Риск утечки или повреждения данных при пользовании услугами аутсорсинга кажется многим CIO довольно существенным. Подрядчики же уверяют в безопасности своих услуг. В чем состоят мнимые, а в чем - действительные риски? Чем они обусловлены? Каковы тенденции на сегодняшний день?

Андрей Погорелый,
руководитель группы развития бизнеса по Восточной Европе отдела ИТ компании Procter & Gamble

Достаточно много компаний пошли по пути аутсорсинга услуг, инфраструктуры и информационных сервисов, причем этот процесс начался не вчера. И в том случае, если аутсорсинг не удался, не нужно строить иллюзий, пытаясь представить неудачу как переходную стадию процесса - чем дольше это будет продолжаться, тем дороже это будет для компании. Нужно определить внешние и внутренние причины провала, круг которых, по моему мнению, достаточно ограничен:

- невнимание к опыту аналогичных проектов;
- ошибки при подсчете экономического эффекта;
- неправильный выбор партнера;
- неправильное понимание компанией принципов аутсорсинга, внутренняя неготовность к нему;
- неправильная оценка рисков и управление ими.

Остановимся на последнем. Можно выделить несколько видов рисков, связанных с аутсорсингом: риск снижения качества предоставляемых услуг, риск повышения стоимости услуг с течением времени, риск утечки информации к конкурентам.

Из перечисленного реальные риски - риск снижения качества и повышения стоимости услуг с течением времени. Даже изменение одного из параметров меняет соотношение цены и качества в сторону увеличения, что, в свою очередь, напрямую влияет на экономическую эффективность. Хочу отметить, что я еще ни разу не сталкивался с ситуацией, когда компания, предоставляющая аутсорсинг услуги, со временем снижала цену. Это обусловлено неуверенностью в будущем и, соответственно, желанием получить выгоду немедленно.

К мнимым рискам я бы отнес риск утечки информации. Здесь можно выделить два варианта: аутсорсинг бизнес-процессов и аутсорсинг непрофильных направлений.

При аутсорсинге бизнес-процессов компании очень тщательно изучают рынок на предмет предоставления данного вида услуг - изучение может занять от шести месяцев до двух лет. Как правило, для данного вида аутсорсинга выбираются известные компании, которые работают много лет, зарекомендовали себя как надежные партнеры и менее всех заинтересованы в несанкционированном использовании информации.

Во втором случае риск также невысок, так как на аутсорсинг отдаются непрофильные или бесприбыльные направления. Поэтому уязвимость бизнеса здесь минимальна даже в том случае, если по каким-то причинам информация стала известна посторонним. Однако ясно, что если партнер допустил такую утечку, дальнейшая работа с ним ставится под вопрос.

На сегодняшний день я вижу общую тенденцию воспринимать аутсорсинг скорее как механизм экономической выгоды, чем как дань моде. Как показал опыт, аутсорсинг срабатывает не всегда. И компании стали серьезнее относиться к определению направлений и сервисов для аутсорсинга, а также к выбору подрядчиков. В свою очередь, те начинают изучать бизнес-процессы клиентов, что является очень важным фактором успеха. Постепенно выкристаллизовывается группа подрядчиков, которые действительно понимают стратегическую важность этого направления в долгосрочной перспективе и начинают заботиться в первую очередь о качестве и уже затем о деньгах. Необходимо понимание, что информационные технологии - это прежде всего механизм для достижения экономического результата.

Михаил Македонский,
исполнительный директор компании Aplana Software

На наш взгляд, любыми рисками можно и нужно управлять. И риски утечки конфиденциальной информации из компании, которая заказывает проектные услуги у сторонних разработчиков - не исключение. А если риск прогнозируем, то с большой вероятностью угрозу можно предотвратить. В данном случае мы видим три основных риска: разглашение конфиденциальных сведений, утечка или несанкционированное изменение данных, а также модификация программного кода.

Для снижения риска утечки закрытой информации, предоставленной исполнителю в ходе проекта, необходимо, во-первых, указать в договоре, какая именно информация является конфиденциальной, а во-вторых, убедиться, что у исполнителя существуют процедуры, регламентирующие сохранность данных (способ хранения, ограниченный доступ, запрет на копирование и т. д.).

От риска утечки или несанкционированного изменения данных защититься можно очень простым способом - не давать разработчикам доступа к внутренним базам данных. Приложения должны разрабатываться на тестовых данных, для испытаний должен использоваться стенд, моделирующий работу системы. А собственно внедрением и переносом данных обычно занимается служба автоматизации заказчика, исполнитель лишь оказывает поддержку. В наших проектах, в тех случаях, когда это возможно, мы сознательно избегаем контакта с реальными данными, поскольку они могут быть испорчены и в результате ошибочных действий.

Кроме того, если разрабатываемая система предполагает разграничение прав доступа к данным для различных категорий пользователей, то эти требования должны быть явно сформулированы и должны проверяться после каждой модификации системы. Дополнительные процедуры контроля, такие, как проверка целостности данных, обычно регламентированы политикой безопасности компании. При этом объем и сложность этих процедур не должны быть чрезмерными, иначе может оказаться, что «замок дороже сарая».

Труднее всего защититься от третьего риска - создания «закладок» в программах с целью кражи, изменения, уничтожения данных. Обнаружить такого «троянского коня» может помочь только анализ исходного кода, но эта процедура дорогая и длительная, к ней прибегают крайне редко. Обычно ограничиваются процедурами контроля за функционированием ПО, которые также предусматриваются политикой безопасности компании. При этом для разрешения спорных ситуаций необходимо иметь исходный код системы.

Дмитрий Комиссаров,
директор проекта DATA FORT компании IBS

Прежде всего, хочется отметить, что проблема утечки конфиденциальной информации существует вне зависимости от того, используются ли услуги компании-аутсорсера либо задачи из области ИТ решаются собственными силами. Любая потеря или утечка данных происходит вследствие одной из ряда причин: копирование информации персоналом, взломы информационных систем извне, физическая потеря, вирусы и прочее.
А теперь рассмотрим ситуацию в сравнении.

В собственной службе ИТ любой компании, если там нет проработанной системы разделения доступа (чаще всего так и случается), трудно определить, кто из сотрудников, имеющих доступ к секретным данным, использует их не по назначению. По данным исследования Digital Research, в большинстве случаев (57%) утечка связана с халатностью или недобросовестностью собственных сотрудников. По мнению исследователей, корпоративные пользователи зачастую имеют доступ к гораздо большему объему информации, чем им положено по должности. Часто угрозу представляет, по данным того же исследования, сохранение прав доступа к ИС уволившихся сотрудников, происходящее в результате несовершенства системы управления, когда системные администраторы не получают информацию об уходе людей из компаний.

Только 21 процент опрошенных сообщили исследователям, что утечка закрытой информации из компании произошла в результате стороннего вмешательства, например взлома ИС. В Центре хранения данных DATA FORT существует система контроля доступа и протоколирования. Это позволяет контролировать использование информации и исключить несанкционированный доступ к ней. Любые действия персонала регистрируются, так что произвести какие-либо операции с данными и при этом не оставить следов невозможно.

В случае, если информацию крадет собственный сотрудник компании, как правило, во избежание огласки и возможного скандала его просто увольняют. Утечку информации из Центра хранения данных DATA FORT утаить невозможно, а клиент имеет право открыто требовать удовлетворения. Так, все наши сотрудники подписывают соглашение о конфиденциальности, предусматривающее ответственность за нарушение условий; в свою очередь, сама компания несет ответственность перед клиентом. Таким образом, вероятность утечки информации через «человеческий» канал в Центре хранения данных существенно ниже, чем в том случае, когда ее доверяют собственному персоналу.

Вообще, подозревать инженеров Центра хранения данных в излишнем любопытстве - примерно то же самое, что подозревать сотрудников банка в том, что они могут воспользоваться вашими деньгами. Наш бизнес состоит в том, чтобы хранить и обрабатывать данные клиентов, мы прекрасно понимаем, что будет, если мы однажды себя скомпрометируем.

У нас существует политика безопасности, оформленная в виде нормативного документа, открытая версия которого предоставляется клиенту. В документе описан весь комплекс организационных мероприятий, с помощью которых обеспечивается информационная безопасность. В итоге клиент понимает, как устроена наша система. А понимание рождает доверие.

По требованию клиента мы готовы обеспечить любой уровень защиты информации. Следует также подчеркнуть, что, взяв на аутсорсинг решение каких-либо задач, мы несем ответственность за качество предоставляемых услуг и даем гарантию на это качество.

Что же касается попыток взлома извне, то при грамотной политике и наличии опытных специалистов неприятных сюрпризов можно не опасаться. В DATA FORT, например, серверы клиентов ИТ-аутсорсинга, на которых хранятся приложения и корпоративная информация, физически изолированы от Интернета. С офисом заказчика такие серверы связаны с помощью специальных линий передачи данных. Те серверы Центра, которые должны иметь выход в Интернет, защищены программными и аппаратными средствами. Кроме этого, специалисты круглосуточно осуществляют мониторинг систем с целью выявления опасных атак. Любая информационная система, содержащая конфиденциальную информацию о бизнесе компании, постоянно подвергается атакам из Интернета. Подвергается таким атакам и наш Центр, но за два года работы не было случаев взлома или проникновения вирусов. Примитивные атаки идут постоянно. Раз или два в неделю мы сталкиваемся с профессиональными попытками взлома. Особо настойчивых хакеров наши специалисты «вычисляют» и направляют на адрес, откуда идут атаки, уведомление с просьбой принять меры.

Способна ли ИТ-служба клиента обеспечить такой же уровень безопасности? В качестве ответа мы можем привести результат проведенного нами опроса среди клиентов: 90% из них хотели бы осуществить аудит собственной безопасности, а из этого можно сделать вывод, что они не уверены в своей защите.

Таким образом, недоверие к аутсорсингу вызвано страхами мнимыми, на практике же передача тех или иных ИТ-задач подрядчикам значительно сокращает существующие риски по утечке информации, а не наоборот.

Алмаз Рахматуллин,
генеральный директор компании «Аквариус Консалтинг»

Рынок услуг аутсорсинга на Западе активно развивается, в России же поставщиков и потребителей ИТ-услуг пока не так много. Тем не менее, все чаще компании, имеющие большие ИТ-бюджеты, обращаются к этой практике. Решение об использовании аутсорсинга основывается прежде всего на экономической целесообразности: если обслуживание инфраструктуры, поддержка рабочих мест силами подрядчика будут обходиться дешевле, значит, эти функции будут переданы ему. К слову, многие аналитики и директора ИТ-служб полагают, что оценить затраты на ИТ без аутсорсинга ИТ-услуг крайне проблематично.

Не думаю, что недоверие - это основная причина отказа от использования аутсорсинга ИТ-услуг. Скорее, дело в относительной новизне этой практики, следствием чего является настороженное к ней отношение. Консультанты юридических, аудиторских компаний имеют доступ к секретной информации своих клиентов, однако никому не приходит в голову отказываться от их услуг по этой причине. Это - технический вопрос, который имеет свои пути решения: производится тщательный выбор поставщика услуг, подписываются соглашения о конфиденциальности и др.

Так же и в сфере ИТ. В современном мире все больший объем информации, в том числе критически важной для бизнеса, хранится на электронных носителях, передается по электронным каналам, все большее количество операций осуществляется посредством Интернета. Информация в электронном виде становится легко отчуждаемой. Таким образом, компания, использующая в своей деятельности ИТ, так или иначе подвергается рискам - внешним (вторжения извне, взлом ИС) и внутренним (недобросовестность собственных сотрудников), и эти риски необходимо выявлять и управлять ими. Так что обеспечение информационной безопасности - это задача любой крупной компании, которая решается с помощью соответствующих процедур.

Безусловно, системный интегратор, который занимается внедрением проекта или оказывает услуги аутсорсинга, получает доступ если не к самой производственной информации, то по крайней мере к системам ее передачи и хранения. В области ИТ-аутсорсинга ситуация такая же, как и с аудиторскими компаниями - никто не заставляет обращаться к услугам компании, с которой заказчик раньше не работал и о которой ничего не известно. ИТ - это сложный бизнес, построение его предполагает значительные инвестиции, интеллектуальные вложения, разработку долгосрочной стратегии. При работе с крупными ИТ-компаниями вопрос о сознательной утечке информации просто не ставится. Конечно, заказчики осознают существование информационных рисков и сами определяют для себя допустимый уровень, минимизируя его в том числе при выборе поставщика ИТ-услуг.

На мой взгляд, значительно больший риск скрывает в себе человеческий фактор, который в меньшей степени поддается управлению. Сотрудники компании имеют порой высокую степень доступа к конфиденциальной информации, а отношения с ними чаще всего регулируются Трудовым кодексом, который не предусматривает специальных мер в случае разглашения тайны: максимум, что грозит недобросовестным сотрудникам - это увольнение. Недавний инцидент с базами данных абонентов «Мобильных телесистем», которые были переданы злоумышленникам самими сотрудниками компании, подтверждает, что внутренняя угроза серьезнее, чем внешняя.

С точки зрения доступа ИТ-персонала к информации, разницы между использованием собственной ИТ-службы и схемы аутсорсинга нет никакой. Однако в случае аутсорсинга существует больше юридических инструментов управления рисками. Во-первых, положение о неразглашении коммерческой тайны и ответственность компании-аутсорсера могут быть закреплены (и, как правило, закрепляются) в рамках юридических отношений между поставщиком и заказчиком услуг, а при работе с государственной тайной наличие такого соглашения предусмотрено законом. В этом смысле компания, использующая услуги аутсорсинга, более защищена, нежели в случае самостоятельной работы. Более того, системные интеграторы, заботясь о своей репутации, стараются допускать к работам по ИТ-аутсорсингу проверенных специалистов, а в отдельных случаях соглашение заключается не только между компаниями, но и между компанией и ее сотрудниками, задействованными в проекте.

Что касается надежности хранения, то данные могут храниться у заказчика на его оборудовании, и в этом случае нет никакой разницы, свой персонал обслуживает хранение информации или внешний. Если же хранение данных обеспечивает аутсорсинговая компания, это дает заказчику ряд преимуществ: ему не нужно думать о технических средствах и развитии инфраструктуры, он лишь фиксирует в соглашении условия хранения информации и доступа к ней, а исполнитель обязан эти условия обеспечить. В случае несоблюдения обязательств он будет нести юридическую и финансовую ответственность.

Таким образом, объективно существующие риски могут быть минимизированы за счет грамотного подхода к выбору поставщика услуг и формализации отношений. Существуют и другие инструменты снижения рисков, например их разнесение, когда поддержка информационной инфраструктуры передается внешней компании, а работой с информацией занимается ведомственная или связанная структура.

Дизайн и поддержка: Silicon Taiga

Обратиться по техническим вопросам