Почему у нас нет рынка ИБ для ИП и самозанятых?

Поддержка малого бизнеса Бизнес

Год назад я уже обращался к теме персональной ИБ и думал, что уже к ней особо не вернусь, пока не столкнулся с этой проблеме на примере собственного сайта. А проблема достаточно проста — если я являюсь владельцем сайта, то каким образом я должен его защитить, если я в этом не разбираюсь (представим, что речь идет не обо мне, а о, например, авторе кулинарного сайта)? Ведь у этого владельца множество задач, которые связаны с ИБ, и которые требуют решения:

  • выбор безопасного хостинга
  • установка и настройка механизмов безопасности у сайта (перенаправление на HTTPS, скрытие админки, настройка прав доступа, включение автоматического обновления и т.п.)
  • выбор и установка SSL-сертификата для сайта
  • установка и безопасности настройка плагинов
  • включение механизмов защиты (правильный пароль админа, многофакторная аутентификация, настройка DKIM/SPF для почты и т.п.)
  • отслеживание уязвимостей на сайте и в плагинах
  • и т.п.

В различных инструкция по безопасности сайтов или курсах по сайтостроению часто даются соответствующие инструкции, но они либо не очень понятны, либо требуют слепому следованию инструкции без понимания смысла выполняемых действий. В общем, поверьте мне на слово, обычный человек не в состоянии защитить свой сайт на должном уровне, что и приводит к разговорам о том, что тот или иной движок абсолютно дырявы. Но задачи эти нужные и владельцы сайтов готовы за это платить. Только вот для такого спроса у нас нет предложения на рынке.

Вы видели тех, кто готов прийти и помочь частнику просканировать его сайт и устранить выявленные рекомендации? Я лично нет. Да, у нас есть небольшие компании по ИБ, которые состоят из 5-10 человек и которые могли бы это сделать, но им это неинтересно — процессы у них не отлажены, автоматизации нет, поэтому такие заказы у них повлекут кучу накладных расходов, которые должны быть отнесены на себестоимость, что повлечет существенное увеличение цены.

Крупные ИБ-игроки тоже не могут ничем помочь частникам и ИП. Да, у них могут быть отлажены процессы и даже выстроена автоматизации, но на высокую себестоимость услуг будет влиять число людей, которые работают в компании, высокая стоимость аренды помещений и кучу других расходов, которых у малых компаний просто нет. И опять конский ценник на услуги, недоступные большинству желающих.

Большинство ИБ-компаний в лучшем случае говорит о поддержке малого бизнеса, но мечтает о том, чтобы заполучить в клиенты Газпром, Роснефть, Сбербанк, РЖД и других крупнейших игроков, чтобы одним заказом покрыть все свои финансовые потребности.

Что в итоге? А ничего 🙁 У меня нет решения этой задачи, с которой я столкнулся сам, когда запускал сайт. Да, мне было чуть проще — я немного понимаю в том, что надо делать для защиты Web-ресурса (хотя полной уверенности тоже нет), я знаю где искать различные бесплатные сканеры безопасности сайта и что делать с их рекомендациями. Но много ли таких пользователей? Увы. 15 лет назад, Cisco вместе с Positive Technologies запустили проект «Проверь здоровье своей сети«, в рамках которого любой желающий мог проверить свою защищенность, а потом и защититься от выявленных угроз. Но проект, выполнив свои задачи, был завершен 🙁

Если вдруг вам известно, кто готов помогать частникам, самозанятым и ИП в защите их ресурсов — не только сайта, но и личного компьютера, смартфона и т.п., то пишите явки и пароли в комментариях.

Решить проблему помогло бы использование услуг частных лиц, например, специалистов по ИБ, подрабатывающих фрилансом в свободное время (хотя где вы видели ИБшника со свободным временем?). Они могли бы заключать договора ГПХ и по минимальной цене предлагать соответствующие услуги всем желающим, которые вполне могли бы заплатить 5-10-20 тысяч за защиту своих ресурсов (зависит от задач и возможностей). И все были бы довольны. И клиенты, и «поставщик услуг», и государство, защищенность которого бы росла. Если бы не одно «но».

Деятельность по технической защите информации, к которой относится и контроль защищенности, является лицензируемой!

А лицензия не только стоит денег, но и условия ее получения недостижимы для частного лица. И получается, что он будет оказывать свою деятельность незаконно, а это уже вплоть до 171-й статьи Уголовного Кодекса (незаконное предпринимательство). Будет ли так рисковать частник? Скорее всего нет. Либо он будет уходить в тень, что тоже не очень хорошо.

Вот такие невеселые размышления 🙁

ЗЫ. Предваряя комментарии, что за 5-10-20 тысяч нормальный специалист не встанет с дивана, отвечу, что возможно вы правы. Поэтому я неслучайно в начале упомянул автоматизацию. При должном ее уровне и при среднем потоке клиентов базовый процесс анализа защищенности (а глубоко копать нужно далеко не всегда) вполне может быть недорогим. Но нужно считать.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. zzubra

    Да просто ИБ слишком молодая) Всему свое время — вот начнут выходить на пенсию труибэшники и займутся частниками. Глядя на протоптанную дорожку подтянется и молодёжь. Нехватка кадров в полной красе — пока всем хватает клиентов-самородков никто не хочет мыть золотой песок. Ну и квалификации на такую не хватает у большинства специалистов рынка ИБ — ответственность за результат вот она, в глаза смотрит, моделью угроз не отмажешься.

    Ответить
    1. Алексей Лукацкий автор

      Дожить бы… Ну и надо понимать, что ИБшник на пенсии часто уже не помнит, как и что делать руками 🙁

      Ответить
  2. Валерий

    Проблема именно в лицензии. Можно прятаться за ИКУ, но это риск для обоих сторон.

    Ответить
    1. Алексей Лукацкий автор

      Да, согласен. ФСТЭКу может и все равно, но есть другие, кто может придраться к отсутствию лицензии

      Ответить
  3. Андрей

    Где такие заказчики размещают свои заказы? Предложения по безопасности сайта видел на сайтах фрилансеров. Частнику опасно в такое лезть без лицензии или под видом обеспечения стабильности, особенно на фоне проводимых обысков у сотрудников компаний работающих с госсектором и ареста руководителя фирмы Group-IB.

    Ответить
    1. Алексей Лукацкий автор

      Ну ко мне пришли по знакомству

      Ответить
  4. Вадим

    Отнюдь, знаю пару таких около фрилансеров которые вполне охотно по небольшим ООО и ИП контрактуются с +- аналогичными сервисами. Правда тщательно подчеркивают что это «консультация»

    Ответить
    1. Алексей Лукацкий автор

      Можете прислать через форму обратной связи контакты?

      Ответить
  5. Сергей

    Лет 5-7 назад проблем найти такого специалиста на фриланс-площадках не было. Сейчас не знаю, но вопрос всегда можно решить через знакомых. Обычно частники ищут сисадмина со знаниями ИБ, нежели ИБ-специалиста.

    Что касается УК, достаточно заключить трудовое соглашение и там указать услуги по администрированию сайта (лайфхак).

    Ответить
    1. Алексей Лукацкий автор

      Так не нужен админ. Нужен именно безопасник. Это другое мышление и навыки.

      Ответить
      1. Сергей

        Я это понимаю, но не в мегаполисах эти услуги оказывают сисадмины или девопсы, т.к. многие из них работают в компаниях, где работодателю необходим универсальный специалист, в том числе, со знаниями ИБ.

        Ответить
        1. Алексей Лукацкий автор

          Да, но не уверен, что сисдамин и тем более девопс обладает нужными навыками. Сконфигурить — возможно. Протестить — врядли.

          Ответить
  6. Посетитель

    Мне кажется, Алексей, вы немного отдалились от народа, проведя долгие годы в ИБ, особенно ИБ корпоративного уровня ))

    У среднестатистического автора кулинарного сайта или ИПшника с микро-бизнесом вообще не зарождается в голове вопроса «где бы мне нанять спецов для обеспечения безопасности сайта». Уровень их компетенции в ИТ/ИБ такой, что они и не слышали большую часть понятий, изложенных в посте, поэтому они не могут даже осознать сколько угроз для сайта существует и какие потенциально проблемы могут возникнуть. Как правило, такие люди дают N тысяч на поднятие сайта админам/разработчикам и могут попросить «сделать все безопасно». Далее платят по мере необходимости что-то допилить.

    Для сервисов посерьезней, где появляется много ПДн клиентов, работа с деньгами, бонусные программы и т.п. или бизнес сильно зависит от работоспособности сайта 24/7, там владельцы уже начинают задумываться о безопасности и… идут в яндекс или на фриланс-биржи в поисках безопасников. Сейчас глянул — услуги такие есть, цены от 1000 рублей. Само собой это такие же ИПшники и самозанятые без лицензий. Я никогда не слышал чтобы их кто-то преследовал, поэтому спокойно себе работают.

    В общем ответ на вопрос в заголовке: рынок есть ровно в том виде и объеме, который нужен ИП и самозанятым. Я думаю, что на каждого клиента, исходя из его зрелости и бюджета, сейчас найдется свой исполнитель соответствующего уровня.

    Автоматический скан тут не сильно поможет — во-первых, конфигурацию всевозможных CMS-ок и конфиги плагинов сканер не проверит, а главное результаты сканирования и рекомендации владелец сайта не сможет самостоятельно понять и реализовать. Как ни крути, а квалифицированный специалист должен будет поработать руками с сайтом, в т.ч. устранить все недостатки, обучить владельца/пользователя как пользоваться встроенными средствами защиты, ответить на вопросы и т.д.

    Ответить
    1. Алексей Лукацкий автор

      Мне кажется вы вкладываете в мою голову то, чего я не имел ввиду. У меня была вполне конкретная тема, с которой столкнулся я сам, запуская сайт, и ряд моих друзей из малого бизнеса, у которых были вполне конкретные вопросы, но не пути их решения. И ответа так и нет до сих пор

      Ответить
      1. Посетитель

        Вроде понятная проблема — защита сайта за небольшие деньги на условном вордпрессе, который использует ИПшник. Я такие услуги сходу нашел на kwork. Некоторые прямо так и называются «Защита сайтов на WordPress», цена 500 (!) рублей. Что входит:

        — Установка обновлений.
        — Поиск уязвимостей.
        — Настройка прав доступа.
        — Настройка бэкапа.
        — Аудит безопасности.

        1 день на выполнение, обычно выполняет за 2 часа. Есть объявления с бОльшим объемом работ за другие цены, ключевые слова «защита сайта», «защита сервера» и т.п.
        Также есть услуги просто на тех. обслуживание WP, на настройку своего почтового сервера, все от 500 рублей — можно попросить настроить что угодно.

        Вы писали «Решить проблему помогло бы использование услуг частных лиц, например, специалистов по ИБ, подрабатывающих фрилансом в свободное время» — вот нашлись фрилансеры на kwork. Вы не изучали рынок фриланса? Или если изучали, то чем конкретно нынешние фрилансеры не отвечают вашим требованиям?

        Ответить
        1. Алексей Лукацкий автор

          Там (на kwork) я не смотрел, если честно. Но меня смущают работы за 500 рублей 🙁 Но надо посмотреть поглубже

          Ответить