Wraz ze wzrostem cyberataków specjaliści od bezpieczeństwa działają pod coraz większą presją. Dziennikarze magazynu Infosecurity wyliczyli, że typowy firmowy zespół ds. bezpieczeństwa otrzymuje w ciągu tygodnia 174 tysiące alertów na temat zagrożeń, jednakże jest w stanie sprawdzić jedynie 12 tysięcy z nich. Przy czym część sygnałów to fałszywe alarmy lub mało znaczące incydenty niezagrażające bezpieczeństwu firmy, niemniej są one kłopotliwe, gdyż niepotrzebnie angażują specjalistów. Analiza tego typu informacji pochłania wiele godzin, przez co można przeoczyć powiadomienia krytyczne. W rezultacie z biegiem czasu eksperci stają się zmęczeni, wypalają się, a wydajność ich pracy spada.

Ciekawe dane na ten temat przynoszą wyniki badania „State of Cybersecurity 2021” przeprowadzone podczas konferencji ISACA. Aż 53 proc. działów bezpieczeństwa IT zadeklarowało, że w czasie pandemii miało trudności z utrzymaniem utalentowanych pracowników. Kłopoty kadrowe idą w parze z liczbą incydentów – 68 proc. respondentów, którzy padli kilka razy ofiarą cyberataków odczuło niedobór personelu, zaś 63 proc. zgłosiło trudności związane z zatrzymaniem wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Co gorsza, znalezienie ich następców zaczyna graniczyć z cudem. Według organizacji (ISC)² liczba przeszkolonych pracowników ds. cyberbezpieczeństwa musi wzrosnąć o 145 proc., aby sprostać popytowi. Obecnie na całym świecie pracuje około 2,8 mln specjalistów z tej dziedziny, natomiast powinno ich być ponad 4 mln – twierdzą przedstawiciele wspomnianej organizacji.

O ile przedsiębiorstwa narzekają na brak fachowców, o tyle liczba używanych narzędzi bezpieczeństwa może przyprawić o zawrót głowy. Firmy i instytucje posiadają produkty zabezpieczające w środowisku lokalnym i chmurze, systemy ochrony danych, antywirusy, narzędzia do analizy behawioralnej i uwierzytelniania oraz wiele innych. Monitorowanie tak dużej liczby urządzeń oraz aplikacji stanowi nie lada wyzwanie, któremu wiele działów IT najzwyczajniej w świecie nie jest w stanie sprostać. Nie bez przyczyny część z nich myśli o pozbyciu się tego uciążliwego balastu i przekazaniu go zewnętrznym usługodawcom.

Gartner przewiduje, że w bieżącym roku globalne wydatki na cyberbezpieczeństwo wyniosą 150,4 mld dol. Duża część tej kwoty (72,5 mld dol.) ma popłynąć do dostawców usług, zarabiających na wdrożeniach, wsparciu technicznym czy wreszcie outsourcingu. To oznaczałoby 11 proc. wzrost w porównaniu z rokiem ubiegłym.

Przedsiębiorcy szukają pomocy

Od początku pandemii media informują o spektakularnych atakach ransomware wymierzonych przeciwko takim gigantom, jak: Canon, Acer, Software AG, Garmin, Quanta, SolarWinds czy Colonial Pipeline. Pomimo że każdy z wymienionych koncernów dysponuje przecież niemałymi środkami finansowym na IT, w tym również na zabezpieczenia, dały się zaskoczyć napastnikom. Znamienny jest przypadek Colonial Pipeline, największej sieci rurociągów paliwowych w USA, która na infrastrukturę IT wydała w ciągu ostatnich pięciu lat 200 mln dol. Okazuje się, że nie wystarczyło to, aby zastopować gang ransomware i koncern musiał dodatkowo wysupłać z kieszeni 4,4 mln dol. na okup.

Gdzieś w cieniu takich wydarzeń rozgrywają się dramaty małych i średnich firm ponoszących dotkliwe straty finansowe powstałe w wyniku cyberataków. Część ekspertów zajmujących się tematyką cyberbezpieczeństwa uważa, że optymalnym wyjściem jest powierzenie całościowej lub częściowej ochrony IT podmiotom zewnętrznym. Wydaje się to sensowne, bowiem chyba tylko niepoprawni optymiści wierzą w to, że najbliższe lata przyniosą poprawę sytuacji. Wygląda raczej na to, że problemy będą się pogłębiać, do czego przyczyni się między innymi wzrost popularności usług chmurowych, ale również model pracy zdalnej i rozwój Internetu rzeczy. Nikt też nie liczy na to, że w najbliższych latach rynek zaleje fala specjalistów od cyberbezpieczeństwa bądź spadną ceny sprzętu oraz oprogramowania do ochrony urządzeń i danych. Zresztą część firm zaczyna zdawać sobie sprawę z tego, że walka z cyberprzestępcami przerasta ich możliwości zarówno od strony finansowej, jak i organizacyjnej.

– Obserwujemy coraz większe zainteresowanie modelem usługowym ze strony przedsiębiorstw, które chciałyby uprościć procesy związane z bezpieczeństwem. Klienci o niższych kompetencjach technologicznych poszukują rozwiązań, które zdejmą z nich ciężar i rozwiążą ich problemy biznesowe. Usługi tego typu są nie tylko oferowane w modelu „pay as you grow”, ale także w modelu subskrypcyjnym – zauważa Aleksandra Sosnowska, Product Sales Specialist w Cisco.

Niektórzy producenci próbują iść w innym kierunku niż cała reszta stawki.

Od konta e-mail do SOC

Usługi bezpieczeństwa można realizować na kilka sposobów. Niektórzy sięgają po ciężkie działa, takie jak SOC (SecurityOperation Center), ale nie jest to tania opcja. Według Ponemon Institute średni roczny budżet na cyberbezpieczeństwo wynosi 31 mln dol., przy czym wydatki na SOC pochłaniają jedną trzecią tej sumy. Dlatego też wiele dużych organizacji woli korzystać z usług dostawców zewnętrznych, którzy gwarantują opiekę ze strony fachowców oraz dysponują szeroką gamą zaawansowanych narzędzi bezpieczeństwa IT. SOC realizuje zadania związane ze skutecznym wykrywaniem i obsługą incydentów, a także integracją z innymi procesami bezpieczeństwa, w tym ochroną przed wyciekami danych. Czasami usługodawcy wspierają klientów w tworzeniu ich własnych ośrodków SOC.

Co ciekawe, jednym z najsłabszych ogniw w tego typu centrach są ludzie. Z badań Ponemon Institute wynika, że praca w centrach operacyjnych wiąże się bowiem z dużym stresem. Z tego powodu 60 proc. pracujących tam osób rozważa rezygnację z pracy. Najbardziej irytuje ich nadmierne obciążenie pracą (75 proc.), przeciążenie informacjami (67 proc.) czy też chaos występujący w tego rodzaju centrach (53 proc.). Nie jest to zatem najlepszy biznes dla małych bądź średnich integratorów, którzy poszukują swojego miejsca w segmencie usług bezpieczeństwa.

– Firma zainteresowana stworzeniem własnego SOC musi wziąć pod uwagę wiele czynników związanych z zarządzanymi zasobami, kadrą, procesami, budżetem. Przekracza to możliwości większości przedsiębiorstw w Polsce, zwłaszcza w porównaniu z rozwiązaniami typu MSSP i MDR – mówi Grzegorz Nocoń, System EngineerEastern Europe w Sophosie.

Część analityków zajmujących się tematyką cyberbezpieczeństwa twierdzi, że przyszłość należy do modelu MSSP (Managed Security Service Provider). Według prognoz MarketsandMarkets globalne wydatki na zarządzane usługi bezpieczeństwa będą rosły w tempie 8 proc. rocznie i przekroczą 46 mld dol. do 2025 r. Chyba największą zaletą tego modelu jest nastawienie przede wszystkim na realizację potrzeb małych i średnich firm, które w nadchodzących latach najbardziej odczują deficyt specjalistów ds. cyberbezpieczeństwa.

Zdaniem integratora

Rafał Barański, CEO, braf.tech  

Jednym z czynników hamujących rozwój usług cyberbezpieczeństwa w Polsce jest niedobór wykwalifikowanych specjalistów. Z tym problemem branża boryka się od wielu lat, ale czasy pandemii dodatkowo uwypukliły to zjawisko. Drugim problemem jest brak świadomości odnośnie do kwestii bezpieczeństwa. Z każdym rokiem wzrasta liczba cyberataków, które przybierają coraz bardziej wyrafinowane formy. Firmy migrują systemy czy dane do chmury, ale zapominają o odpowiednich środkach bezpieczeństwa. Coraz częściej wykorzystywane są rozwiązania sztucznej inteligencji, także w systemach bezpieczeństwa, ale tą technologią posługują się też hakerzy. Firmy muszą nadążać ze zmianami i przewidywać pewne zagrożenia, ale do tego potrzeba odpowiedniej strategii, a także ludzi do jej realizacji.

  

EDR: plusy dodatnie, plusy ujemne

Ciekawą alternatywą dla MPPS mogą być usługi MDR (Managed Detection and Response). W ostatnim czasie jednym z przebojów na rynku rozwiązań do ochrony urządzeń końcowych jest EDR (Endpoint Detection and Response). Wprawdzie są to produkty na ogół chwalone za funkcjonalność i skuteczność działania, aczkolwiek ich użytkownicy uskarżają się na zbyt dużą liczbę fałszywych alarmów, a także wysokie koszty wdrożenia oraz konfiguracji. Zresztą sami dostawcy EDR nie ukrywają, że produkt jest trudny w obsłudze, co często dyskredytuje jego zastosowanie w małych, a nawet średnich firmach. Dlatego też pojawiła się oferta MDR, czyli EDR w modelu usługowym.

– Jest to usługa dla firm, którym zależy na szybkiej reakcji na zagrożenia. MDR lepiej niż MSSP wykrywa incydenty na stacjach końcowych, serwerach, w infrastrukturze chmury czy ruchu zapory sieciowej. Zespoły MDR, w odróżnieniu od MSSP, nie specjalizują się w zapewnianiu zgodności z przepisami. Każda z usług ma więc szansę się rozwijać, ponieważ odpowiadają na różne potrzeby i problemy – tłumaczy Grzegorz Nocoń

Niektórzy producenci próbują iść w innym kierunku niż reszta stawki. Ciekawym przykładem jest tutaj Acronis, który wprowadził rozbudowany pakiet usług obejmujący rozwiązania do ochrony urządzeń końcowych, takich jak komputery czy serwery, ale również backupu, odzyskiwania danych po awarii czy zarządzania poprawkami i aktualizacjami systemu operacyjnego. Resellerzy sprzedają usługę, zaś specjaliści Acronisa dbają o bezpieczeństwo klientów. Andrzej Łapiak, Cyber Security Manager w Also, zachęca partnerów, aby nie rzucać się od razu na głęboką wodę i rozpocząć swoją przygodę z usługami chociażby od sprzedaży zabezpieczeń poczty e-mail.

– Z punktu widzenia klientów nie jest to drogie rozwiązanie. W przypadku dziesięciu kont koszt korzystania z takiej usługi wynosi około 5 tys. złotych. Można zatem stosunkowo łatwo pozyskać usługobiorcę i zarabiać na zarządzaniu usługą. Dobrym punktem zaczepienia jest też Microsoft 365, ponieważ użytkownicy tego pakietu często potrzebują dodatkowych usług bezpieczeństwa – doradza Andrzej Łapiak.

Wpadki integratorów nie budują zaufania

W Polsce usługi cyberbezpieczeństwa cieszą się umiarkowaną popularnością zarówno wśród resellerów, jak i klientów. Taki stan rzeczy w pewnym stopniu wynika z braku zaufania przedsiębiorców do usługodawców. Na pewno nie wzmacniają go spektakularne wpadki integratorów, które wprawdzie nie dotyczą rodzimych dostawców, ale odstraszają potencjalnych klientów. Niedawno głośno było o firmie Compucon. Ten dostawca usług zarządzanych padł ofiarą ataku ransomware i nie potrafił przez ponad dwa tygodnie powrócić do równowagi.

– Incydenty związane z bezpieczeństwem IT zdarzają się w przypadku każdej usługi. Jednak nie zatrzymają one globalnego trendu, a przyczynią się do tego, że poziom usług oferowanych przez integratorów będzie rósł – mówi Grzegorz Nocoń.

Jednak istnieje duże ryzyko, że rynek usług cyberbezpieczeństwa zdominują najwięksi globalni dostawcy, tacy jak Accenture, Deloitte, EY, IBM czy PwC. W przypadku mniejszych dostawców chyba największym wyzwaniem będzie pozyskanie i utrzymanie specjalistów ds. cyberbezpieczeństwa. Grzegorz Michałek, CEO Arcabita, zwraca uwagę, że na rodzimym rynku wciąż króluje zasada „cena czyni cuda”, co akurat nie sprzyja rozwojowi profesjonalnych usług. Niewykluczone, że rodzimi integratorzy wybiorą drogę małych kroków i na początek wprowadzą do swojej oferty prostsze usługi, jak skanowanie poczty e-mail, nie rezygnując z tradycyjnego modelu sprzedaży.

Zdaniem specjalisty  

Agnieszka Szarek, szefowa kanału partnerskiego, Fortinet Agnieszka Szarek, szefowa kanału partnerskiego, Fortinet  

W każdym obszarze usług cyberbezpieczeństwa znajdzie się miejsce dla partnerów, ponieważ firmy różnią się między sobą zarówno sposobem działania, jak i kompetencjami. Moim zdaniem największe korzyści dla integratorów dają SOC i MDR, bowiem wykorzystują doświadczenie i wiedzę swojego zespołu, dzięki czemu nie produkt sam w sobie, ale właśnie kwalifikacje decydują o rynkowej przewadze. Czynnikami napędzającymi rynek usług bezpieczeństwa są edukacja i szkolenia, dzięki którym firmy chętniej otwierają się na ten model sprzedaży. Bardzo ważna jest też większa dostępność i powszechność usług.

  
Aleksandra Sosnowska, Product Sales Specialist, Cisco Aleksandra Sosnowska, Product Sales Specialist, Cisco  

Polscy integratorzy są gotowi do świadczenia usług cyberbezpieczeństwa. Mają na tym polu odpowiednie doświadczenie i na bazie rozwiązań producentów, takich jak Cisco, oferują własne usługi MSSP lub Security Operations Center (SOC). Wykorzystanie przez integratorów usług chmurowych do budowania własnego rozwiązania jest optymalne, jeżeli weźmiemy pod uwagę to, że tak przygotowana oferta będzie najlepszą odpowiedzią na potrzeby klientów, a jednocześnie oferuje niski próg wejścia dla integratora. Warto dodać, że mniejsi partnerzy mogą odznaczyć się większą elastycznością wprowadzanych usług. W MSSP chodzi przede wszystkim o to, że wartością dodaną są ludzie. Często na tej płaszczyźnie można uzyskać przewagę nad dużymi instytucjami z o wiele bardziej rozbudowaną strukturą i ścieżkami decyzyjnymi.

  
Krystian Paszek, New Business Development Manager, Dagma Krystian Paszek, New Business Development Manager, Dagma  

Największą przeszkodą w upowszechnianiu usług cyberbezpieczeństwa są cały czas finanse. W polskich firmach sporo mówi się o bezpieczeństwie IT, ale zdarza się, że koszty wciąż mocno ograniczają potrzeby. Niestety jest to droga na skróty, która lubi się mścić, ponieważ nawet przeciętny wydatek znacząco zmniejsza ryzyko strat finansowych lub innych problemów, wynikających z utraty danych. Ciężko jest przy tym jednoznacznie stwierdzić, które z usług cyberbezpieczeństwa mają największą szansę na osiągnięcie sukcesu na polskim rynku, ponieważ każda z nich ma inny zakres i koszty związane z jej użytkowaniem. Nie każdej firmie opłaca się uruchomienie lub najem SOC. Uważam, że różnorodność tego typu usług daje, po pierwsze, możliwość lepszego dostępu profesjonalnych zabezpieczeń IT na rynku, zaś po drugie, pozwala klientom na wybór najbardziej optymalnego dla nich w danej chwili rozwiązania.