По мнению генерального директора АМ Медиа Ильи Шабанова, за последние 5 лет ситуация с ИБ-аутсорсингом в России изменилась кардинально. Раньше эта тема вызывала у потенциальных заказчиков недоумение. Сейчас практика передачи внешнему оператору тех или иных функциональных направлений ИБ в порядке вещей. Но применительно к аутсорсингу услуг коммерческих центров оперативного реагирования на инциденты в сфере ИБ (SOC, от System Operation Center) большинство заказчиков ограничивается базовыми функциями, обычно только обнаружением инцидентов.

Директор по развитию бизнеса SOC ООО "РТК-Солар" Алексей Павлов связывает данную ситуацию с тем, что нагрузка на ИБ-службу заказчика при подключении к SOC, как правило, возрастает из-за того, что становятся видны нарушения политик и регламентов ИБ сотрудниками, а также "спящие" проблемы вроде незакрытых уязвимостей, а иногда и компрометаций ИТ-инфраструктуры. Решение этих проблем требует тесного взаимодействия с ИТ-подразделением, к чему не всегда готовы и те, и другие. При этом нагрузка на ИБ-службы и без того велика.

Но при этом, по наблюдениям Алексея Павлова, за услугами аутсорсинга начали обращаться представители тех отраслей, которые раньше подходили к ИБ "по остаточному принципу". Но в 2022 г. их начали атаковать, и они стали обращаться к операторам разного рода ИБ-сервисов. Также начал появляться запрос на защиту промышленной инфраструктуры.

По мнению директора центра мониторинга и противодействия кибератакам IZ:SOC АО НИП "Информзащита" Александра Матвеева, для того, чтобы передавать более-менее сложные функции ИБ, заказчик должен достичь как минимум среднего уровня зрелости. А чтобы отдать все функции, нужно обладать высокой зрелостью.

При этом количество тех, кто подключается к коммерческим SOC, растет. По мнению руководителя сервисов безопасности "Лаборатории Касперского" Алексея Мальнева, к этому вынуждает соблюдение требований регуляторов, которые заказчики не могут удовлетворить самостоятельно. И число таких заказчиков, прежде всего, из сегмента СМБ, будет неуклонно расти, к чему операторам SOC надо быть готовыми.

А вот защита промышленной инфраструктуры, по мнению представителя "Лаборатории Касперского", является делом будущего. Однако в этой сфере, по мере увеличения количества подключенных устройств индустриального интернета вещей, будет востребовано автоматическое реагирование без участия оператора. Произойдет это через 5-10 лет.

Руководитель управления мониторинга угроз BI.ZONE Андрей Шаляпин добавляет в перечень тех, кого подключают из-под палки и тех заказчиков, которых вынуждают к этому вышестоящие структуры или материнские компании. И такие заказчики, по его наблюдениям, являются для внешних SOC самыми сложными и часто проблемными. Однако среди новых клиентов появились и зрелые, но при этом требовательные. Это, прежде всего, отделения зарубежных компаний, которые были проданы российскому менеджменту. Там был достигнут очень высокий, по российским меркам, уровень зрелости ИБ, и раньше эти структуры пользовались услугами крупных зарубежных SOC.

Руководитель портфеля продуктов МТС SOC Евгений Ляпушкин добавил к проблемным клиентам тех, кто пережил тот или иной инцидент ИБ, а таких в 2022 г. было очень много. Они также являются для внешних SOC очень сложными клиентами из-за крайне низкого уровня зрелости ИБ.