Вот решили вы обратится к именитому консультанту по ИБ (что к компанию, что к отдельному специалисту). Пришли, выложили все свои боли и проблемы, рассказали о том, что вы не знаете, какие use case выбирать для своего SOCа, как удерживать аналитиков, как общаться с руководством на тему ИБ, как успешно пройти проверку регулятора, как вести себя с вымогателями и т.п. Вам нарисовали проект, вы за него заплатили, вы стали реализовывать то, что вам насоветовали или работать с тем, что вам внедрили. Но вас взломали. Аналитики разбежались. Руководство вас выдрало за провалы. Регулятор выдал акт с множеством замечаний. Вам хреново! Вы рвете и мечете, вы хотите вернуть деньги, так как не понимаете, за что вы заплатили!
А кстати, за что?
Вопреки распространенному заблуждению, вы платите не за безопасность. И внешний консультант не отвечает за вашу безопасность. И аутсорсер по ИБ не отвечает за вашу безопасность. И даже телохранитель не отвечает за безопасность охраняемого тела. За свою безопасность отвечаете только вы и никто другой. Все остальные могут вам только помочь стать безопаснее. Они не могут отвечать за то, что не контролируют. Они не управляют вашими людьми, они не дают команд вашим подразделениям, они не тратят ваши деньги, они не общаются с регуляторами, они не держат ответ перед топ-менеджментом. Безопасность — это процесс из множества составных частей и работа внешних консультантов — только одна из них.
Это не значит, что консультант ни за что не отвечает. Он отвечает за многое, Как минимум за то, чтобы помочь вам стать безопаснее. Не безопасным, а безопаснее, так как за конечный результат отвечаете только вы. В идеале консультант должен направить вас на путь истинный и если вы слишком погружаетесь в бумажную безопасность, он должен вам напомнить про ИБ реальную. А когда вы слишком погрузились в ИБ реальную, он должен увязать ее с ИБ бумажной. Еще консультант отвечает за то, чтобы приложить все усилия для поиска ответов на ваши вопросы и чаяния. И чтобы эти ответы были оптимальными, не требующими от вас ненужных трат. А еще хороший консультант отвечает за то, чтобы он мог честно сказать, когда он не сможет вам помочь, не вытягивая из вас последние деньги. В конце концов консультант отвечает за то, что он профессионал и следует пусть и неформальному, но кодексу этики. Но он никогда не сможет вам гарантировать, что вы после его услуг будете в безопасности; кто вам такое обещает — врет. Не может быть никаких гарантий, что вас не взломают, или ваш SOC станет работать лучше, или регулятор не будет иметь к вам претензий, а в результате аудита инфраструктуры вы реализуете выданные рекомендации по устранению выявленных недостатков.
Это невозможно! Свою безопасность нельзя купить, нельзя взять в аренду, нельзя перепродать, нельзя подарить!
А за что же я плачу ИБ-консультанту? За три вещи — за время, за знания, за репутацию. Конечно, встает вопрос, а как это все оценить? Я раньше, до прихода в Cisco, всегда удивлялся подходу американских консалтинговых компаний, стоимость услуг которых оценивается по часам специалистов, вовлеченных в проекты, что приводило к немалому ценнику. Но теперь я понимаю, что именно так считать стоимость проще всего. У меня есть специалисты определенного грейда (разряда, уровня), у которого есть часовая ставка. Мне достаточно их перемножить и получить стоимость консалтинговых услуг. Грейд определяется уровнем знаний и опытом, иногда подтверждаемыми сертификатами. И вы платите за то, что умный и опытный консультант будет решать именно ваши проблемы, а не чьи-то еще. Но он не может гарантировать, что он их решит. Никто не может.
Только вы сами отвечаете за конечный результат — за свою кибербезопасность или кибербезопасность своего предприятия. Переложить ответственность не удастся; хотя многие и пробуют. В ИБ очень многое не зависит от тебя (и от меня тоже). События последнего месяца это показывают. Никто никогда не думал, что мы можем столкнуться с практически полной изоляцией страны от современных ИТ- и ИБ-решений. Я с 2014-го года в курсе про моделирование угроз и при мини-консалтинге упоминаю угрозу отключения средств защиты и прекращения их обновления со стороны вендора. Хоть кто-нибудь в своей модели угроз это учел? Хрен-то. Никто не думал всерьез о такой возможности и не рассматривал эту угрозу актуальной. То есть консультант показал один из возможных вариантов, но принимать его или нет, — это прерогатива клиента, который и делает выбор. Должен ли нести ответственность консультант, что он не настоял на своем и не переубедил клиента? Нет!
За свою кибербезопасность отвечаете только вы и никто другой.
И никто не возьмет эту ответственность на себя. И это страшно признавать, что мы остаемся один на один с последствиями своих решений. Зачастую мы и привлекаем консультантов, чтобы разделить с ними эту ответственность и эти последствия. По крайней мере мы так думаем. А консультант не всегда хочет делать на этом акцент и раскрывать клиенту глаза на то, за что он реально платит. Я в последнее время составил немало договоров на консультационные услуги по ИБ (от аудита до проектирования SOCа) и один из ключевых моментов в них — это не описание состава работ и их стоимости, а описание допущений и ограничений, а также отказа от ответственности, которые очерчивают то, за что отвечает консультант, а за что нет. В отечественных договорах такое встречается не так уж и часто в расчете на «потом договоримся по ходу». Потому что консультанту тоже страшно; страшно, что от его услуг откажутся или посчитают его квалификацию низкой. И поэтому все берутся за все услуги. А признак хорошего консультанта (да и вообще специалиста) заключается в том, что он понимает границы своих возможностей и не стесняется про них говорить.
А нам по-прежнему страшно. Страшно, что нас взломают, что нас накажет регулятор, что нас отругает начальство, что нас засмеют коллеги. И этот страх мы топим в вине пытаемся разделить с консультантом, переложив на него ответственность за то, что переложить нельзя. И считаем, что и платим мы тоже ему за это. Но это не так! Помните об этом.
Заметка За что мы платим, обращаясь к консультантам по ИБ? была впервые опубликована на Бизнес без опасности .
