ГОСТ VPN как сервис лучше, чем локальная инсталляция. Или нет?

Сервисная модель реализации сертифицированной криптографической защиты информации при передаче по каналам связи (ГОСТ VPN) стремительно набирает популярность. Рассказываем, когда сервис лучше самостоятельного построения и обслуживания защищённой VPN-сети, а в каких случаях это не так.

1. Введение
2. Почему приходят за сервисом
3. Кому нужно собственное решение
4. Какую модель в итоге выбрать
5. Выводы

Введение

Основной мотив компаний для применения средств криптографической защиты каналов связи — требование регуляторов обеспечить защищённую передачу конфиденциальной информации по недоверенным (незашифрованным) сетям связи между филиалами компании или при обмене информацией с государственными и иными информационными системами. Использование алгоритмов шифрования на базе ГОСТ (ГОСТ Р 34.12-2015, ГОСТ Р 34.10-2012 и ГОСТ 28147-89) при построении частных виртуальных сетей (VPN) необходимо при передаче персональных данных, конфиденциальной информации, относящейся к государственным информационным системам или к значимым объектам критической информационной инфраструктуры (КИИ), а также для подключения к центрам мониторинга инцидентов информационной безопасности. Компании покупают программно-аппаратные комплексы криптографической защиты каналов связи, чтобы не нарваться на штрафные санкции регуляторов.

Однако, приобретя решение, компании сталкиваются с проблемой большого дефицита ИТ- и ИБ-кадров на рынке. Грамотных специалистов не хватает для решения даже самых базовых вопросов информационной безопасности, а задач в области ИБ у современного бизнеса масса. Если же направить уже имеющихся в штате специалистов по ИБ или ИТ на полноценное обслуживание оборудования криптозащиты, их ресурсов не хватит для решения иных важных задач. По нашим наблюдениям, при самостоятельном развёртывании и сопровождении СКЗИ на них тратится до 30 % рабочего времени администрирующих и обслуживающих их специалистов.

Какой выход из положения находят компании? Правильно, для экономии людских ресурсов задействуют возможности СКЗИ максимум на 70–80 %, а зачастую и меньше. То есть купили дорогое оборудование и ПО, запустили без дополнительной настройки и не используют даже половины его возможностей. Когда же решение не настроено должным образом, оно выдаёт неполную эффективность. Это приводит к проблемам с работоспособностью оборудования и нецелевому расходованию бюджетных средств.

Помимо собственно технического обслуживания СКЗИ у специалистов компаний возникают дополнительные трудозатраты на перевыпуск ключей шифрования и ведение журнала учёта СКЗИ на всё оборудование в сети компании. Вишенкой на торте для бизнеса становится сложность прогнозирования капитальных затрат, к которым относится приобретение в собственность СКЗИ: необходимо закладывать расходы на замену оборудования при его выходе из строя, что малопредсказуемо.

Почему приходят за сервисом

Сервис сильно упрощает решение задачи. Оформляешь ежемесячную подписку и получаешь всё нужное «под ключ». Сервисная модель криптографической защиты каналов связи или ГОСТ VPN подразумевает как реализацию защищённой сети «с нуля», так и частичное использование уже имеющегося у заказчика оборудования. В обоих случаях сервисная модель предполагает смещение вопросов администрирования, эксплуатации и технической поддержки в сторону провайдера. При любом из этих сценариев эффективность использования VPN-шлюзов возрастает до 99 %.

Ключевое преимущество сервисной модели — максимальная предсказуемость финансовых затрат. Если что-то случится с оборудованием, это не заботит заказчика, замена входит в стоимость сервиса. Таким образом капитальные затраты на приобретение оборудования по локальной схеме (on-premise) превращаются в операционные.

Что касается загрузки специалистов заказчика, она снижается с 30 % до 5 % при использовании сервиса в любой модели. При необходимости специалисты заказчика тратят пару часов в неделю на формулировку задач по обслуживанию ГОСТ VPN и затем только контролируют процесс. Все остальные стандартные операции вроде развёртывания и настройки VPN-шлюзов либо работы с ключами шифрования происходят практически без участия представителей заказчика.

Кому нужно собственное решение

Стоит отметить, что решения для защиты каналов связи с применением алгоритмов шифрования ГОСТ давно есть у многих крупных (и не очень) компаний. Сервисная модель — это новый, набирающий популярность подход. Поэтому часто заказчики рассматривают гибридную схему, когда основной комплекс шлюзов находится под управлением самой компании, а дополнительные филиалы открываются с использованием оборудования, предоставленного в рамках сервиса. Это выгодно, например, при открытии новых площадок или небольших представительств в маленьких городах. При использовании сервиса защищённый и работающий VPN-канал приобретается как сервис под ключ.

Однако не для всех сервисная схема применения решений ГОСТ VPN бывает оптимальной. Встречаются организации — как правило, из крупного бизнеса и госсектора, — у которых внутренние регламенты запрещают передачу функций безопасности на любой вид аутсорсинга. При этом они имеют в штате достаточное количество профильных специалистов для самостоятельной настройки и обслуживания VPN-шлюзов.

Фактически это — организации-гиганты с сотнями тысяч сотрудников в штате и с собственной ИТ-компанией внутри. Для них затраты на владение отдельно взятым шлюзом максимально предсказуемы и просчитаны благодаря настроенным процессам замены в случае его выхода из строя и наличию запасных частей и инструментов для устранения неполадок. Администрирование шлюзов осуществляется централизованно либо имеются общие политики безопасности, регламентирующие вопросы настройки и безопасной работы шлюзов. На все стандартные операции в рамках компании имеются соответствующие инструкции и лучшие практики.

Какую модель в итоге выбрать

Таким образом, при планировании построения VPN-сети и её защиты сертифицированными СКЗИ мы рекомендуем выбирать сервисную модель, когда:

1. Это выгоднее компании с финансовой точки зрения. Посчитать затраты на сервис и на самостоятельную эксплуатацию нетрудно.
2. Компания является крупным холдингом, филиалы которого оформлены как разные юридические лица. Ведь в таком случае компании, которая обеспечивает защиту сети для группы, нужно будет получать лицензию ФСБ России и формировать внутри себя центр управления сетями, а это весьма хлопотно.
3. Компания любого масштаба уже имеет «на борту» оборудование, но ощущает нехватку квалифицированных специалистов для его обслуживания.
4. Компании необходимо одновременно и построить канал связи, и обеспечить криптографическую защиту передаваемых по нему данных. Удобнее это делать у одного поставщика (оптимизация, ускорение процессов и прочее).

Самостоятельное внедрение и обслуживание программно-аппаратных комплексов криптографической защиты каналов связи целесообразно, если:

1. Политика компании запрещает передавать на аутсорсинг любые функции безопасности. В таком случае компания готова смириться со всеми «побочными эффектами» этого решения: более высокой стоимостью владения, тяготами выполнения требований регуляторов и т. п.
2. В компании есть достаточное количество штатных ИТ- и ИБ-специалистов, которые могут полноценно обслуживать VPN-шлюзы: у них есть все необходимые знания и время. Если же таких специалистов ощутимо недостаёт, стоит пересмотреть п. 1.

Выводы

В целом, для ряда компаний схема самостоятельной эксплуатации сертифицированных СКЗИ до сих пор является более привычной, однако сервисные модели поставки таких решений продолжают стремительно набирать популярность. Во-первых — благодаря возможности снизить нагрузку на квалифицированный персонал, обеспечивающий поддержку работы средств защиты информации и сетей. Во-вторых — потому, что сервисная модель позволяет перейти к предсказуемым операционным затратам.