadzane są w bardzo skomplikowany sposób, często z wykorzystaniem pozornie niewielkich luk, ale w wielu dziedzinach, więc skuteczne przeciwdziałanie im jest możliwe tylko wtedy, gdy specjalista ma szeroką wiedzę. Bywa, że operatorzy korzystają z kilku dostawców, czasem jednak konsolidują się wokół jednego producenta i na bazie jego oferty uruchamiają kolejne usługi. Dla przykładu, w przypadku rozwiązań firmy Fortinet daje to konkretne korzyści nie tylko w zakresie uproszczenia mechanizmów zarządzana usługami, ale umożliwia też w ramach środowiska Security Fabric wymianę informacji o zagrożeniach pomiędzy różnymi usługami. Jest to specjalizacja w rozwiązaniach danego dostawcy, dzięki której operatorzy są skuteczniejsi w zapewnieniu finalnego efektu klientowi.
Czy producenci rozwiązań ochronnych, jak chociażby wspomniany Fortinet, mają w swojej ofercie specjalną linię produktów przeznaczonych do świadczenia usług?
Różnice są jedynie w modelu licencjonowania produktów, natomiast od strony technicznej to są te same rozwiązania, dzięki czemu wszyscy ich użytkownicy mają zagwarantowany ten sam poziom bezpieczeństwa. Co więcej, Fortinet podchodzi bardzo fair zarówno do małych, jak i dużych klientów. Oferuje im rozwiązania o różnej wydajności, ale identycznej funkcjonalności, z tym samym systemem operacyjnym i możliwościami zabezpieczeń, pakietami sygnatur itd. Dzięki temu nawet małe firmy mogą być chronione w taki sam profesjonalny sposób, jak te największe. W kwestii rozliczeń ma znaczenie tylko wydajność, a nie jakość świadczenia usługi.
Według jakich kryteriów można mierzyć usługi świadczone przez MSSP, żeby później na tej podstawie dokonać wyceny?
Płaci się wyłącznie za czas pracy danej usługi. Klient otrzymuje pulę „żetonów”, które może wykorzystać do rozliczenia za usługę, np. pod koniec miesiąca. Taką metodą stosują już różni dostawcy, Fortinet też właśnie ją wdraża.
Ale czy świadome i celowe wyłączanie jakichś usług związanych z bezpieczeństwem ma sens?
Wyłączanie, które powodowałoby zmniejszenie poziomu bezpieczeństwa, na pewno nie. Ale zdarza się, że firma tylko przez krótki czas w roku korzysta z pewnej puli serwerów, np. podczas wzmożonego okresu zakupów przedświątecznych. Wówczas uruchamiane są wirtualne instancje kolejnych serwerów, które także trzeba objąć ochroną, a później się za to rozliczyć.
Jakie unikalne korzyści usługodawcy mogą czerpać z modelu MSSP?
Jest to przede wszystkim przywiązanie klienta do własnych usług poprzez zbudowanie oferty trudniejszej do skopiowania i porównania z konkurencją. Nawet jeśli różni usługodawcy korzystają z tych samych rozwiązań, to mogą w inny sposób podejść do kwestii rozliczania usług, obsługi klienta, gwarantowanych czasów reakcji itd. Relacja pomiędzy tymi podmiotami wkracza na wyższy poziom, ponieważ dotyka usług, które są bardziej skomplikowane. Pojawia się konieczność wypracowania zaufania, a gdy to się uda, dostawcy łatwiej jest przekonać klienta do korzystania z innych jego usług.
A korzyści dla klientów?
Dobrze napisana umowa współpracy z MSSP może dla wielu małych firm być alternatywą dokumentu polityki bezpieczeństwa. Tym samym spełniają jeden z kluczowych wymogów nakładanych przez rozporządzenie RODO. Posiadanie tego typu kontraktu może też wpłynąć na obniżenie składki ubezpieczeniowej, gdy dany klient chce zabezpieczyć się przed negatywnymi skutkami różnego typu zdarzeń, które mogą mieć wpływ na jego biznes. Finalnie, jest to też dostęp do wiedzy eksperckiej. To samo rozwiązanie wdrożone u klienta albo u jego usługodawcy może zagwarantować zupełnie inny poziom ochrony, w zależności od umiejętności osoby wdrażającej je i obsługującej. Usługodawcy zawsze będą mieli przewagę w tym zakresie ze względu na efekt skali – na co dzień rozwiązują problemy, z którymi firmowi informatycy mają do czynienia tylko od czasu do czasu.
