Учил очередную группу топ-менеджеров и возник у одного из участников вопрос об ответственности обработчика ПДн за утечку с его стороны. Раньше такой вопрос обычно у топов не возникал, оставаясь где-то внизу, на уровне DPO, а то и вовсе ИБшников. Но сейчас, на фоне роста рисков получения оборотных штрафов, руководство компаний всерьез озаботилось вопросом о том, будет ли нести ответственность обработчик, допустивший, что у него украли ПДн или он допустил иной инцидент с ними? А потом разговор переключился на подрядчиков и пошло поехало… А я для себя задался вопросом:
А что такое ответственный мониторинг ИБ со стороны аутсорсингового SOC? Несет ли ответственность MDR-провайдер за пропущенный инцидент? А чем отвечает MSSP-поставщик в случае нанесения ущерба его заказчикам? Как вообще должен называть провайдер ответственных услуг ИБ?
У меня родился такой ответ:
Ответственный мониторинг ИБ со стороны провайдера коммерческого SOC — это подход, при котором SOC-провайдер действует не просто как технический подрядчик, а как партнер, нацеленный на результат и заинтересованный в обеспечении целостной безопасности своих клиентов, с полным осознанием своей роли в предотвращении и реагировании на инциденты. Он отличается не только качеством обработки событий ИБ, но и отношением к последствиям, которые могут наступить у заказчика.
Я для себя выделил несколько свойств хорошего аутсорсингового SOC, который можно было бы назвать ответственным:
Фокус на результат, а не только на процессы
Провайдер стремится не просто обработать сигналы тревоги, поступающие от сенсоров заказчиков, а выявить и предотвратить реальные инциденты, даже если это выходит за рамки стандартных процедур или SLA.
❌ Безответственно: “Атака была, но по SLA мы только должны были вас уведомить!”
✅ Ответственно: “Мы заметили аномалию, разобрали ее – это был начальный этап атаки. Предупредили клиента, помогли с реагирование.”
Проактивность и инициативность
Ответственный SOC сам предлагает улучшения: по журналами регистрации, настройке источников, корреляционным правилам, модели угроз, зонам мониторинга, оптимизации плейбуков.
Контактность и доступность
Инциденты не “спускаются в тикет”, а проговариваются голосом, эскалируются без задержек, обсуждаются вместе с клиентом. Разумеется, если клиент к этому готов, что бывает не всегда, но тогда и об ответственном подходе говорить нет смысла.
Понимание бизнес-контекста
SOC ориентируется не только на сигналы тревоги, но и на понимание, что критично для клиента. Например, защита конкретного сервиса, даты запуска продукта, сезонных нагрузок на отдел продаж и т.п. Да, я мог бы упомянуть что-нибудь про недопустимые события, но на самом деле это не так уж и важно. Важно просто задуматься о том, на чем, как и когда зарабатывает клиент, чтобы оптимизировать SOC под эти направления и особенности деятельности.
Можно рассказывать, что SOC не должен этого делать, что SOC — это потокая обработка алертов, а значит все должно быть по максимуму стандартизовано… Да, все так. В обычном SOC. Я же говорю про ответственный, а для этого нужно погружение в специфику.
Обратная связь и развитие
Провайдер сам анализирует свои ошибки, инициирует разборы промахов и инцидентов, стремится к повышению зрелости, а не только к отпискам и попытке найти крайнего в ИТ-службе заказчика.
Честность и прозрачность
Ответственный SOC честно сообщает о проблемах, не прячет инциденты, не “прикрывает” себя формальной отчетностью, соответствием SLA и требованиям нормативных и методических документов ФСТЭК, ФСБ и Банка России.
Разделение рисков
Идеальный ответственный мониторинг — когда провайдер готов делить ответственность за последствия, включая участие в расследованиях, отчетах в регуляторные органы, обосновании действий. И дело даже не в ситуациях, когда аутсорсинговый SOC отвечает за пропущенные инциденты и их последствия, потому что так было написано в разделе «Ответственность сторон» заключенного договора.
Хотя и это тоже важная история; особенно при взаимодействии с обычными SOCами.
Регрессный иск и субсидиарная ответственность
Регрессный иск и субсидиарная ответственность – это разные правовые механизмы, хотя оба связаны с ответственностью за невыполненные обязательства. Регрессный иск позволяет лицу, исполнившему обязательство за другого, требовать возмещения убытков с того, кто должен был это сделать. Субсидиарная ответственность означает, что одно лицо отвечает за обязательства другого, если основное лицо не может их исполнить.
При регрессном иске заказчик услуг SOCа в случае наступления ущерба из-за пропущенного коммерческим SOCом инцидентом, может компенсировать все потери, а потом предъявить иск к SOCу с требованием возмещения понесенных расходов. Субсидиарная ответственность наступает когда материнская компания, создавшая или владеющая SOCом, отвечает за его обязательства, если последний не в состоянии их исполнить.
Помню, на прошлой работе мы заключали договор на мониторинг ИБ крупной международной нефтяной компании. Стоимость договора составляла около 75 миллионов долларов. Так вот согласование всех технических нюансов по подключению источников, времени и процедуре реагирования и т.п. заняло не так уж и много времени. А вот все остальные аспекты, учитывающие нюансы бизнес- и технологических процессов, которые брались на мониторинг (а там был включен и мониторинг АСУ ТП), обсуждались еще 9 месяцев, так как надо было погрузиться в нюансы бизнеса именно этой компании и что для нее считалось допустимым, а что нет.
Таким образом,
Ответственный мониторинг — это доверие, зрелость, вовлеченность и готовность отвечать за результат, а не просто предоставление услуги по мониторингу и реагированию.
Это то, что отличает партнера по ИБ от подрядчика по SLA. И можно ли тогда называть провайдера ответственного мониторинга SOC-as-a-Service или MDR? Или нужна какая-то новая аббревиатура или название? Gartner, ау…
