Analitycy śledzący rynek IT nie mają cienia wątpliwości. W najbliższych latach do dostawców systemów bezpieczeństwa popłynie szeroki strumień pieniędzy. Jednak trudno przewidzieć, na ile inwestycje poczynione przez firmy oraz instytucje powstrzymają inwazję cyberprzestępców. Zdania w tej materii są podzielone. Dostawcy rozwiązań są umiarkowanymi optymistami, ale tego samego nie można powiedzieć o firmach badawczych. Organizacja Cybersecurity Ventures bynajmniej nie postrzega przedsiębiorców jako faworytów w rywalizacji z cyberprzestępcami. Według jej prognoz przestępcze działania w 2021 r. spowodują straty w wysokości 6 bln dol. – to dwukrotnie więcej niż w 2015 r.

Z kolei Cybersecurity Ventures uważa, że działalność cyberprzestępcza stała się bardziej zyskowna niż handel narkotykami. Co gorsza, przestępcy z roku na rok mają coraz łatwiejszy dostęp do narzędzi umożliwiających przeprowadzenie ataków. Nie bez przyczyny w ostatnim czasie mówi się o demokratyzacji hackingu.

Mniej optymistycznie wygląda obraz po drugiej stronie barykady. Przedsiębiorstwa zazwyczaj nie posiadają strategii w zakresie ochrony sieci informatycznych, a ich pracownicy nabierają się na proste sztuczki. Niedawno media obiegła informacja o należącej do Polskiej Grupy Zbrojeniowej spółce Cenzin. Poważna, zdawałoby się, firma padła ofiarą mało wyszukanego ataku phishingowego i przelała na fałszywe konto 4 mln zł. Inny świeży przykład to wyciek formularzy dotyczących przestępstw z Komendy Miejskiej Policji w Sosnowcu. Czym tłumaczyć aż tak dużą niefrasobliwość personelu?

– Jednym z problemów jest pogłębiająca się luka kompetencyjna, związana z deficytem specjalistów od bezpieczeństwa. Nie jest to jedynie nasz rodzimy problem. Według szacunków na świecie jest obecnie od 1 do 3 mln nieobsadzonych miejsc pracy w sektorze security – mówi Mateusz Pastewski, Cybersecurity Sales Manager w Cisco.

Trudności potęguje fakt, że przeciętna firma bądź instytucja korzysta z około 30 różnych rozwiązań chroniących sieć, dane, a także urządzenia końcowe. Co czwarty specjalista od cyberbezpieczeństwa uczestniczący w badaniach Cisco przyznał, że używał produktów od 11 do 20 dostawców. Poruszanie się w tym swoistym labiryncie wymaga niemałych umiejętności. Stąd właściciele firm stają przed dylematem – zatrudniać kolejnych specjalistów do działu IT i wdrażać nowe systemy bezpieczeństwa czy zlecić zadania na zewnątrz?

 

Hakerzy polubili SaaS

W cyberprzestępczym światku dużą popularnością cieszy się SaaS (Software as a Service). I nie chodzi tutaj wyłącznie o ataki skierowane przeciwko użytkownikom Office 365 czy Salesforce CRM, lecz dystrybucję usług przestępczych. Na czarnym rynku można wynająć botnety, a także zamówić ransomware as a service, phishing as a service itp. Tą samą ścieżką podążają dostawcy systemów bezpieczeństwa, promujący sprzedaż w modelu usługowym. Zapowiada się więc ciekawa rywalizacja.

MarketsandMarkets prognozuje, że globalny rynek Security as a Service (SECaaS) w latach 2018–2023 będzie rósł w tempie 17 proc., by na koniec 2023 r. osiągnąć wartość 16 mld dol. Zdaniem analityków czynnikami kreującymi popyt na usługi bezpieczeństwa będą rygorystyczne przepisy w zakresie ochrony danych, migracja do środowiska chmurowego oraz wysokie koszty i ryzyko związane z zarządzaniem lokalnymi systemami.

Kilkunastoprocentowy wzrost sprzedaży w przypadku mocno promowanej technologii to dość pesymistyczna prognoza. Najwyraźniej analitycy zakładają duży opór, wynikający przede wszystkim z mentalności decydentów. Jednak z każdym rokiem przybywa pracowników IT urodzonych w czasach internetu. Biorąc pod uwagę ten fakt, a także deficyt specjalistów od cyberbezpieczeństwa, można się spodziewać, że SECaaS w dalszej przyszłości stanie się bardziej popularne niż tradycyjny model sprzedaży – przyznaje Paweł Marciniak, Regional Director Eastern Europe w Matrix42.

O ile w państwach Europy Zachodniej czy Stanach Zjednoczonych należy spodziewać się stosunkowo szybkiej adaptacji SECaaS, o tyle w Polsce proces ten będzie przebiegać prawdopodobnie dużo wolniej. Rodzimi przedsiębiorcy na ogół z niechęcią podchodzą do rozwiązań chmurowych, obawiając się utraty bądź wycieku danych. Lwia część działów IT zamierza we własnym zakresie kontrolować kwestie związane z cyberbezpieczeństwem. Zresztą trudno je za to ganić, zwłaszcza w kontekście niedawnych wpadek  Facebooka czy Google’a. Czy jednak polskim przedsiębiorcom wystarczy sił i środków, aby w pojedynkę toczyć bój z hakerami?

 

Zdaniem specjalisty

Wojciech Głażewski, Country Manager, Check Point Software Technologies

Na promocję SECaaS nie jest za wcześnie. Jak wykazały nasze badania, większość firm, zwłaszcza tych mniejszych, posiada zabezpieczenia chroniące jedynie przed atakami drugiej, a w najlepszym wypadku trzeciej generacji. Inwestycje w SECaaS zapewniają dostęp do najnowszych rozwiązań chroniących przed atakami piątej, a nawet szóstej generacji.

Michael Gutsch, Head of MSP CEEMEA, Sophos

W sprzedaży usług bezpieczeństwa IT kluczowe znaczenie ma wykrywanie aktualnych zagrożeń stworzonych z myślą o określonych grupach użytkowników i podkreślanie wartości samej usługi. Klientom MŚP nie wystarcza już kupienie produktu ochronnego. Musi być on profesjonalnie wdrożony, uruchomiony i zarządzany, a to gwarantuje MSSP (Manage Security Service Provider). Zachęcamy każdego resellera, aby zapoznał się z tym modelem biznesowym i przygotował się tym samym na przyszłość. Chciałbym jednocześnie zaznaczyć, że przejście do MSSP nie jest dla partnera prostym zadaniem. Niezbędne są inwestycje w automatyzację procesów, jak również w szkolenie handlowców.

Mateusz Pastewski, Cybersecurity Sales Manager, Cisco

Największe zainteresowanie SECaaS widzimy ze strony firm, które chciałyby uprościć procesy związane z ochroną, m.in. właśnie dzięki implementacji usług chmurowych. Są one z reguły o wiele łatwiejsze w zarządzaniu niż te świadczone w modelu tradycyjnym. Klienci o niższych kompetencjach technicznych także poszukują takich rozwiązań. Usługi SECaaS są oferowane w modelu „pay as you grow” oraz w modelu subskrypcyjnym, w którym użytkownicy rozliczają się miesięcznie. Scenariusz ten ułatwia testowanie rozwiązań. Umowy długoterminowe potrafią niekiedy wystraszyć klienta, któremu ciężko przewidzieć jak będzie rozwijał się jego biznes.

Paweł Jurek, wicedyrektor ds. rozwoju, Dagma

Mamy część oferty dystrybucyjnej dostosowanej do zakupu w modelu płatności miesięcznych – takie rozliczanie nie jest problemem np. w przypadku oferty Barracuda Networks. Pracujemy nad tym, aby móc zaoferować w podobnym modelu również inne rozwiązania z naszego portfolio. Zauważam zainteresowanie klientów zakupem wybranych funkcji bezpieczeństwa w modelu usługowym. Zwykle są to klienci, którzy mają już za sobą „mentalną zmianę” w swoim podejściu do chmury, korzystają z zewnętrznych serwerowni, trzymają swoje serwery w chmurze. Tego typu firmy często, kupując rozwiązania bezpieczeństwa, od razu zakładają model usługowy. Dlatego dążymy do osiągnięcia elastyczności w ofercie, aby tacy klienci chcący skorzystać z narzędzi, które dystrybuujemy, mogli to zrobić w sposób dla nich najwygodniejszy.

Mariusz Kochański, członek zarządu, Veracomp

Braki kadrowe oraz istniejące regulacje prawne, takie jak RODO czy ustawa o krajowym systemie cyberbezpieczeństwa, sprawiają, że uzyskanie kilkunastoprocentowego wzrostu przychodów ze sprzedaży SECaaS jest jak najbardziej realne. Dla klientów zaletą usług jest ich kompleksowość oraz relatywnie niskie koszty. Obowiązkiem administratorów i procesorów danych jest dołożenie wszelkich starań, aby zabezpieczyć dane przed wyciekiem. Stosowanie wielu zabezpieczeń w środowisku lokalnym oznacza większe koszty wejścia oraz utrzymania.

 

Pomoc z chmury

Wyścig zbrojeń w segmencie cyberbezpieczeństwa z roku na rok nabiera tempa. Walka z cyberprzestępcami staje się coraz trudniejsza i wymaga dużych nakładów finansowych. Adrianna Kilińska, prezes Engave’a, zauważa, że koszt wiodących systemów bezpieczeństwa często przekracza możliwości budżetowe wielu firm.

– Przedsiębiorcy decydują się na zakup tańszych rozwiązań, cechujących się słabszymi parametrami. Alternatywą w takich przypadkach może być zakup usługi zewnętrznej. Ale jak zawsze pojawia się kwestia zaufania do drugiej strony i niuanse związane z architekturą rozwiązania – mówi Adrianna Kilińska.

Na razie większość firm działających na rodzimym rynku preferuje tradycyjną ochronę zasobów. Niewykluczone, że wraz z nasilającymi się cyberatakami szala zacznie powoli przechylać się na stronę SECaaS. Dostawcy tego typu usług powinni uzbroić się w cierpliwość, choć nie mogą pozostać bierni. Przede wszystkim muszą przekonać przedsiębiorców, że potrafią lepiej chronić cyfrowe zasoby aniżeli wewnętrzne działy IT. Nie będzie to łatwe zadanie, aczkolwiek czas działa na korzyść usługodawców. Na barki
szefów działów IT zacznie bowiem spadać coraz więcej obowiązków.

Nie bez znaczenia jest to, że komórki odpowiadające za cyberbezpieczeństwo rzadko funkcjonują jako osobne jednostki organizacyjne. Według globalnego badania przeprowadzonego przez IDG dzieje się tak w przypadku 25 proc. przedsiębiorstw. Złe doświadczenia związane z zarządzeniem lokalnym środowiskiem, a także ciągłe boje o budżet toczone z dyrektorami finansowymi sprawią, że menedżerowie IT spojrzą bardziej przychylnym okiem na środowisko chmurowe.

Kto w pierwszej kolejności zapuka do drzwi usługodawców? Jeśli wierzyć cytowanym badaniom MarketsandMarkets, największe przychody w segmencie SECaaS w najbliższych latach generować będą instytucje finansowe oraz ubezpieczeniowe. Analitycy twierdzą, że najszybciej rośnie liczba programów szpiegujących, ransomware, trojanów i innych złośliwych aplikacji skierowanych przeciwko wymienionej grupie użytkowników. Ponadto banki czy towarzystwa ubezpieczeniowe dysponują wieloma poufnymi informacjami na temat pracowników, klientów czy zestawieniami przeprowadzanych operacji. Niemniej nasi rozmówcy nieco inaczej niż MarketsandMarkets postrzegają rozwój SECaaS w Polsce. Ich zdaniem usługi w pierwszym rzędzie trafią do małych i średnich firm, których nie stać na wdrożenie zaawansowanej technologicznie infrastruktury bezpieczeństwa. SECaaS wydaje się też naturalnym wyborem dla organizacji, które powszechnie korzystają z usług chmurowych, i sektora publicznego, gdzie zwykle szuka się oszczędności.

 

Nowa strategia na nowe czasy

Producenci systemów bezpieczeństwa jak mało kto muszą nadążać za tempem zmian. Dostawcy przedefiniowują strategię, wprowadzają do portfolio nowe rozwiązania, w tym także SECaaS. Poszczególni gracze realizują różne koncepcje w zakresie świadczenia usług bezpieczeństwa. W ostatnim czasie wiele mówi się o systemach SOC (Security Operations Center), które monitorują stan bezpieczeństwa infrastruktury informatycznej, reagując jednocześnie na incydenty i zagrożenia.

W firmie zatrudniającej około tysiąca osób czujniki umieszczone na stacjach roboczych rejestrują około 2 mld zdarzeń miesięcznie, z czego około 900 tys. kwalifikuje się do kategorii podejrzanych – tłumaczy Marcin Galeja, Sales Engineer w F-Secure.

Przytoczony przykład obrazuje skalę działania SOC i – jak łatwo się domyślić – nie jest to produkt dla MŚP. Wkład w stworzenie i utrzymanie takiego rozwiązania może sięgać setek tysięcy złotych, nie wspominając o czasie i zasobach potrzebnych do wdrożenia.

Model usługowy może być wyjściem zdecydowanie tańszym i efektywniejszym. Należy jednak uważnie wybrać dostawcę takich usług i zweryfikować jego kompetencje. Warto szczegółowo dopytać o certyfikacje, obowiązujące procedury czy dotychczasowych klientów – podkreśla Jarosław Mackiewicz, kierownik zespołu ds. audytów w Dagmie.

Niektórzy producenci oferują system w modelu usługowym, przejmując obowiązki związane z zarządzaniem, opieką nad klientem, analizą zagrożeń. W sprzedaż usługi mogą zaangażować się partnerzy, którzy obserwując zachodzące procesy, informują swoich klientów o incydentach. Ciekawy przykład stanowi oferta D3 Security. Firma dostarcza w modelu usługowym SOC wspólnie z rozwiązaniami klasy SOAR przeznaczonymi do zarządzania dochodzeniami i przypadkami naruszeń procedur bezpieczeństwa.

Usługodawcy, a także dystrybutorzy często mają odmienne zdanie na temat budowania portfolio. Ci pierwsi są zazwyczaj orędownikami sprzedaży kompleksowej oferty.

Usługodawca powinien zapewnić ochronę końcówek, urządzeń mobilnych, serwerów, zabezpieczenia sieci oraz serwisów e-mail działających w chmurze, bo cyberprzestępcy wykorzystują każdą możliwą płaszczyznę ataku. Oprócz rozwiązań ochronnych należy oferować klientom usługi tworzenia kopii zapasowych – wyjaśnia Michael Gutsch, Head of MSP CEEMEA z Sophosa.

Niemniej klienci nie zawsze są przygotowani na daleko idącą współpracę z usługodawcami. Choć w Dagmie dostrzegają zainteresowanie firm SECaaS, to większość z nich poszukuje wybranych funkcji zamiast kompleksowych rozwiązań. Również specjaliści Veracompu uważają, że organizacje często będą sięgać po wyspecjalizowane usługi, takie jak Firewall as a Service, systemy antyspamowe czy WAF (Web Application Firewall). W nieodległej przyszłości biznes będzie zgłaszać zapotrzebowanie na CASB (Cloud Access Security Broker). Jest to technologia zabezpieczeń wspomagająca istniejące systemy bezpieczeństwa, takie jak NextGen Firewall czy DLP. Gartner przewiduje, że w 2020 r. globalne przychody ze sprzedaży CASB wyniosą 713 mln dol. (dla porównania: w 2015 r. ten segment rynku był wart niespełna 151 mln dol.).

Zdaniem integratora

Tomasz Spyra, CEO, Rafcom

Wydaje mi się, że niełatwo będzie uzyskać kilkunastoprocentowe tempo wzrostu przychodów ze sprzedaży SECaaS. Usługi chmurowe są dostępne na polskim rynku od kilku lat, ale ich dostawcom trudno dotrzeć do świadomości rodzimych klientów. Bez dużych nakładów na edukację przedsiębiorstw, a zwłaszcza osób decydujących o zakupach, niełatwo będzie zwiększyć sprzedaż. W większości przypadków firmy chcą, aby systemy bezpieczeństwa działały w środowisku lokalnym. Przedsiębiorcy wychodzą z założenia, że to zapewnia im pełną kontrolę oraz całkowitą poufność przesyłanych danych. Obecnie SECaaS nie jest rozwiązaniem dla szerokiego grona odbiorców. Tym bardziej że oprócz obaw związanych z bezpieczeństwem zasobów pojawiają się sporne aspekty prawne.

 

Zaufany doradca

Nie tylko przedsiębiorcy podejrzliwie patrzą na SECaaS. Z pewnym dystansem do sprzedaży usług bezpieczeństwa podchodzą też integratorzy, którzy obawiają się utraty klientów.

Nasz niepokój jest uzasadniony, bo widzimy, co dzieje się na rynku usług chmurowych. Najwięksi gracze sprzedają swoje usługi bezpośrednio klientowi końcowemu, a partnerzy mają się skupić na wdrożeniach i zarządzaniu usługami – tłumaczy Tomasz Spyra, prezes Rafcomu.

Producenci systemów bezpieczeństwa starają się w rozmaity sposób zachęcić partnerów do oferowania SECaaS. Check Point zmienił nawet swój program partnerski, premiując firmy za inwestowanie w relacje z klientami, a nie jedynie za wyniki sprzedaży. Dostawca tłumaczy swoją strategię rosnącą popularnością rozwiązań opartych na chmurze i dużym znaczeniem urządzeń mobilnych. Producent zakłada, że profil partnerów ulegnie zmianie – z integratora w stronę doradcy, analizującego środowisko działania przedsiębiorstwa i dostosowującego usługi do indywidualnych potrzeb. Zresztą menedżerowie patrzący na biznes długofalowo uwzględniają w swoich scenariuszach taki rozwój wypadków. – Jako zaufany doradca, tzw. trusted advisor, zabezpieczamy swoją pozycję. Klient zawsze będzie poszukiwał kogoś, komu ufa i kto mu doradzi. Producent, niezależnie od swojej oferty, nie jest w stanie dotrzeć do każdego potencjalnego nabywcy i będzie potrzebował dodatkowego ogniwa – podsumowuje Adrianna Kilińska.