«АСК Компьютерс» входит в число ведущих поставщиков программного обеспечения на Дальнем Востоке. Специалисты компании помогут правильно подобрать и настроить необходимое ПО и выбрать наиболее выгодную схему лицензирования, проконсультируют по поводу участия в госзакупках, окажут помощь при подготовке КП и техзаданий, в развёртывании и настройке.
Хотя расширение бизнеса обычно радует владельцев и руководство, перед небольшими компаниями оно ставит новые, ранее совсем незнакомые им проблемы. От массового найма сотрудников до появления филиалов, от усложнения учёта до появления формальных регламентов – везде возникают трудности и объём знаний, которые человеку уже непросто удержать в голове. Одной из сфер, где сложность растёт очень быстро, является IT-инфраструктура. Компания становится интересна злоумышленникам, растёт вероятность кибератак. Приходится увеличивать не только затраты на серверы и ПО, но и расширять штат IT-специалистов, выделять специальных людей на информационную безопасность, а также задумываться о визитах регуляторов. Последние накладывают серьёзные требования по ИБ даже на небольшие компании в таких отраслях, как, например, финансы, логистика и здравоохранение. При этом ИБ часто «не успевает» за ростом компании.
Как пройти этот момент без риска для бизнеса и избыточных расходов, одновременно создав задел для дальнейшего роста?
Время действовать
Руководство компании обычно сосредоточено на том, чтобы выстроить обслуживание новых клиентов и расширить производственную базу, удовлетворяя запросы рынка. На мысли о компьютерах, программах и информационной безопасности времени остаётся немного. Чтобы понять, требуются ли инвестиции, нужно задать своим IT-специалистам несколько простых вопросов:
-
Получается ли читать все оповещения от компьютеров, серверных систем?
-
Требуется ли пересматривать архитектуру сети и основных IT-решений?
-
Удаётся ли обслуживать запросы сотрудников в течение одного дня?
-
Нужны ли дополнительные приложения, чтобы уследить за всем происходящим?
-
Были ли за последние месяцы инциденты или «почти» инциденты, которые могли остановить процессы?
Если хотя бы на пару вопросов (особенно последних) был ответ «да», если число сотрудников уже исчисляется сотнями, то, вероятнее всего, компьютерные системы тоже требуют перехода на следующий уровень сложности, в котором для непрерывности бизнеса нужны будут автоматизация работы IT и новые, более мощные средства защиты от угроз.
Как правило, бюджет на внедрение IT-новшеств ограничен, но и откладывать их в долгий ящик тоже нельзя. Если говорить о рисках для IT, то серьезный киберинцидент обходится компании среднего бизнеса примерно в 5 млн рублей, при этом каждая пятая целенаправленная атака сфокусирована на среднем бизнесе.
Проще говоря, инструментов, которые защищают малый бизнес, среднему уже недостаточно, потому что теперь им интересуются более серьёзные киберпреступники. А цена их успешной атаки, да и просто масштабного IT-сбоя, значительно растёт.
C чего начать
Проблемы, которые можно обнаружить, задавая своим «айтишникам» вопросы из предыдущего абзаца, – это, в первую очередь, дефицит видимости и подконтрольности. Раньше к каждому пользователю, который много раз входит в систему и оказывается заблокированным, можно было подойти и проверить, это он забыл пароль или заразился вредоносным ПО. Но когда в компании работают три сотни человек или появился филиал в другом городе, это уже крайне сложно. Уследить за парой серверов (файлы, почта, 1С) тоже можно, просто заходя в их панель управления каждый день. С двумя десятками серверов и важных сервисов это становится слишком трудоёмко. Специалистам не хватает времени, им нужны централизация сбора информации и автоматизация реагирования на неё.
Для этого в крупных компаниях уже два десятка лет используются решения класса SIEM (SecurityInformationandEventManagement). Они в реальном времени собирают данные из многочисленных источников в организации (события в приложениях, на серверах, в сети), объединяют связанные события в группы и позволяют ИБ- и ИТ-специалистам видеть назревающие инциденты и быстро предпринимать меры. Для небольших компаний SIEM был слишком дорог, да и считался ненужным, поскольку ИБ-риски малого и среднего бизнеса считались низкими. Ситуация изменилась во всех аспектах: риски выросли вместе с уровнем компьютеризации и числом киберпреступлений, но и доступность решений SIEM стала выше. Существуют недорогие решения, включающие SIEM (например, KasperskySmartI), не требующие ни мощного оборудования для установки, ни дорогостоящего сопровождения.
Что даёт внедрение SIEM
Внедрение новых инструментов должно приносить конкретные результаты. В случае внедрения SIEM можно рассчитывать на ряд улучшений в работе компании и ее IT-систем:
-
Новый этап в кибербезопасности. Компания сможет видеть и вовремя пресекать сложные атаки, нацеленные на вымогательство денег или «цепочки поставок». У среднего бизнеса часто бывают клиенты из числа крупных организаций, и компания может оказаться ступенькой в кибератаке на крупного клиента. Успех такой атаки не просто приносит одноразовый ущерб, а может лишить ключевого заказчика.
-
Экономическая эффективность в IT. SIEM создаёт хорошо обозримую картину событий, позволяя рано находить различные аномалии и решать проблемы на ранних стадиях. Это не только предотвращение кибератак до того, как они принесут большой ущерб. С помощью SIEM можно видеть перегруженные серверы, мешающие нормально работать целым отделам. Исправлять приложения, генерирующие ошибки вместо результатов работы. Быстро находить, какое приложение на телефоне главного бухгалтера каждые три минуты пытается войти в корпоративную сеть и блокирует его учётную запись. Это экономит время не только «айтишникам», но и всем сотрудникам! Они могут не понимать, что их рабочие проблемы связаны с невидимым им кирпичиком IT, и часами пытаться решить проблему самостоятельно, а специалисты без SIEM просто не узнают вовремя, что им нужно вмешаться.
-
Предотвращение сбоев. Мониторинг позволяет решать проблемы до того, как они перерастут в масштабный сбой, мешающий работать всей компании.
-
Соблюдение требований регулятора. На сегодня требования по информационной безопасности предъявляют десятки регулирующих органов – от ФСБ и Роскомнадзора до Минздрава. В число требований часто входит сертифицированная система мониторинга угроз. Штрафы за несоблюдение требований относительно скромные, а вот ответственность за инциденты при несоблюдении требований ИБ уже серьёзная, вплоть до уголовной.
-
Упрощённое и ускоренное реагирование на проблемы. Типовые проблемы ИБ и IT могут решаться прямо из интерфейса SIEM, благодаря «коробочным» сценариям реагирования. Заблокировать или разблокировать учётную запись, запустить проверку здоровья компьютера или сканирование на вредоносное ПО можно буквально одной кнопкой. Сотруднику ИБ нужно одобрить конкретный сценарий реагирования, но не придётся ни запускать вручную многочисленные приложения, ни идти к искомому компьютеру, чтобы решать проблему на нём.
-
Разгрузка команды для стратегических задач. Появление SIEM убирает из жизни ИБ- и ИТ-специалистов многие часы рутины вроде чтения email- и Telegram-оповещений от различных автоматизированных сервисов. Эти часы могут быть потрачены на решение фундаментальных задач ИТ, а руководству не придётся нанимать новых сотрудников при дальнейшем расширении бизнеса.
-
Задел на будущее. Централизация мониторинга и реагирования – один из краеугольных камней масштабирования сети. Дальнейший рост организации, включая появление новых филиалов, новых подразделений и даже новых видов бизнеса, будет проходить значительно легче – по крайней мере, в той части, которая касается IT.
Затраты на внедрение и возможности оптимизации
Внедрение любой сложной IT-системы требует не только денег на лицензию. Будут нужны определённое оборудование и много часов работы IT-команды для внедрения и обкатки решения. В зависимости от конкретного выбранного решения эти затраты могут отличаться. В случае с SIEM для малого и среднего бизнеса наиболее комфортный режим разворачивания будет у KasperskySMART. Рекордно производительная система SIEM легко разворачивается на любых относительно современных серверах и виртуальных машинах, требования к оборудованию очень скромные. Большое количество правил отслеживания и сценариев реагирования поставляются «в коробке», а активное сообщество российских пользователей создаёт удобные видео-демонстрации и инструкции по дальнейшей настройке решения в различных жизненных сценариях. Поскольку у многих отечественных компаний и так развернуты решения «Лаборатории Касперского», им будет очень просто объединить эти системы, чтобы в SIEM поступали дополнительные данные из защитного решения на компьютерах, а в обратную сторону шли команды, например, на автоматическое устранение уязвимостей или других проблем ИБ. Решение входит в Единый реестр отечественного ПО Минцифры РФ и закрывает существенную часть имеющихся регуляторных требований по ИБ.
Если хранимые данные критически важны
Для компаний, которые относят себя к группе высокого киберриска, управляют критической инфраструктурой или чувствительными данными, важно не останавливаться на полпути. Им необходимо комплексное решение, позволяющее обнаруживать и останавливать сложные целевые атаки, вести расследования инцидентов и оперативно взаимодействовать по ним с регулятором. Для таких бизнесов подойдет KasperskySMARTII — решение, объединяющее SIEM и EDR. Последний, работая на каждом компьютере и сервере организации, позволяет собирать с них расширенный набор данных и реагировать даже на продвинутые киберугрозы. Эта комбинация решений дает полную видимость в Сети для анализа первопричин и расследования инцидентов.
А какие альтернативы?
Усложнение IT-систем компании при росте бизнеса неизбежно, но адаптироваться к нему можно разными способами. Если пытаться обслуживать компьютерные системы «по старинке», то администраторы будут либо тратить очень много времени на ручные операции и не успевать сделать все необходимое, либо придется нанимать больше людей. При этом растут не только штат и затраты, но и риски сбоев, успешных кибератак или проблем с регулятором.
Если компетенций или других ресурсов для внедрения SIEM в компании недостаточно, можно поискать решение в аутсорсинге. Управление компьютерной сетью, включая её мониторинг на ИБ-инциденты, можно доверить специализированной компании. Это относительно быстрый и инвестиционно «легкий» способ решения проблемы, но при дальнейшем росте бизнеса (и инфраструктуры) расходы на внешнего подрядчика будут пропорционально расти. Поэтому управляемые сервисы могут быть вполне эффективным, но временным решением проблем роста – в дальнейшем всё равно придется создавать компетенции и инфраструктуру внутри компании.