Nedostatek expertů na kybernetickou bezpečnost představuje pro mnoho organizací problém, který nedokážou rychle vyřešit. Do zvýšení ochrany svého technologického prostředí ovšem mohou v podstatě okamžitě zapojit zdroje třetích stran, a to nejen lidské. Namísto relativně pomalého a nákladného budování interních bezpečnostních řešení zvolí cestu rychlých a kvalitativně i kvantitativně přizpůsobitelných výsledků. Ty organizaci poskytne koncept označovaný zkratkou SECaaS - Security as a Service neboli bezpečnost jako služba.

"Hlavním důvodem pro externí zajišťování služeb kybernetické bezpečnosti je, že zákazník nemá adekvátní počet dostatečně zkušených pracovníků, kteří by se o rychle se vyvíjející bezpečnostní technologie starali," říká Martin Frühauf, bezpečnostní expert společnosti S&T CZ. Myšlenku nedostatečných personálních kapacit rozvíjí Miroslav Dvořák, technický ředitel společnost Eset software: "Bezpečnost jako služba organizacím nabízí možnost nikoliv nahradit, ale spíše doplnit interní IT týmy o bezpečnostní experty, na které by jinak neměly finanční prostředky či jejich služeb potřebují využít jen nárazově."

Model cloud computingu vnesl do světa výpočetních technologií několik myšlenek, které se v rámci oboru úspěšně šíří dále. Na místo investic nastoupil pronájem, podpora se stala samozřejmou součástí předplatného, smluvní vztahy začaly s dosud neobvyklou samozřejmostí pokrývat také flexibilní změny objemu odebíraných zdrojů. Organizace si v tomto režimu mohou pořídit jednu aplikaci nebo celou infrastrukturu. Proč by kybernetická bezpečnost měla stát stranou.

Bezpečnost jako služba

Koncept SECaaS má v podstatě podobu outsourcované služby. Její poskytovatel zajišťuje a spravuje jednu nebo více oblastí kybernetické bezpečnosti. Termín v praxi nabývá dvou základních modifikací. "Z praxe vnímám, že pojem bezpečnost jako služba je používán v několika významech. Předně je používán pro cloudová bezpečnostní řešení jako antimalware či SIEM. Dále pak pro prostý outsourcing některých bezpečnostních činností u zákazníka externím poskytovatelem," upřesňuje Karel Galuška, vedoucí týmu bezpečnosti a business konzultací ve společnosti T-Mobile.

Většina zdrojů model SECaaS popisuje jako dodávku a správu určitého bezpečnostního řešení prostřednictvím internetu. Typicky může jít o antiviry, firewally, o nástroje pro monitorování provozu v síti a o mnoho dalších produktů. Jejich funkcionality jsou poskytovány vzdáleně, z cloudových prostředí. Často se obejdou bez instalace softwarových klientů na koncová zařízení.

Administrátorům v podnicích díky modelu bezpečnost jako služba opadá starost o takto dodávané produkty a funkcionality. Jejich chod a správu zajišťují poskytovatelé. Ti ovšem nenabídnou širší vhled do bezpečnostní situace odběratele a nebudou mu asistovat v případě komplexnějších problémů, jež přesahují jimi zajišťovanou oblast. Vystupují jen jako dodavatelé, správci a případně i konzultanti konkrétních technologií.

Druhá modifikace modelu SECaaS patří více do tradičního světa informačních technologií a přístupů k zajištění jejich provozu. Poskytovatel řízených bezpečnostních služeb typicky přebírá doposud interně zajišťovanou správu příslušných řešení od zákazníka. Jde tedy o tradiční, třebaže úzce specializovaný, outsourcing. Obvykle bývají jeho poskytovatelé označováni zkratkou MSSP - Managed Security Service Provider neboli poskytovatel řízených bezpečnostních služeb.

Dle definice společnosti Gartner se tyto podniky primárně zabývají monitorováním zabezpečení a správou bezpečnostních zařízení u zákazníka. Pro zefektivnění vlastního provozu často zřizují specializovaná operační centra. V nich soustřeďují specialisty na různé technologie nebo problematiky, kteří obsluhují více zákazníků. Mohou z nich část funkcionalit také poskytovat. Operační centra zajišťují rovněž řešení případných bezpečnostních incidentů. "Speciální případ bezpečnosti jako služby představují tzv. SOC - Security Operation Center. Tato centra konsolidují bezpečnostní řešení. Zákazníci využívají jejich služeb a do jisté míry předávají odpovědnost za bezpečnost infrastruktury na třetí stranu," upřesňuje Pavel Minařík ze společnosti Flowmon Networks.

Obě pojetí si podle názoru oslovených expertů v zásadě nekonkurují. V praktickém nasazení je lze úspěšně kombinovat. "Oba typy služeb mají své specifické zákazníky, a příliš si tedy nekonkurují. Cloudová bezpečnostní řešení volí zákazníci, kteří chtějí outsourcovat provoz samotných bezpečnostních technologií nebo se jejich IT infrastruktura vyskytuje již převážně v cloudovém prostředí, avšak bezpečnostní procesy realizované pomocí těchto technologií chtějí provádět vlastními silami. Služby řízené bezpečnosti naopak zajišťují celý bezpečnostní proces a výrazně tak přesouvají odpovědnost na samotného dodavatele. Technické i organizační rozhraní mezi zákazníkem a poskytovatelem je pak pro oba typy služeb na zcela jiné úrovni," vysvětluje Karel Galuška ze společnosti T-Mobile.

"Po technologické stránce není mezi MSSP a cloudovými službami žádný podstatný rozdíl. Rozdíl je v doprovodných službách. Obecně se u poskytovatelů cloudových služeb setkáváme s omezenou podporou a dostat se k relevantnímu pracovníkovi, který pomůže v dané situaci, je mnohdy téměř nemožné. MSSP mají výhodu, jsou zákazníkovi blíž a umí lépe řešit jeho potřeby. Alespoň tak by to mělo být a to je hlavní přidanou hodnotou MSSP. Na druhou stranu je třeba počítat s vyšší cenou služeb," dodává Pavel Minařík, CTO společnosti Flowmon Networks.

Tržní výhledy

"Obecně se dá říci, že řešení IT bezpečnosti nebo celé oblasti IT formou služby poptávají a využívají společnosti, které se chtějí soustředit především na vlastní předmět činnosti. V případě cloudových řešení pak vidím zájem spíše u společností, které provozují IT ve vlastní režii," komentuje současný stav trhu Miroslav Dvořák ze společnosti Eset software.

9,5 %

Podle analytiků Gartneru trh řízených bezpečnostních služeb vloni celosvětově navýšil svůj obrat o 9,5 procenta na 10,3 miliardy dolarů.

Obrat globálního trhu bezpečnostních služeb poskytovaných v cloudovém modelu letos podle predikce společnosti Gartner vzroste o 17 procent na 6,86 miliardy dolarů. Zhruba o jednu miliardu dolarů má segment, jenž při mírném zjednodušení lze označit zkratkou SECaaS, každoročně posilovat i v následujících dvou letech. Svým tempem růstu překonává výkonnost celého trhu informační bezpečnosti. Jeho obrat má letos dosáhnout hodnoty 114 miliard dolarů. Meziročně vzroste o 12,4 procenta. Příští rok ale podle predikcí analytiků tempo vývoje trhu informační bezpečnosti zpomalí na 8,7 procenta.

Hlavní produktovou kategorii v segmentu bezpečnostních služeb poskytovaných z cloudu představují řešení pro správu přístupů a identit. Na celkovém obratu segmentu se podílejí téměř dvěma pětinami. Po desetině shodně generují e-mailové a webové bezpečnostní brány. Jednociferné podíly drží bezpečnostní testování aplikací, funkcionality SIEM a vzdálená detekce zranitelností. Téměř čtvrtina obratu trhu ale připadá na řešení zařazená do kategorie Ostatní. Nejrychleji se podle analytiků společnosti Gartner rozvíjejí dílčí segmenty malwarových sandboxů, šifrování dat, správy zabezpečení koncových stanic, zpravodajství týkající se hrozeb a webové aplikační firewally. Ke všem řešením a službám v předchozím výčtu se samozřejmě pojí přívlastek cloudový.

"Přístup zákazníků se v posledních letech silně mění a i některé tradiční vertikály, jako například státní správa, již začínají cloudové bezpečnostní služby využívat. Zpočátku byl vidět příklon ke cloudové bezpečnosti ve formě služby hlavně u menších zákazníků, kteří neměli dost možností pro budování potřebné infrastruktury, nicméně nyní vidíme opravdu velkou poptávku po cloudových bezpečnostních službách od zákazníků všech velikostí i vertikál," prezentuje tržní potenciál bezpečnosti jako služby Michal Hebeda, sales engineer ve společnosti Sophos.

Zájemci ze všech oblastí průmyslu

Na zájmu o bezpečnost jako službu mezi oslovenými specialisty nepanuje jednoznačná shoda. Podle Stanislava Smolára, security business managera ve společnosti Soitron, patří k nejčastějším odběratelům bezpečnosti ve formě služby firmy z energetického sektoru. "Bezpečnost není jejich hlavní byznys, a proto hledají možnosti, jak tento problém řešit efektivně," dodává. Martin Frühauf ze společnosti S&T CZ specifikuje současnou uživatelskou základnu šířeji: "Z našeho pohledu jsou nejčastějšími odběrateli bezpečnosti ve formě služby zákazníci z finančního sektoru, následovaní provozovateli kritické informační infrastruktury a významných informačních systémů. Stále více požadavků se objevuje z oblasti průmyslu a výroby."

Růst trhu SECaaS pohání především poptávka generovaná podniky kategorie SMB. Podle analytiků pro ně cloudové médium představuje přirozený prostředek pro naplnění jejich potřeb. "Podnik by měl uvažovat o outsourcingu vždy v případě, když nemá dostatečné vlastní zdroje. Díky optimalizaci lidských a technických zdrojů v rámci poskytování bezpečnosti jako služby umí být řešení cenově výhodné i pro malé a střední podniky," doplňuje Stanislav Smolár ze společnosti Soitron. Díky službám poskytovaným z cloudu získávají i menší podniky přístup k jinak nedostupným řešením a funkcionalitám. Analytici společnosti Gartner navíc očekávají, že do dvou let bude polovina bezpečnostních produktů poskytována ve formě cloudových služeb.

Trh řízených bezpečnostních služeb vloni celosvětově navýšil svůj obrat o 9,5 procenta na 10,3 mil. dolarů. Podle analytiků Gartneru se na něm vedle zavedených hráčů úspěšně etabluje řada nových poskytovatelů. Tomuto trendu odpovídá i skladba výdajů na informační bezpečnost. Téměř čtvrtina pořizovaných bezpečnostních řešení, případně funkcionalit, se k zákazníkům dostává právě prostřednictvím řízených služeb.

Oboroví analytici se v definici segmentu řízených bezpečnostních služeb liší. Různé zdroje je kvantifikují v intervalu 10 až 50 mil. dolarů. Rozdílnost mají obvykle na svědomí bezpečnostní řešení poskytovaná z cloudu, tj. převažující pojetí bezpečnosti jako služby.

 

Anketa: Bezpečnost v cloudu

Jaké jsou hlavní výhody bezpečnostních řešení poskytovaných v modelu cloudových služeb?

Miroslav Dvořák, technický ředitel, Eset software

Také menší společnosti, které nemají většinou odpovídající znalosti v podobě vysoce kvalifikovaných odborníků, si mohou touto formou pořídit zabezpečení ve standardu běžném pro velké společnosti, navíc za přijatelné peníze.

Pavel Minařík, CTO, Flowmon Networks

Odpadají investice, platí se pouze za využívání služby. Zákazník nemusí budovat vlastní infrastrukturu. Oproti tomu stojí omezené možnosti customizace (přizpůsobení), tedy jednoznačně jsou tyto služby vhodné spíše pro menší zákazníky.

Stanislav Smolár, security business manager, Soitron

Cloudová bezpečnostní řešení nejsou výhodná pro každého zákazníka a pro každý typ bezpečnostního řešení. Když zákazník používá Office 365, je vhodné například řešení typu CASBAS (cloud access security broker) na management přístupu k souborům a aplikacím a bezpečnou autentizaci uživatelů.

Michal Hebeda, sales engineer, Sophos

Bezpečnostní řešení poskytované jako cloudová služba má nespornou výhodu v zajištění vysoké dostupnosti a dostatečného výpočetního výkonu poskytovatelem takovéto služby. Tím odpadá zákazníkovi celá řada dodatečných problémů, jako je licenční zajištění podkladových systémů, vysoká dostupnost a výpočetní výkon dimenzovaný na to nejvyšší možné zatížení. Zároveň jsou cloudové bezpečnostní služby dostupné pro jakýkoliv stroj odkudkoliv.

Martin Frühauf, bezpečnostní expert, S&T CZ

Pro zákazníka znamená kvalitně poskytovaná služba v oblasti kybernetické bezpečnosti prokazatelné splnění auditních, legislativních a bezpečnostních požadavků. Zároveň s tím mu odpadá problém s počtem a zkušenostmi jednotlivých pracovníků, kteří jsou nedostatkovým zbožím a je nutné investovat peníze do jejich průběžného vzdělávání.

Karel Galuška, vedoucí týmu bezpečnosti a business konzultací, T-Mobile

Primární výhodu vidím v efektivitě služeb dané sdílením prostředků, možnosti vždy čerpat jen potřebné zdroje a rychle škálovat jak ve smyslu navýšení, tak snížení potřebné kapacity. Zákazníkům se tak otevírá možnost využívat špičkové technologie bez pořizovacích nákladů a zbavení se starostí s údržbou těchto technologií. Tradičně obezřetní manažeři kybernetické bezpečnosti postupně objevují výhodu tohoto modelu. Zvláště viditelné je to u bezpečnostních technologií, které ještě nejsou vnímány jako klíčové, ale přitom jsou velmi nákladné jak na pořízení, tak na provoz.

 

Článek a anketa byli publikovány v magazínu ICT revue.