Год назад я уже обращался к теме персональной ИБ и думал, что уже к ней особо не вернусь, пока не столкнулся с этой проблеме на примере собственного сайта. А проблема достаточно проста — если я являюсь владельцем сайта, то каким образом я должен его защитить, если я в этом не разбираюсь (представим, что речь идет не обо мне, а о, например, авторе кулинарного сайта)? Ведь у этого владельца множество задач, которые связаны с ИБ, и которые требуют решения:
- выбор безопасного хостинга
- установка и настройка механизмов безопасности у сайта (перенаправление на HTTPS, скрытие админки, настройка прав доступа, включение автоматического обновления и т.п.)
- выбор и установка SSL-сертификата для сайта
- установка и безопасности настройка плагинов
- включение механизмов защиты (правильный пароль админа, многофакторная аутентификация, настройка DKIM/SPF для почты и т.п.)
- отслеживание уязвимостей на сайте и в плагинах
- и т.п.
В различных инструкция по безопасности сайтов или курсах по сайтостроению часто даются соответствующие инструкции, но они либо не очень понятны, либо требуют слепому следованию инструкции без понимания смысла выполняемых действий. В общем, поверьте мне на слово, обычный человек не в состоянии защитить свой сайт на должном уровне, что и приводит к разговорам о том, что тот или иной движок абсолютно дырявы. Но задачи эти нужные и владельцы сайтов готовы за это платить. Только вот для такого спроса у нас нет предложения на рынке.
Вы видели тех, кто готов прийти и помочь частнику просканировать его сайт и устранить выявленные рекомендации? Я лично нет. Да, у нас есть небольшие компании по ИБ, которые состоят из 5-10 человек и которые могли бы это сделать, но им это неинтересно — процессы у них не отлажены, автоматизации нет, поэтому такие заказы у них повлекут кучу накладных расходов, которые должны быть отнесены на себестоимость, что повлечет существенное увеличение цены.
Крупные ИБ-игроки тоже не могут ничем помочь частникам и ИП. Да, у них могут быть отлажены процессы и даже выстроена автоматизации, но на высокую себестоимость услуг будет влиять число людей, которые работают в компании, высокая стоимость аренды помещений и кучу других расходов, которых у малых компаний просто нет. И опять конский ценник на услуги, недоступные большинству желающих.
Большинство ИБ-компаний в лучшем случае говорит о поддержке малого бизнеса, но мечтает о том, чтобы заполучить в клиенты Газпром, Роснефть, Сбербанк, РЖД и других крупнейших игроков, чтобы одним заказом покрыть все свои финансовые потребности.
Что в итоге? А ничего 🙁 У меня нет решения этой задачи, с которой я столкнулся сам, когда запускал сайт. Да, мне было чуть проще — я немного понимаю в том, что надо делать для защиты Web-ресурса (хотя полной уверенности тоже нет), я знаю где искать различные бесплатные сканеры безопасности сайта и что делать с их рекомендациями. Но много ли таких пользователей? Увы. 15 лет назад, Cisco вместе с Positive Technologies запустили проект «Проверь здоровье своей сети«, в рамках которого любой желающий мог проверить свою защищенность, а потом и защититься от выявленных угроз. Но проект, выполнив свои задачи, был завершен 🙁
Если вдруг вам известно, кто готов помогать частникам, самозанятым и ИП в защите их ресурсов — не только сайта, но и личного компьютера, смартфона и т.п., то пишите явки и пароли в комментариях.
Решить проблему помогло бы использование услуг частных лиц, например, специалистов по ИБ, подрабатывающих фрилансом в свободное время (хотя где вы видели ИБшника со свободным временем?). Они могли бы заключать договора ГПХ и по минимальной цене предлагать соответствующие услуги всем желающим, которые вполне могли бы заплатить 5-10-20 тысяч за защиту своих ресурсов (зависит от задач и возможностей). И все были бы довольны. И клиенты, и «поставщик услуг», и государство, защищенность которого бы росла. Если бы не одно «но».
Деятельность по технической защите информации, к которой относится и контроль защищенности, является лицензируемой!
А лицензия не только стоит денег, но и условия ее получения недостижимы для частного лица. И получается, что он будет оказывать свою деятельность незаконно, а это уже вплоть до 171-й статьи Уголовного Кодекса (незаконное предпринимательство). Будет ли так рисковать частник? Скорее всего нет. Либо он будет уходить в тень, что тоже не очень хорошо.
Вот такие невеселые размышления 🙁
ЗЫ. Предваряя комментарии, что за 5-10-20 тысяч нормальный специалист не встанет с дивана, отвечу, что возможно вы правы. Поэтому я неслучайно в начале упомянул автоматизацию. При должном ее уровне и при среднем потоке клиентов базовый процесс анализа защищенности (а глубоко копать нужно далеко не всегда) вполне может быть недорогим. Но нужно считать.
Да просто ИБ слишком молодая) Всему свое время — вот начнут выходить на пенсию труибэшники и займутся частниками. Глядя на протоптанную дорожку подтянется и молодёжь. Нехватка кадров в полной красе — пока всем хватает клиентов-самородков никто не хочет мыть золотой песок. Ну и квалификации на такую не хватает у большинства специалистов рынка ИБ — ответственность за результат вот она, в глаза смотрит, моделью угроз не отмажешься.
Дожить бы… Ну и надо понимать, что ИБшник на пенсии часто уже не помнит, как и что делать руками 🙁
Проблема именно в лицензии. Можно прятаться за ИКУ, но это риск для обоих сторон.
Да, согласен. ФСТЭКу может и все равно, но есть другие, кто может придраться к отсутствию лицензии
Где такие заказчики размещают свои заказы? Предложения по безопасности сайта видел на сайтах фрилансеров. Частнику опасно в такое лезть без лицензии или под видом обеспечения стабильности, особенно на фоне проводимых обысков у сотрудников компаний работающих с госсектором и ареста руководителя фирмы Group-IB.
Ну ко мне пришли по знакомству
Отнюдь, знаю пару таких около фрилансеров которые вполне охотно по небольшим ООО и ИП контрактуются с +- аналогичными сервисами. Правда тщательно подчеркивают что это «консультация»
Можете прислать через форму обратной связи контакты?
Лет 5-7 назад проблем найти такого специалиста на фриланс-площадках не было. Сейчас не знаю, но вопрос всегда можно решить через знакомых. Обычно частники ищут сисадмина со знаниями ИБ, нежели ИБ-специалиста.
Что касается УК, достаточно заключить трудовое соглашение и там указать услуги по администрированию сайта (лайфхак).
Так не нужен админ. Нужен именно безопасник. Это другое мышление и навыки.
Я это понимаю, но не в мегаполисах эти услуги оказывают сисадмины или девопсы, т.к. многие из них работают в компаниях, где работодателю необходим универсальный специалист, в том числе, со знаниями ИБ.
Да, но не уверен, что сисдамин и тем более девопс обладает нужными навыками. Сконфигурить — возможно. Протестить — врядли.
Мне кажется, Алексей, вы немного отдалились от народа, проведя долгие годы в ИБ, особенно ИБ корпоративного уровня ))
У среднестатистического автора кулинарного сайта или ИПшника с микро-бизнесом вообще не зарождается в голове вопроса «где бы мне нанять спецов для обеспечения безопасности сайта». Уровень их компетенции в ИТ/ИБ такой, что они и не слышали большую часть понятий, изложенных в посте, поэтому они не могут даже осознать сколько угроз для сайта существует и какие потенциально проблемы могут возникнуть. Как правило, такие люди дают N тысяч на поднятие сайта админам/разработчикам и могут попросить «сделать все безопасно». Далее платят по мере необходимости что-то допилить.
Для сервисов посерьезней, где появляется много ПДн клиентов, работа с деньгами, бонусные программы и т.п. или бизнес сильно зависит от работоспособности сайта 24/7, там владельцы уже начинают задумываться о безопасности и… идут в яндекс или на фриланс-биржи в поисках безопасников. Сейчас глянул — услуги такие есть, цены от 1000 рублей. Само собой это такие же ИПшники и самозанятые без лицензий. Я никогда не слышал чтобы их кто-то преследовал, поэтому спокойно себе работают.
В общем ответ на вопрос в заголовке: рынок есть ровно в том виде и объеме, который нужен ИП и самозанятым. Я думаю, что на каждого клиента, исходя из его зрелости и бюджета, сейчас найдется свой исполнитель соответствующего уровня.
Автоматический скан тут не сильно поможет — во-первых, конфигурацию всевозможных CMS-ок и конфиги плагинов сканер не проверит, а главное результаты сканирования и рекомендации владелец сайта не сможет самостоятельно понять и реализовать. Как ни крути, а квалифицированный специалист должен будет поработать руками с сайтом, в т.ч. устранить все недостатки, обучить владельца/пользователя как пользоваться встроенными средствами защиты, ответить на вопросы и т.д.
Мне кажется вы вкладываете в мою голову то, чего я не имел ввиду. У меня была вполне конкретная тема, с которой столкнулся я сам, запуская сайт, и ряд моих друзей из малого бизнеса, у которых были вполне конкретные вопросы, но не пути их решения. И ответа так и нет до сих пор
Вроде понятная проблема — защита сайта за небольшие деньги на условном вордпрессе, который использует ИПшник. Я такие услуги сходу нашел на kwork. Некоторые прямо так и называются «Защита сайтов на WordPress», цена 500 (!) рублей. Что входит:
— Установка обновлений.
— Поиск уязвимостей.
— Настройка прав доступа.
— Настройка бэкапа.
— Аудит безопасности.
1 день на выполнение, обычно выполняет за 2 часа. Есть объявления с бОльшим объемом работ за другие цены, ключевые слова «защита сайта», «защита сервера» и т.п.
Также есть услуги просто на тех. обслуживание WP, на настройку своего почтового сервера, все от 500 рублей — можно попросить настроить что угодно.
Вы писали «Решить проблему помогло бы использование услуг частных лиц, например, специалистов по ИБ, подрабатывающих фрилансом в свободное время» — вот нашлись фрилансеры на kwork. Вы не изучали рынок фриланса? Или если изучали, то чем конкретно нынешние фрилансеры не отвечают вашим требованиям?
Там (на kwork) я не смотрел, если честно. Но меня смущают работы за 500 рублей 🙁 Но надо посмотреть поглубже