Świadkami rywalizacji dostawców systemów ochronnych z hakerami jesteśmy już od lat. I trzeba przyznać, że nie jest to pasjonujące widowisko, gdyż niezmiennie przebiega według tego samego scenariusza. Najpierw producenci chwalą się nowościami technicznymi, które mają powstrzymać cyberprzestępców, a niedługo później okazuje się, że hakerzy złamali idealne, wydawałoby się, zabezpieczenia. Czasami bywa odwrotnie: ciemna strona mocy wymyśla nowe formy ataków, vendorzy zaś pracują nad narzędziami pozwalającymi skutecznie zneutralizować wirusy. W każdym razie „na koniec dnia” okazuje się, że głównymi winowajcami są pracownicy jako najsłabsze ogniwo w łańcuchu bezpieczeństwa.

Powyższe scenariusze składają się na niekończącą się historię. W ciągu ostatnich kilku lat na systemy ochrony wydano globalnie ponad bilion dolarów, ale trudno znaleźć firmę, która czuje się dziś bardziej bezpieczna niż kilka lat temu. Nic dziwnego, skoro Cybersecurity Ventures przewiduje, że działania cyberprzestępców w 2021 r. spowodują ogółem straty w wysokości 6 bln dol., należałoby zatem zadać sobie pytanie: co zrobić, by w kolejnych latach ta kwota przestała rosnąć?

Jednym z pomysłów jest oferowanie produktów w modelu usługowym. I chociaż ta forma sprzedaży znakomicie zdaje egzamin w przypadku oprogramowania czy powierzchni dyskowej, to w branży security jest nieco inaczej ze względu na jej specyfikę. Przede wszystkim większość przedsiębiorców nie chce migrować do środowiska chmurowego głównie ze względu na obawy związane z utratą bądź wyciekiem danych. Trudno się zatem spodziewać, że te same firmy zechcą zlecić na zewnątrz zadanie związane z zabezpieczeniem sieci czy wrażliwych informacji. Niemniej propagatorzy Managed Security Service (MSS) mają w zanadrzu kilka silnych atutów. Jedną z największych bolączek, nie tylko rodzimych firm, jest brak specjalistów IT, a to właśnie oni powinni toczyć mniej lub bardziej wyrównaną walkę z hakerami.

Na świecie jest obecnie od 1 do 3 mln nieobsadzonych miejsc pracy w sektorze bezpieczeństwa informatycznego. Oczywiście nie jest to sytuacja, którą jesteśmy w stanie rozwiązać z dnia na dzień. Jednak ma ona kluczowy wpływ na wiele przedsiębiorstw i decyzje dotyczące strategii ochrony – mówi Mateusz Pastewski, Cybersecurity Sales Manager w Cisco.

Co gorsza, przeciętna firma korzysta przynajmniej z kilkunastu urządzeń i aplikacji pochodzących od różnych dostawców. Zarządzanie, a także utrzymanie tak wielu produktów nastręcza przedsiębiorcom dużo trudności, a także nakręca spiralę kosztów. Cisco, IBM czy Check Point nawołują do konsolidacji rynku, wychodząc z założenia, że nadmierne rozdrobnienie działa na korzyść cyberprzestępców. Wprawdzie karuzela przejęć w segmencie bezpieczeństwa nabrała w ostatnich latach tempa, ale wciąż działa na nim wielu małych producentów o wąskiej specjalizacji. W tej sytuacji MSS pozwala z punktu widzenia użytkownika rozwikłać problemy związane z mnogością rozwiązań, ponieważ wszelkie kwestie dotyczące zarządzania i obsługi bierze na siebie usługodawca. Mariusz Kochański, członek zarządu Veracompu, choć należy do zwolenników MSS, nieco inaczej podchodzi do kwestii fragmentacji rynku cyberbezpieczeństwa niż najwięksi gracze.

Oligopole zawsze powodują wzrost cen. Poza tym tworzące je podmioty za bardzo wierzą w swoją siłę i przestają koncentrować się na tym, co jest naprawdę istotne. Wystarczy popatrzeć na problemy Boeinga. Tymczasem nie można zakładać, że klient zakupi dane rozwiązanie, ponieważ pochodzi od dużego producenta. Tak samo jest w przypadku cyberbezpieczeństwa, gdzie trzeba szukać optimum między liczbą dostawców a poziomem zabezpieczeń – tłumaczy Mariusz Kochański.

 

Najpopularniejsze usługi

Należy liczyć się z tym, że przynajmniej część rodzimych przedsiębiorców prędzej czy później zdecyduje się korzystać z MSS. Według Frost & Sullivan w latach 2018–2023 globalny rynek tego typu usług będzie wzrastać w tempie 11 proc. rocznie. W 2018 r. przychody z ich sprzedaży wyniosły 21 mld dol., a w roku 2023 mają osiągnąć poziom 35,6 mld dol. Co ciekawe, pięciu największych globalnych dostawców MSS – Accenture, Deloitte, EY, IBM i PwC – prawdopodobnie zanotuje większy wzrost od średniej prognozowanej przez Frost & Sullivan. Wskazują na to chociażby dane pochodzące z 2018 r., kiedy wymienieni usługodawcy zwiększyli wpływy uzyskane ze świadczenia usług cyberbezpieczeństwa niemal o 28 proc. w ujęciu rocznym.

Analitycy wśród najważniejszych czynników kreujących popyt na MSS wymieniają: ograniczenia kadrowe w firmach, rosnące ryzyko cyberataków oraz konieczność wprowadzenia nowych praktyk umożliwiających skuteczną ochronę sieci i urządzeń końcowych. Przy czym popularność usług związanych z cyberbezpieczeństwem jest w Polsce nieporównywalnie mniejsza niż w USA czy Europie Zachodniej. Taki stan rzeczy wynika z różnicy poziomu wynagrodzeń w sektorze informatycznym, a także stopnia cyfryzacji gospodarki i administracji państwowej. Można się spodziewać, że tempo wzrostu sprzedaży usług cyberbezpieczeństwa w Polsce przekroczy 10 proc. ze względu na to, że znajdujemy się dopiero na początkowym etapie rozwoju.

Rodzimi klienci wciąż podchodzą z pewnym dystansem do MSS. Najczęściej obawiają się wyniesienia podstawowych kompetencji z obszaru bezpieczeństwa IT security na zewnątrz. Aspekt zaufania do partnerów MSS to także bardzo ważne kryterium, w szczególności przy karach wprowadzonych wraz z RODO. Jednak mimo trudności przewidujemy dynamiczny wzrost tego sektora w najbliższym czasie w Polsce – mówi Robert Dziemianko, PR & Marketing Manager w polskim oddziale G Daty.

Analitycy Frost & Sullivan uważają, że w latach 2018–2023 najszybciej będzie wzrastać popyt na usługi detekcji i reakcji na incydenty, a w dalszej kolejności ochrona przed atakami DDoS i inwestowanie w wiedzę dotyczącą threat intelligence. Rodzimi specjaliści od bezpieczeństwa przyznają, że z podobnymi tendencjami będziemy mieli do czynienia również w Polsce. Wymieniają jednak w tym kontekście inne rodzaje usług, które powinny spotykać się z rosnącym zainteresowaniem klientów. Wskazują przede wszystkim na SIEM (Security Information and Event Management) i zarządzane UTM bądź firewallami aplikacyjnymi (WAF).

 

 

Zdaniem specjalisty

(wypowiedzi z lutego br.)

Grzegorz Górniak, Business Unit Manager Cisco, Tech Data

Korzystając z usług MSS, klient końcowy nie musi płacić za rozwiązania dotyczące kilku czy kilkudziesięciu produktów pochodzących od różnych dostawców, a następnie borykać się z ich instalacją, utrzymaniem i codziennym serwisem. W modelu MSS większość tych obowiązków spoczywa na usługodawcy, a klient oczekuje efektu końcowego – bezpieczniejszej infrastruktury IT, monitorowania zdarzeń i reakcji na incydenty. Po stronie usługodawcy, czyli integratora, leży decyzja o wyborze narzędzi i ich dostawców. Ze względu na rozdrobnienie i komplikacje związane z obsługą rozwiązań wielu marek obserwujemy coraz większą konsolidację rozwiązań i redukcję liczby dostawców zarówno po stronie klientów końcowych, jak i integratorów.

 

Grzegorz Michałek, CEO, Arcabit

Uważam, że istnieje co najmniej kilka przyczyn hamujących rozwój usług zarządzania bezpieczeństwem. Jedną z nich jest brak rutyny, konsekwencji w przestrzeganiu reguł i polityki bezpieczeństwa przez klientów. Ta bolączka doskonale uwidoczniła się w ramach wdrożeń w rodzimych firmach rozwiązań, które umożliwiają spełnienie wymagań RODO. Większość z nich skończyła się na wygenerowaniu stosownej liczby fikcyjnych procedur i dokumentacji nieprzystającej do rzeczywistości. Takie pozorne i wirtualne podejście w przypadku procedur związanych z bezpieczeństwem od razu, na wstępie, stawia na przegranej pozycji zarówno klienta, jak i dostawcę usług bezpieczeństwa.

 

Mateusz Pastewski, Cybersecurity Sales Manager, Cisco

Na polskim rynku działają już integratorzy, którzy na bazie rozwiązań producentów takich jak Cisco oferują własne usługi MSS lub Security Operation Center (SOC). Wykorzystanie usług chmurowych do budowania własnego rozwiązania jest optymalne, jeżeli weźmiemy pod uwagę to, że tak przygotowana oferta będzie najlepszą odpowiedzią na potrzeby klientów, a jednocześnie oferują one niski próg wejścia dla integratora. Przechowywanie danych we własnej infrastrukturze wiąże się jednak z ryzykiem, że dane dostaną się w niepowołane ręce, jeżeli tylko będą źle chronione. Praktyki rynkowe wyraźnie pokazują, że zewnętrzni dostawcy usług informatycznych mają nie tylko większą wiedzę, lecz także doświadczenie, narzędzia i procedury pozwalające na zwiększenie bezpieczeństwa i dostępności danych w porównaniu z rozwiązaniami zarządzanymi przez rodzimych przedsiębiorców.

 

Agnieszka Szarek, szefowa kanału partnerskiego, Fortinet

Nasze analizy pokazują, że wartość rynku MSS będzie rosła ze względu na kilka czynników. Z jednej strony migracja do chmury oraz rozwój technologii SD-WAN wymuszają reakcję po stronie operatorów i klasycznych DC. Poza tym pojawiło się kilka usług sektorowych realizowanych centralnie, w które model usługowy jest wpisany z założenia – mam na myśli chociażby Ogólnopolską Sieć Edukacyjną czy Chmurę Krajową. Kluczowe jest jednak pojawienie się silnego trendu wśród integratorów, którzy dostrzegli swoją szansę w budowaniu bardziej zaawansowanych usług MSS, jak SOC, NOC, WAF. Trend ten jest wzmacniany przez niedobór specjalistów ds. bezpieczeństwa.

 

Dla kogo MSS?

Zapewnienie odpowiedniego poziomu bezpieczeństwa to poważne wyzwanie dla każdej firmy niezależnie od jej wielkości. Jednakże duże koncerny znajdują się w uprzywilejowanej sytuacji, gdyż mają działy IT, które lepiej lub gorzej potrafią zadbać o ochronę infrastruktury teleinformatycznej. W dużo trudniejszym położeniu znajdują się małe i średnie przedsiębiorstwa coraz mocniej odczuwające deficyt specjalistów IT. Poza tym tego typu użytkownicy na ogół korzystają z mniej zaawansowanych narzędzi ochronnych niż wielkie korporacje. Dlatego też firmy działające w segmencie MSS w pierwszej kolejności kierują swoją ofertę do mniejszych i średnich przedsiębiorstw. Polska pod tym względem nie stanowi wyjątku.

W naszych realiach należy docierać z usługami cyberbezpieczeństwa do firm liczących 50–100 pracowników i do samorządów. To zwykle podmioty, których nie stać na opłacenie pełnego etatu specjalisty ds. bezpieczeństwa. Zazwyczaj zatrudniają one jednego człowieka odpowiedzialnego za utrzymanie infrastruktury IT, łącznie z flotą komputerów. Model MSS umożliwia takiej osobie nadzór nad siecią bez konieczności podejmowania natychmiastowej reakcji – tłumaczy Mariusz Kochański.

W Polsce rynek małych i średnich przedsiębiorstw wyjątkowo pojemny, bowiem działa u nas mniej więcej 15 tys. firm zatrudniających do 250 pracowników i ponad 3,5 tys. podmiotów, w których liczba zatrudnionych nie przekracza 1000 osób. Teoretycznie firmy oferujące usługi cyberbezpieczeństwa mają w Polsce ogromne pole do popisu, aczkolwiek rozmowy z tą grupą klientów nie należą do najłatwiejszych. Po pierwsze, mają oni bardzo ograniczone zaufanie do usługodawców, szczególnie tych związanych z branżą bezpieczeństwa. Po drugie, MŚP zazwyczaj wybierają produkty bądź usługi, kierując się wyłącznie ceną. Grzegorz Michałek, CEO Arcabitu, obawia się, że ta właśnie kwestia może spowolnić proces adaptacji usług cyberbezpieczeństwa.

Zwłaszcza że wbrew stereotypowym opiniom usługi zarządzania bezpieczeństwem nie mogą, a wręcz nie mają prawa być tanie. Tania usługa będzie oznaczać fikcyjne wsparcie, które zakończy się już po pierwszym incydencie, o ile takowy ogóle zostanie wykryty – podkreśla Grzegorz Michałek.

Zdaniem integratora

Karol Labe, CEO Miecz Net

Obecnie oferujemy klientom, którzy korzystają z własnego serwera poczty, możliwość skanowania e-maili za pomocą zaawansowanych narzędzi wdrożonych w naszych centrach danych. Usługa pozwala wyeliminować wszystkie informacje zawierające spam i wirusy. Cały czas cieszy się ona dużą popularnością i systematycznie powiększamy liczbę usługodawców. Istnieje duże prawdopodobieństwo, że rynek security przesunie się w stronę usług, dlatego też bardzo uważnie śledzimy wszelkie nowości pojawiające się na rynku, by wybrać najciekawsze rozwiązania do naszej oferty.

 

Mali też mogą powalczyć

Co ważne, zdaniem Grzegorza Michałka mali gracze nie mają szans, by dotrzeć z usługami zarządzania bezpieczeństwem do większej liczby klientów. Największą barierą jest brak wykwalifikowanych pracowników, którzy mogliby zapewnić najwyższą jakość usług przez 24 godziny na dobę. Obawy polskiego menedżera podziela Jarad Carleton z Frost & Sullivan.

Mniejsi providerzy muszą odpowiednio dobrać zestaw oferowanych usług, a przede wszystkim utrzymać bezpieczeństwo we własnym przedsiębiorstwie. Zauważyliśmy, że mali bądź średni usługodawcy bardzo często obiecują dużo więcej, niż są w stanie zrobić. To samo w sobie bardzo szkodzi branży, ale jeszcze gorszy wpływ na jej wizerunek mają przypadki, kiedy dostawca MSS sam pada ofiarą cyberataku – tłumaczy analityk.

Nie można jednak zakładać, że rynek zarządzania usługami bezpieczeństwa zostanie zdominowany przez kilku dużych dostawców. Atutem mniejszych usługodawców jest ich duża elastyczność, zarówno jeśli chodzi o oferowane usługi, jak i negocjacje cenowe. Niebagatelne znaczenie podczas rywalizacji z gigantami ma doskonała znajomość lokalnego rynku.

Rola zaufanego doradcy niewątpliwie może pomóc lokalnym integratorom rozpropagować MSS wśród klientów. Duzi operatorzy oferują rozwiązania kompleksowe cechujące się wysoką efektywnością i atrakcyjnym wskaźnikiem ceny do otrzymywanej wartości. Jednak tylko część z nich potrafi dostosować swoje usługi do potrzeb każdego segmentu odbiorców. I właśnie tutaj pojawia się przestrzeń dla mniejszych integratorów, którzy wprawdzie nie mają kompleksowej oferty usług, aczkolwiek wykazują dużo większą elastyczność w relacjach z mniejszymi firmami – mówi Grzegorz Górniak, Business Unit Manager Cisco w Tech Dacie.

Jak na razie rodzime przedsiębiorstwa zazwyczaj nie są należycie przygotowane do tego, żeby korzystać z usług zewnętrznych. Również potencjalnych dostawców usług czeka jeszcze bardzo długa droga, zanim nauczą się nowych reguł gry. Jednak nie ulega wątpliwości, że największe szanse na sukces mają dostawcy, którzy wypracują swój własny model i wyspecjalizują się w oferowaniu wybranej grupy usług.

– Ważne, żeby w polskich firmach nie przyjmować na ślepo modeli funkcjonujących w Stanach Zjednoczonych, jak proponują niektórzy producenci. Tamten rynek jest zupełnie inny niż polski – doradza Mariusz Kochański.