18.03.2022 10:15
Antxak 17 7200 Источник


Когда в какой-либо индустрии происходит технологический скачок, мы быстро к этому привыкаем и уже с удивлением и легким ужасом вспоминаем “как оно было раньше”.
Рынки развиваются в сторону максимального упрощения бизнес-процессов и автоматизации.

Еще буквально 10-15 лет назад рутинные действия, выглядели совсем иначе:

  • Заказ еды домой. Необычная задача, найти работающий на доставку ресторан, позвонить им по телефону, продиктовать заказ, обязательно приготовить наличные без сдачи.
  • Оплатить коммунальные услуги, придется идти на почту или в банк, а как иначе?
  • Открыть в банке счет. Простоять очередь в отделении в рабочие часы, без этого никак!
  • Получить государственную услугу? По этому писались целые гайды, где и какую бумагу надо получить, куда и когда нужно идти.

Примеров может быть множество.

IT кардинально меняло правила игры на рынках, двигало и двигает отрасли вперед. Но за этот период, один из самых близких к IT рынков не изменился! Услуги по информационной безопасности — самый консервативный/отсталый рынок связанный с IT.

  • Как безопасность может поспевать за отраслями, если не меняется сама?
  • Причем тут кадровый голод и в нем ли дело?
  • Что с этим нужно делать и причем тут такси?

Это Манифест нового рынка информационной безопасности.
Если вам важна безопасность, добро пожаловать под кат!

Прошлое


Давайте вспомним рынок такси 10-15 лет назад. Типичный заказ:
  1. Звоним по известному нам номеру таксопарка.
  2. Ищем ориентир/вывеску с адресом, сообщаем оператору и сообщаем адрес куда нам ехать.
  3. Узнаем примерное время подачи машины и стоимость, НО они могут измениться.
  4. Какая приедет машина? С детским ли креслом? Комфортная ли? Неизвестно, можно сказать оператору, но не факт что это будет учтено.
  5. Когда машина найдена и приехала, нам об этом сообщают, но где именно она стоит? Нужно звонить водителю, через оператора и уточнить, ведь только он может объяснить где он.
  6. Кто за рулем? Его рейтинг? Ничего подобного не узнаем.
  7. Тревожная кнопка? Если что-то идет не так? Отсутствует.
  8. Мы выезжаем по маршруту. Сколько нам ехать? Непонятно. Везут ли нас по оптимальному маршруту или возят кругами, чтобы накрутить стоимость поездки по счетчику? Тяжело понять, может в лес.
  9. Финальная цена может сильно удивить. Спор? Никакой техподдержки, только мы и водитель.
  10. Оплата только наличными, если проблемы со сдачей, придется заехать и разменять где-нибудь, купив ненужную жвачку.
  11. А привезли именно туда, куда просили? Водитель знает куда подъехать, где финальная точка? Дорогу покажешь? Придется объяснять или искать вместе.
  12. Перенести пункт назначения? Об этом лучше и не думать!

Вот такая череда неопределенностей и неудобств, я постарался расписать их все. Сейчас же вспоминать это немного дико, правда? Хотя в глухих районах весь этот алгоритм единственный возможный до сих пор.



Настоящее


А ваша информационная безопасность (ИБ) не такси из прошлого? Рынок услуг по ИБ по всей стране работает точно также в 2022 году! Да на уровне деревни далекого от цивилизации района. Вот смотрите, со стороны Заказчика:

  1. Заказчики чаще всего обращаются к “знакомым” компаниям, если собственных контактов нет, то спрашивают у друзей, а те у своих. Выбор из многих? Практически всегда вслепую.
  2. Написание ТЗ — отдельная задача для которой нужен специалист. Донести, что именно вам нужно — бывает крайне сложно, ведь чаще всего вы говорите с посредником (аналог оператора в такси), а не с Исполнителем. Правило испорченного телефона работает тут на “ура”, учтут ли ваши пожелания к машине работе?
  3. Кто именно будет выполнять вашу работу? Субподрядчик известной фирмы? Или субподрядчик субподрядчика, о котором вам предпочтут не говорить вовсе? Внештатник субсубподрядчика субподрядчика, которого представят сотрудником первой фирмы, или вовсе вы его не увидите? Такие цепочки могут быть очень длинными, я лично встречал аж 5 звеньев — посредников.
  4. Опыт работы финального Исполнителя? Будет отлично “смешан” с опытом компаний посредников. Профессиональные сертификаты — аналогично, что именно за квалификация у того, кто делает работы, вы не узнаете.
  5. Любые согласования, например, об окончании одного этапа работ и старте следующего занимают кучу времени, ведь идут по всей цепочке.
  6. А, если недовольны качеством работы, с кого спросить? Каждый посредник будет максимально защищать “своего” Исполнителя в цепочке. Расскажет о своем опыте выполнения схожих контрактов, умолчав о другой команде Исполнителей. И закончит общими словами про “лучшие рыночные практики” и что по ТЗ формально выполнено все.
  7. А если обратиться ко второму подрядчику? Да, придется заплатить дважды, но на разнице результатов-то можно сделать выводы о реальной ситуации. Да, если не случится так, что субподрядчики у них совпадают, или обращаются они к одним финальным Исполнителям. Тогда получится два разно оформленных, одинаковых по содержанию отчета, возможно, с минимальными изменениями для отвода глаз. Независимой оценкой качества работ даже и не пахнет.
  8. Стоимость? Почему она значительно отличается у подрядчиков, если в результате услугу делает один и тот же специалист? А тут плата по счетчику за путь, а не за результат. Да и тарифы у всех разные.

С точки зрения Исполнителя — ситуация не менее неопределенная.

  1. Что нужно Заказчику, порой понять бывает сложно. ТЗ же написано на свой лад кем-то из посредников. Связаться напрямую — не всегда возможно.
  2. А заказ точно легальный? Имеет ли фирма “А”, с которой у Исполнителя договор, право выполнять эти работы у Заказчика, или дело тут темное? Нужно как-то проверить, ведь всю цепочку договоров, скорее всего, не покажут, по экономическим причинам.
  3. Точно ли заплатят оговоренную сумму? А если посредника не устроит результат? Дальше только суд, независимую оценку не получить.
  4. Заказчик просит обосновать стоимость проекта и называет какую-то большую сумму? Сложная задача, если весь проект делает один человек и получит за это гораздо меньше, возможно даже ежемесячную зарплату.
  5. Согласовать какие-то потенциально рисковые, но важные проверки? Сделать что-то за рамками работ, но что может быть полезно Заказчику? Это столько согласований по пути, что лучше даже не пытаться.
  6. В найме зарплаты в одном отделе с равной квалификацией отличаются на порядок, почему? Таков рынок, как договоришься. То что внештатник получает за такой же недельный проект, сумму зарплаты штатных сотрудников за месяц — бывает, так договорился.

В итоге и Заказчик и Исполнитель получают сервис и неопределенность на уровне заказа такси 10-15 лет назад. О какой эффективной работе индустрии может идти речь?



Также в доковидные времена в ИБ было очень сложно найти удаленную работу. Почему? Все “так привыкли”, даже на вакансиях, способных весь объем работы выполнять удаленно. Консерватизм, в отличии от остального около IT.

Немалую роль играет то, что преимущественно на руководящих позициях находятся люди с “силовым” прошлым, их менталитет и привычки сопротивляются инновациям. Часто люди из этой среды видят в любых изменениях лишь риски, значительно их завышая.

Будущее


Uber — изменил рынок такси, совершил технологический рывок. Монополизировал его в ряде стран, автоматизировал его, но, к сожалению, снизил планку навыков для водителей. Про индусов-водителей в Нью-Йорке знают все.

С услугами по безопасности именно так нельзя, новому рынку нужны только профессионалы. Хотя аналитики пишут, что специалистов по безопасности в стране недостаточно. Но может, дело в неэффективных бизнес-процессах?

Рынку нужен технологический рывок, нужны гарантии для всех сторон, прозрачность и сервис уровня Uber Elite.

Нужна доверенная третья сторона — гарант. Площадка-агрегатор услуг, которая сможет создать конкурентный, надежный и прозрачный рынок услуг по информационной безопасности.

Главные задачи Площадки-агрегатора:

  • Избавить от цепочек посредников, организовать работу Заказчиков и Исполнителей напрямую под контролем Площадки.
  • Предоставить экспертное независимое мнение, решение всех спорных вопросов.
  • Гарантировать качество предоставляемых услуг.
  • Гарантировать легальность предлагаемых заказов.
  • Снизить среднюю стоимость работ для Заказчиков, максимизировать вознаграждение Исполнителю.
  • Поднять эффективность коммуникаций, снизить простои.
  • Предоставить возможность любому профессионалу в ИБ работать на себя.

Созданный новый рынок услуг по информационной безопасности должен сломать, наконец, порочную схему “делают 1000, а их продают 10 000” (Спасибо за цитату Луке Сафонову LukaSafonov ). Это снизит среднюю стоимость услуг по ИБ, сделает их доступнее для малого бизнеса, а значит, повысит уровень защищенности коммерческого сектора в целом.

Почему это возможно?
Стоимость проекта системного-интегратора или ИБ-компании, как правило, на один порядок превышает размер заработной платы специалиста, непосредственно выполняющего данные работы. И все, что ему для этого нужно, это его мозги, ноутбук и интернет. Иногда очень помогает не дешевое ПО, но и тут вопрос решаемый. Да, существуют проектные расходы в виде документационного сопровождения, налогов и стоимости продаж. Но это не стоит 90% стоимости контракта.

Пример:
Александр — Penetration Tester с хорошим бекграундом, он получает заработную плату в 200 тысяч рублей, и за месяц делает 2-3 проекта в уважаемой компании. Сама же компания продает эти проекты по 1,2-1,5 миллиона для крупных Заказчиков. Стоят ли проектные расходы эту разницу? Захотел бы Александр дополнительно работать на себя и выполнять такие же проекты по более низкой цене, но за 80% стоимости на Площадке-агрегаторе? Мой опрос широкого круга безопасников показал, что все хотели бы.

Стоимость услуг Площадки должна быть минимальна, а значит, и расходы.

  • без отдела продаж;
  • максимум автоматизации бизнес-процессов.

Утопия? Нет, подобные площадки уже начинают появляться во многих отраслях, например:

  • Финуслуги и Банки.ру (финансы).
  • Booking и travelata (туризм).
  • OZON и Амазон (покупки).
  • Авто.ру и Дром.ру (Автомобили).
  • Фриланс-платформы (IT, но не ИБ).

И многое другое.

Лучше, чем такси


Что же хочет Заказчик в 2022 году
Если заказывает такси? Если заказывает услуги по безопасности?
Выбрать модель машины и уровень сервиса из нескольких вариантов. Выбрать конечного Исполнителя из нескольких вариантов.
Увидеть репутацию, рейтинг водителя и информацию о нем. Увидеть рейтинг, достижения и резюме Исполнителя.
Понятное и прозрачное формирование цены за поездку. Понятное и прозрачное формирование цены на услуги.
Поставить точку старта и окончания поездки на карте. Легко сформировать тз и описание проекта.
Быть уверенным в мастерстве водителя и состоянии автомобиля. Быть уверенным в добросовестности и квалифицированности Исполнителя.
Иметь возможность легко связаться с водителем напрямую. иметь возможность прямой коммуникации с Исполнителем напрямую.
Гибко настроить заказ, например:

  • добавить детское кресло/перевозку питомца;

  • изменить точку остановки в середине пути.

Гибко собрать проект под себя, например:

  • добавить дополнительных Исполнителей/Экспертов для второго мнения;

  • заказать любые нестандартные запросы и услуги.
Легко получить документы для бухгалтерии или отдела командировок, вне зависимости от конкретного водителя. Полное документационное сопровождение проекта, вне зависимости от количества Исполнителей и участников проекта.
Решить любую спорную ситуацию без обращения в суд. Решить любую спорную ситуацию без обращения в суд.

Для взлета Площадки-агрегатора и качественного изменения рынка нужна значительная информационная поддержка ИБ-комьюнити, а также значительный кредит доверия на первых этапах. Опытные Исполнители и прогрессивные Заказчики.

Уверен, в России все это есть. Время для изменений пришло, рынок должен начать меняться, иначе стагнация и неизбежное фатальное отставание.

Неизбежно окончание эры хаотичного рынка услуг по ИБ, грядет эра порядка.

Комментарии (17)


  1. kamnetanker
    18.03.2022 10:54
    #24178027

    Это всё, конечно, классно, но дальше болталогии, с высокой долей вероятности, не уйдёт, ибо создавать агрегатор ИБ услуг требуется максимально полно понимая техпроцесс изнутри, значит комьюнити ИБ должно самоорганизоваться и запустить подобный стартап. А с самоорганизацией сейчас тяжко


  1. K0styan
    18.03.2022 11:04
    #24178083
    +6

    А вот это вот "чего хочет заказчик" как-то на настоящих заказчиках верифицировалось? А то я вот например напрочь не вижу одного пункта - гарантии.

    Кривые, косые, ограниченные кучей сносок мелким шрифтом в договорах - но они должны быть, с конкретными ответственными за весь комплекс работ. Подход "я пуговицы пришивал - к пуговицам претензии есть?" заказчиков не устроит.

    Собственно, именно поэтому площадки для IT вообще есть, а для ИБ с этим пока туго.


    1. Antxak Автор
      18.03.2022 11:08
      #24178097
      +2

      Наличие гарантий - красной линией проходит через все повествование, так что выносить эти общие слова в таблицу посчитал уже излишним.
      Без реальных гарантий, а не на уровне лишь строчек договора - никак.


      1. K0styan
        18.03.2022 11:20
        #24178133
        +1

        Это всё слова. Вот прямой вопрос - я хочу комплексную услугу. Не отдельно пентест, а и аудит дыр, и инструкции по исправлению, и реализацию этих инструкций.

        Если у меня есть крутые спецы по ИБ, которые сами в состоянии этот комплекс спланировать, и им просто дополнительные руки нужны - то вопросов нет, достаточно квалифицированных исполнителей найти. А отвечать будет мой внутренний отдел.

        Но это уже достаточно специфические и не самые частые навыки. Без внутренней экспертизы же придётся привлекать тех самых подрядчиков, со всеми вытекающими. Вот основная боль рынка, и если её не прикрыть, никакие биржи не помогут.


        1. Antxak Автор
          18.03.2022 11:26
          #24178161

          Вполне возможно собрать команду под подобные проекты вне зависимости от внутренней экспертизы.


  1. Gedeonych
    18.03.2022 11:07
    #24178095
    +1

    Созданный новый рынок услуг по информационной безопасности должен сломать, наконец, порочную схему “делают 1000, а их продают 10 000"

    Никак не могу согласиться. Человеческая натура такова, что даже если появятся определённые авторитетные монополисты, то рядом с ними тут же начнут кормиться другие, поняв что это "вкусно". Тут же со стороны появится ещё больше всякого рода посреднических и других альтернатив. Но это неизбежное зло, потому что (мнение) "монополия" - зло куда большее.


    1. Antxak Автор
      18.03.2022 11:14
      #24178119
      +4

      Если на долю посредников лишь придется малая часть рынка, то это гораздо лучше того, что существует сейчас.
      А о монополии речи даже и не шло, она недостижима и порочна.


  1. Shaman_RSHU
    18.03.2022 12:28
    #24178451
    +2

    Я знаю примеры, когда нет этих восьми пунктов "со стороны Заказчика". Просто у Заказчика работает адекватный CISO, а не руководит подразделением по ИБ "бумажник"|руководитель ИТ|знакомый генеральному пенсионер МВД|etc


  1. ABOMETP
    18.03.2022 13:08
    #24178671
    +1

    имхо проблема глубже, иб делится на два направления - как должно быть и как есть, если первое регламентируется разрешительными и контролирующими органами, потому и тз там проще и выбор исполнителя из списка/бюджета, то второе в текущих реалиях ни сформулировать ни реализовать никак нельзя, только как в режиме всё носить на руках, а это битва меча и щита. полагаю в таких условиях агрегатор не взлетит


  1. IGO2022
    18.03.2022 16:11
    #24179329
    +1

    3. Кто именно будет выполнять вашу работу? Субподрядчик известной фирмы? Или субподрядчик субподрядчика, о котором вам предпочтут не говорить вовсе? Внештатник субсубподрядчика субподрядчика, которого представят сотрудником первой фирмы, или вовсе вы его не увидите? Такие цепочки могут быть очень длинными, я лично встречал аж 5 звеньев — посредников.

    Вот этот пункт и далее по списку лично меня ставят в тупик.
    Работаю много лет в ИБ (исполнитель).
    Где территориально сейчас такое встречается?
    Что мешает заказчику заранее узнать, кто реально будет выполнять работы и какой у них есть опыт (ответ из пункта 1 не подходит)?


    1. Antxak Автор
      18.03.2022 16:23
      #24179385

      Москва, Санкт-Петербург.
      Все эти проблемы из многолетнего опыта работы в ИБ и Исполнителем, и со стороны Заказчика.
      Какие-то Заказчики пытались их решать, и у некоторых даже получалось, но общая тенденция такова.


      1. IGO2022
        18.03.2022 16:44
        #24179445

        Работаю в ЦФО, но не Мск и Спб.
        Результаты большинства наших работ кроме заказчика уходят на проверку к регуляторам и тут особо хвостом не покрутишь, можно без лицензии остаться.
        Цепочки подрядов снижают качество. На 3-4 ступени оно должно быть полный хлам, как мне кажется.
        Могу предположить, что в Мск и Спб не хватка кадров значительно выше (хотя и у нас заметна).
        В общем статья вызывает много вопросов. Кто заказчики? Цель работ видимо для галочки.


    1. elobachev
      18.03.2022 16:46
      #24179447
      +3

      Да по моему у автора ИБ=пентест :) Какой то лоуэнд рынка, даже не SMB а SB, у которого рынка ИБ то никогда и не было. У нормальных заказчиков и договор висит на торговой площадке, всему миру видимый, и субподрядчиков пускают по официальному письму и списком поименно. И все остальные утверждения так же говорят только о дремучей некомпетентности целевой аудитории. Не дает людям покоя идея уберизации =) ТО в ИТ ее суют, то в ИБ.


  1. Kifir42
    18.03.2022 19:18
    #24179835
    +3

    Это, простите какая-то утопия. По, ка минимум, двум причинам:
    1. все, что автор перечислил в примерах - это retail. Простая, атомизированная, размножаемая услуга с понятными параметрами для клиентов частных лиц. Даже в обычном ИТ - идея уже становится профанацией. Невозможно сделать "простое КП", если нужно сделать сложную услугу.
    Например из первого примера - в результате пентеста выяснится, что
    - у заказчика есть недокументированные сервисы. Нужно документировать. Заранее неизвестен объем работы
    - у заказчика не установлены апдейты безопасности. Админы есть и должны ставить - но не поставили. При глубоком копании выясняется, что с апдейтами не совместимо что-то из ПО заказчика. А доработать ПО не позволяют, например, бюджетные ограничения
    и т.д.
    т.е. огромное количество параметров необходимо обсуждать до старта проекта.
    2. Что значит гарантии?
    Такси или приехало, или нет. Система или работает, или нет (и то - может же глючить). А в ИБ? Гарантии в смысле =- не взломают клиента? Так во первых - невзламываемых систем не бывает, во вторых - защита это процесс. много процессов. и вы хотите, что бы команда подрядчиков за один раз сделала что-то, что будет само работать вечно?) Так не бывает.
    Можно нанять свою сильную свою команду (и так мало кто делает - дорого).
    Есть вот прекрасные практики систем управления ИБ: с метриками, внутренним аудитом, мониторингом защищенности, постоянным контролем, и высокими требованиями к численности собственного ИБ - тоже можно внедрить. Только так же тоже мало кто делает.
    Интеграторы могут давать сервис (непрерывный, с кучей ограничений в сторону заказчика), и на этих условиях давать гарантии защиты - и страховать свои риски. Только это тоже увеличит стоимость услуги для заказчика.
    И что-то как-то я не вижу, чтобы массовые заказчики были готовы хоть что-то из этого оплачивать.
    PS ну и ТЗ все-таки ДОЛЖЕН формулировать заказчик. кто его пишет-оформляет - дело десятое. Но если не хочется попадать в ситуацию "я не этого хотел", то надо хотя бы представлять "чего хотел".


  1. AndreiMoscow
    18.03.2022 21:35
    #24180143
    +1

    Основное - что ИБ это лицензируемая деятельность, могут и лицензии лишить и в суд подать, а кто прав окажется не очень ясно.

    Второе - то что компании пока не готовы собираться в сообщества, даже ГОСТы пока под себя еще почти никто не написал.

    Третье - это должен быть очень высококлассный специалист по ИБ и услуги будут дороги, а покупатели не готовы столько платить. Например 1С не работает в таком режиме для физлиц (по типу такси), для организации всегда договор. Хотя формат торговли 1С можно немного соотнести с нововведениями по заказу такси через агрегатора.

    ИБ как и торговля золотом и валютой в государстве, только под зорким контролем государства.
    Если снимут лицензирование для личной информации или конфиденциальной, персональной (кроме госструктур), то будет свобода рынка.


  1. Protos
    18.03.2022 21:38
    #24180153

    Фраза «может и в лес» не заканчивается точкой. Это хорошо или плохо?


  1. pyrk2142
    21.03.2022 00:56
    #24184579
    +1

    Александр — Penetration Tester с хорошим бекграундом, он получает заработную плату в 200 тысяч рублей, и за месяц делает 2-3 проекта в уважаемой компании. Сама же компания продает эти проекты по 1,2-1,5 миллиона для крупных Заказчиков.

    ИМХО, это дно. Реальное время на такие проекты - неделя. Какой пентест можно провести в одиночку за неделю? Просканировать диапазоны из договора, найти то, что там установлено, использовать готовые эксплоиты, вскрыть пару сервисов и написать отчёт? А кому он нужен? Тем, кто хочет просто красивую бумажку от уважаемой компании? Так биржа не решит эту задачу, бумажка от лидера рынка и от Александра - это совершенно разные вещи, как был крут Александр не был.

    Правильно выбранная компания - это экспертиза разных людей и возможность нанимать кого-то ещё (отдельных специалистов или подрядчиков), если они нужны. Что будет делать Александр, если не будет знать, что делать с этой системой? Или если окажется, что в рамках аудита надо будет работать с технологиями, которые он не любит и не понимает?

    С точки зрения заказчика - это дно, если ты не умеешь выбирать и искать подрядчиков, то биржа не поможет. А с точки зрения исполнителя такая биржа - прикольная штука, можно взять пару заказов тысяч на 300-400, запустить сканеры и за месяц накопить на отпуск. А небольшие заказчики без своих ИБ-специалистов даже не смогут понять, было ли что-то действительно сделано. Но оставят хорошие отзывы, ведь отчёт на русском, понятен, горы задач для не было, кайф.