Сколько и как можно сэкономить на кибербезопасности и каналах связи

Альберт Маннанов, менеджер по развитию сервисов Solar MSS компании «Ростелеком-Солар».

Сделать это можно, заменив дорогие каналы связи более дешевыми, а функции безопасности и обслуживания передать на аутсорс. Для этого существуют сервисы кибербезопасности на базе технологии SD-WAN, которая сейчас активно внедряется в ритейле. Совокупная экономия от применения подобного подхода уже в первый год может составить порядка 70%. Из чего она складывается и какие задачи удается решить с помощью сервисов кибербезопасности – рассказываем ниже.


Быстрые изменения и новые кибервызовы 

Бизнес ритейлера быстро расширяется, и новые магазины нужно оперативно подключать к головному ЦОД компании, контролировать все соединения и обеспечивать их безопасность. Наиболее распространенное решение здесь – виртуальные сети передачи данных. Но их стоимость при аренде каналов MPLS VPN довольно высока, а подключение занимает много времени (заключение договора, обеспечение самого канала связи и доставка оборудования). Чем больше организация, тем эта задача сложнее.

Наряду с этим встают вопросы стратегического развития. Продавцы сокращают время доставки товара, создавая автоматизированные сети постаматов.  В офлайн-магазинах появляются бесплатные точки Wi-Fi, а у сотрудников торговых залов – планшеты. Активно внедряются технологии цифровых ценников. 

Все это помогает улучшить сервис, но в то же время делает его более уязвимым для киберпреступников. Последние преследуют самые разные цели при атаках на ритейл: хищение данных клиентов, прямая кража денег, махинации с бонусными системами, банальный взлом и шифрование ресурсов продавца с целью получения выкупа, конкурентный кибершпионаж, DDoS в высокий сезон и т.д. 

Например, из-за наличия критичных уязвимостей в работе сайта магазина злоумышленники могут (и это реальный кейс) встроить вредоносное ПО, которое «перехватывает» и отправляет конкурентам данные о покупателях и их заказах.  Другой пример: многие точки продаж оборудованы компьютерами, и если не ограничить на них доступ ко многим сайтам, в том числе фишинговым, они станут для хакеров легкой точной входа в ИТ-инфраструктуру организации. Также требуют защиты каналы связи между точками продаж и центральным дата-центром.

Разберемся, как же ритейлеру обезопасить себя, не закупая дорогое оборудование и не увеличивая кратно штат ИБ-специалистов. 


Сервисный подход к безопасности

В мировой практике так называемые управляемые сервисы кибербезопасности давно не экзотика. Зачастую их предоставляют крупные операторы связи с развитой сетевой инфраструктурой, системами управления и мониторинга и требуемыми человеческими и техническими ресурсами. Оказывая подобные услуги, операторы связи должны обладать соответствующей экспертизой в ИБ и как минимум иметь собственный центр мониторинга и реагирования на атаки (Security Operations Center, SOC). 

В России этим требованиям отвечает «Ростелеком» и его дочерняя компания, провайдер сервисов кибербезопасности, «Ростелеком-Солар». Предоставляемые сервисы базируются на централизованной платформе (Solar MSS), что дает возможность производить нужные обновления максимально быстро для всех заказчиков. Для доставки услуг до потребителя применяется технология SD-WAN, которая позволяет использовать обычные недорогие каналы связи для объединения площадок, обеспечивая при этом шифрование и резервирование. 

Преимущества такого подхода очевидны: закупкой, установкой и обслуживанием оборудования занимается провайдер. При этом он постоянно наполняет и обновляет базу идентификаторов компрометации, в том числе благодаря обмену данными об угрозах с НКЦКИ ФСБ России, ФинЦЕРТ Банка России, а также на основе собственного мониторинга. Благодаря этому заказчик получает качественную и своевременную защиту, которую не смог бы обеспечить сам.




Как и от чего можно защититься по сервисной модели 

В формате сервиса ритейлер может получить средства межсетевого экранирования, потоковый антивирус, средства обнаружения вторжений, веб-фильтрации, а также выделенную среду (песочницу) для безопасного исполнения потенциально вредоносных программ. Сервис позволяет контролировать весь трафик, идущий от точек продаж в дата-центры продавца. При этом настройку и конфигурацию политик безопасности, установку обновлений на средства защиты для всех площадок обеспечивает команда «Ростелеком-Солар», что для заказчика весьма удобно с учетом географической распределенности. 

В противовес сервисной модели стандартный подход (когда средства защиты вместе с аппаратными ресурсами организация внедряет у себя самостоятельно) требует регулярного обслуживания созданной инфраструктуры. Часто этим занимаются разные подрядчики, что добавляет сложностей при разделении зон ответственности.

В 2020 году многие компании, в том числе из сферы торговли, перешли на «удаленку», а оперативная и не всегда качественная цифровизация многих бизнес-процессов вызвала всплеск киберпреступности. Сервисная модель ИБ оказалась фактически единственным вариантом, который позволяет в предельно сжатые сроки подключить требуемый стек защиты и гибко его масштабировать, а также дополнять другими сервисами.

Как минимум в периоды сезонных распродаж стоит подключить сервис по защите от DDoS-атак, предварительно проведя анализ трафика интернет-магазина. Базовые уязвимости сайта можно выявить, проведя анализ защищенности инфраструктуры (Vulnerability Management), а исправив все найденные ошибки стоит провести еще одно, контрольное, сканирование. И, конечно, есть смысл подумать о подключении на постоянной основе сервиса по защите имеющихся веб-ресурсов (Web Application Firewall). 




Сервисы vs проектный подход – экономия в цифрах

Как уже упоминалось ранее, аренда каналов SD-WAN значительно снижает стоимость подключения площадок. Это достигается за счет смены IP/MPLS VPN на обычные каналы связи – интернет. При этом для надежности можно использовать 2-3 независимых интернет-канала или LTE. 

Экономия для 50 площадок с каналами связи на 10-20 Мбит/сек составит 300 000–700 000 руб. в месяц (с учетом средней стоимости аренды IP/MPLS VPN в центральном регионе с невысокой гарантией качества). Цена зависит от региона, качества предоставления услуг и уровня присутствия конкретных телеком-операторов. Величину командировочных расходов на инженеров, которые будут выезжать на площадку для замены оборудования, мы здесь не учитывали.

---

Читайте также: Ликбез для ритейла: как обучить сотрудников киберграмотности

---

За счет добавления функций безопасности ценность сервисной модели возрастает еще больше. Например, установка партии межсетевых экранов потребует первоначальных затрат на закупку, доставку и внедрение. По нашим оценкам, при подключении 50 удаленных площадок к сервису защиты от сетевых угроз (Unified Threat Management, UTM) экономия уже в первый год составит порядка 10 000 000 рублей (сюда включена стоимость внедрения, лицензий на межсетевые экраны, сервера управления и поддержки вендора). 

Ниже представлено сравнение стоимости сервисной модели и традиционного проекта по внедрению и поддержке каналов связи для 20, 50 и 200 площадок. Кейсы могут отличаться в зависимости от количества и особенностей сетевых схем подключений офисов и точек продаж. Также есть прямая зависимость от стоимости оборудования, курса доллара и зарплат нанимаемых сотрудников. Тем не менее, соотношение двух моделей потребления остается примерно тем же. 

TCO каналов связи для 20 площадок


TCO каналов связи для 50 площадок


TCO каналов связи для 200 площадок


Также для поддержки оборудования требуются специалисты, которые умеют работать с решениями конкретного вендора. Такие кадры на рынке труда «стоят» недешево: экономия на команде из 4 человек в год составит 700 000–800 000 руб. (с учетом средней зарплаты специалиста, накладных расходов и загрузки специалиста по управлению оборудованием). 

Таким образом, общая экономия для 20 площадок, подключаемых к сервисам межсетевой защиты, в первый год составит порядка 4 млн руб. (экономия 65%), для 50 площадок – 12 млн рублей (экономия 75%), а для 200 площадок – 36 млн руб. (экономия 75%). Но и это еще не всё. 




Как ещё сократить траты?

Технологией доставки сервисов является SD-WAN, позволяющая использовать дешевые каналы связи от любых провайдеров и различные способы подключения. Это решение унифицирует все подключения одним типом оборудования – СРЕ (Customer Premises Equipment), которое устанавливается на площадке. 

В результате происходит сокращение трат. Во-первых, использование простого интернета (в т.ч. мобильного), а не выделенных виртуальных каналов связи значительно дешевле. Для надежности можно задействовать два интернет-канала разных провайдеров. Во-вторых, у крупнейших операторов связи, таких как «Ростелеком», существует огромное количество точек присутствия в регионах, что помогает сократить стоимость содержания запасного оборудования. Комбинация быстрой доставки аппаратных решений и возможности подключения к различным каналам связи позволяет открывать новые локации в считанные дни, а не месяцы, как раньше. 

Еще один несомненный плюс сервиса – возможность гибкого потребления. Например, в магазине канал доступа в 5 Мбит/сек, а самая младшая модель от вендора начинается от 200 Мбит/сек. Или в новом офисе долгое время нет высокой нагрузки на сеть, а оборудование закуплено с «запасом» на будущее. Очевидно, что при классической инфраструктуре заказчику приходится переплачивать за неэффектное использование более производительных аппаратных решений.

Наличие на площадке заказчика одного устройства, которое способно быстро подключать и отключать сервис, позволяет избавиться от множества узкоспециализированных решений. Устройства СРЕ обладают разными форм-факторами. Самое небольшое – до 100 мбит/сек – может поместиться в ограниченном пространстве, например, в постамате. Кстати, к нему же можно подключить обычный LTE-модем. Есть и более производительные – до 10 Гбит/сек. Для большей надежности устройства можно задублировать.

Как попробовать?

В России управляемый SD-WAN с функциями UTM предлагает «Ростелеком-Солар». На данный момент мы реализовали несколько проектов с использованием этой технологии, в которых объединили площадки заказчика и обеспечили поддержку решения 24х7. Например, один из крупных ритейлеров по этой схеме подключил магазины к региональному ЦОД торговой сетей. Это оказалось выгоднее аренды виртуальных каналов связи (которые к тому же не везде можно подключить) или реализации полноценного проекта по шифрованию имеющихся интернет-каналов. 

Помимо прочего, один из значимых доводов в пользу сервисов безопасности на базе SD-WAN – скорость предоставления услуги. На этапе первичного взаимодействия с компанией-заказчиком подключение занимает около 1 недели, в дальнейшем – менее 24 часов для каждой новой площадки.

Для подключения можно организовать бесплатное тестирование сервиса, в рамках которого решаются задачи обеспечения межсетевого экранирования, обнаружения и предотвращения вторжений на уровне сети, проксирования веб-трафика, контроля приложений на уровне сети и потокового антивируса. По итогу клиент получит отчет со статистикой проходящего трафика – по попыткам перехода на фишинговые сайты, заблокированным вирусам, топ категорий используемых веб-приложений и т.д. 
 Запрос на бесплатное пилотное тестирование – по адресу presale@rt-solar.ru

Альберт Маннанов, 
менеджер по развитию сервисов Solar MSS компании «Ростелеком-Солар»

для New Retail