Ruward совместно с сервисом по защите сайтов SiteSecure представляют результаты второго исследование из цикла «безопасность на digital-рынке России». В рамках исследования в апреле 2014 был проведен опрос более 270 представителей студий и агентств, специализирующихся на заказной разработке интернет-проектов.

Полученные результаты позволяют понять текущую ситуацию на рынке веб-разработок в разрезе вопросов, так или иначе связанных с безопасностью. Целью совместного исследования стало привлечение внимания профессионального сообщества к возможным рискам и угрозам, которые может понести бизнес заказчика (и агентств, занимающихся разработкой/поддержкой его проектов) в результате слабой организации процессов, связанных с security-аспектами.

Сергей Котырев

генеральный директор UMI.CMS

«Подавляющее большинство студий не заботится о безопасности создаваемых ими сайтов, полагаясь на авось, и заботу о безопасности со стороны производителей CMS и хостеров. Хотя огромная часть всех уязвимостей сайтов появляется именно из-за ошибок на этапе разработки сайта.

Это с одной стороны печально, с другой стороны естественно. Держать специалиста по безопасности в штате могут позволить лишь единичные студии, работающие с крупными и щедрыми заказчиками. Остальные студии находятся под давлением клиентов, желающих сэкономить на всем. Поэтому отчасти это вина клиентов, что они не думают о потенциальных рисках и ищут где бы сделать сайт подешевле. Пока уязвимость не грянет, клиент не перекрестится»

Расскажем подробнее о полученных нами результатах в рамках проведенного опроса:

1. Есть ли в вашей студии/агентстве квалифицированный специалист, ответственный за информационную безопасность сайтов клиентов?

Более трех четвертей компаний агентского рынка в принципе не имеют специалиста, который смог бы настроить необходимые процессы и помочь в случае возникновения проблем с их оперативным устранением. Каждая пятая студия имеет подобного специалиста в штате (конечно, такая ситуация характерна в больше степени для крупных компаний, специализирующихся на разработке сложных проектов в высоком ценовом сегменте).

2. Есть ли в организации правила безопасности и регламент реагирования на инциденты, связанные с безопасностью сайтов клиентов (утеря или кража паролей, взлом, заражение вирусами, попадание сайта в черные списки и др.)?

Четко прописанный регламент реагирования на инциденты по вопросам безопасности есть только у 7% опрошенных респондентов, при этом более половины компаний считают, что есть «смысловое понимание», что делать в случае возникновения проблем. Почти треть компаний не имеет подобного регламента и не готова к оперативному решению подобных инцидентов.

В определенном смысле данный вопрос – хороший индикатор общей ситуации на рынке. Значительная часть компаний агентского рынка не уделяет должного внимания вопросам безопасности или считает, что проблему можно будет решить своими силами «по факту возникновения». В таком подходе кроется значительная угроза для обеспечения безопасности проектов заказчика.

3. Подписывается ли при трудоустройстве с сотрудниками, которые имеют доступ к паролям от хостинга, CMS и к содержимому сайтов клиентов соглашение о соблюдении конфиденциальности и правил безопасности?

Почти 60% студий/агентств не подписывают со своими сотрудниками соглашения, которое бы регламентировало соблюдение правил безопасности и конфиденциальности. Во многом это говорит о том, что в случае возникновения проблем основной риск несет сама студия, поскольку претензии заказчика в значительном числе случаев предъявляются именно компании, которая разрабатывает/поддерживает сайт.

4. В договоре с клиентом предусмотрен пункт об обеспечении вашей компанией безопасности его сайта и данных?

Более чем две трети компаний не вносят соответствующий пункт в договора с клиентами.

Мы бы хотели отметить, что в этом случае студия не только формально освобождается от рисков, но и может понести дополнительные убытки.

В случае отсутствия подобных пунктов формально не прописано не только то, за что агентство должно отвечать, но и то, за что не должно (например, форс-мажор на стороне хостинг-провайдера). Поскольку на агентском рынке многое строится на уровне доверительных отношений, в случае возникновения инцидента клиент обращается в студии вне зависимости от договора, а отсутствие там пункта о том, за какие вопросы подрядчик не отвечает – может послужить основанием для неоправданной претензии и ухудшения отношений с клиентом.

5. Применяется ли парольная политика: требования к сложности пароля, контроль за сменой паролей, реагирование на компрометацию, назначение ответственного?

С точки зрения парольной политики ситуация чуть лучше – каждая четвертая компания имеет четко прописанный регламент, а еще половина применяет различные элементы парольной политики в своей деятельности. При этом четверть компаний в принципе не склонная заботиться о подобных вопросах.

Внедрение такого регламента/процесса не несет для агентства почти никаких затрат, и мы настоятельно рекомендуем компаниям, в которых он до сих по не решен, принять соответствующие меры – это позволит существенно снизить риски возникновения различных угроз и для студии, и для клиента. Также мы рекомендуем доносить данный свод правил и для представителей заказчика, которые взаимодействуют с агентством.

6. Какие меры из нижеперечисленных вы осуществляете для обеспечения надежной работы и безопасности сайтов клиентов?

Из перечисленных мер обеспечении безопасности самой распространенной является резервное копирование данных (более 80%). Стоит отметить, что агентства, которые не прибегают к данной практике – подвержены значительному риску не только по вопросам, связанным с безопасностью, но и по вопросам чисто технического характера (сбой оборудования, потеря данных).

Почти две трети компаний осуществляют постоянный мониторинг доступности парка своих проектов. Учитывая наличие большого количества бесплатных и недорогих автоматических сервисов по мониторингу доступности, это не самый высокий показатель – треть игроков рынка игнорирует данный простой и базовый метод мониторинга проблем.

Немногим менее половины компаний осуществляют контроль за внесением изменений на сайт и мониторинг блокирования сайтов поисковиками. Чуть более трети осуществляют проверки на наличие скрытых ссылок и редиректов, менее трети компаний регулярно проверяют проекты на вирусы. И только каждое шестое агентство предоставляет клиентам услуги защиты от DDoS.

Дмитрий Васильев

генеральный директор NetCat

«К безопасности - будь то система пожаротушения, подушка безопасности в машине или тип замка в двери - потребители относятся одинаково. А именно никак не относятся, пока петух не клюнет. Потому что мы ожидаем, что производитель машины и владелец здания само собой позаботятся об этом, а "это" происходит крайне редко, вот и забивать себе голову лишней информацией не надо. Владелец сайта точно так же уповает на "самособойность" обеспечения абстрактной безопасности сайта его разработчиком и хостером.

Это оправдано в большинстве случаев: если наш скромный корпоративный сайт вдруг упадет или злой хакер сотрет его - есть бэкап. Но если потенциальные потери от неработоспособности сайта будут ощутимы, скорее всего владелец сайта сам поднимет этот вопрос. Правильный подход к этому вопросу очевиден: оценивать возможные риски владельца и сопоставлять их со стоимостью расходов на безопасность»

7. За какие задачи обеспечения работоспособности проектов ваших клиентов вы отвечаете?

Распределение по зонам ответственности перед заказчиком особенно любопытно в контексте предыдущего графика – в среднем компании берут на себя больше обязательств, чем проводят реальных действий.

Андрей Рыжкин

технический директор AGIMA

«На сегодняшний день, безопасность и отказоустойчивость — это те услуги, которые мы предлагаем нашим клиентам как дополнительные, они не входят в стандартный пакет. Но все чаще и чаще мы начинаем сталкиваться с тем, что наши клиенты хотят, чтобы этим направлением занимались именно мы. Безопасники клиента, зачастую, не знают ничего или почти ничего про веб, поэтому хотят доверить эту работу агентствам, у которых экспертиза в этих вопросах может оказаться выше Так, например, компания «СОГАЗ» сразу решила для себя, что отвечать за всю безопасность их приложений в веб должны мы. Им было важно, чтобы мы выступили экспертом и говорили бы им как должна быть выстроена система безопасности, чтобы соответствовать, в том числе, и федеральному закону «О персональных данных».

В тендерах мы встречаем требования по безопасности, чаще всего, у крупных клиентов: «СОГАЗ», «Альфастрахование», «Согласие». У малого и среднего бизнеса таких запросов нет. Но бывают и исключения. К примеру, другие наши крупные клиенты — «Связной Банк» или «Мегафон» имеют собственную, очень мощную службу безопасности — на этих проектах мы отвечаем только за отказоустойчивость наших серверов, а все, что касается безопасности — обеспечивают их штатные специалисты. В проектах «АльфаСтрахования» все наоборот: мы отвечаем за всю безопасность комплексно. У нас заключен отдельный договор по обеспечению безопасности, в рамках которого мы ежедневно проводим ряд мер, включая и защиту от DDoS-атак. Нужно сказать, что такие меры, как защита от DDoS атак — услуга недешевая, поэтому и подключать ее стоит только тогда, когда она действительно нужна.

Один из выводов данного исследования — не у всех студий есть регламенты, что вовсе не удивительно. Если вы занимаетесь небольшими сайтами, то вам такие регламенты и не нужны, а вот когда у вас клиенты, для которых репутация дороже денег — вот тогда вам нужно приложить максимум усилий для обеспечения комплексной защиты онлайн-бизнеса клиента, и иногда нужно начинать с себя, а не с клиента  В AGIMA такие регламенты и стандарты тоже начали формироваться вместе с ростом нашего агентства. По мере того, как к нам обращались все более и более крупные клиенты, росли и наши требования к внутренней безопасности.

Постоянный мониторинг доступности проектов — это must have, он позволяет узнавать о недоступности сайта до того, как об этом узнал клиент. Ведь если вам о проблеме сообщает клиент — это вызывает негатив. Вы, как эксперт, отвечающий за онлайн-бизнес вашего клиента должны узнать о существующей проблеме раньше него самого (или одновременно с ним) и принять меры по ее локализации.

Такая услуга, как «контроль за внесением изменений на сайт» идет по умолчанию для наших проектов уровня enterprise. Мы проводим ежедневный контроль за тем, какие изменения произошли на сайте, чтобы исключить несанкционированные действия на нем. Иногда это может достигать нескольких раз за день.

Через несколько лет безопасность, однозначно, станет одним из обязательных пунктов в стандартном договоре на разработку сайта. И студии, которые не готовы ее обеспечить будут явно проигрывать тем, которые задумались об этом заранее и подготовили свою инфраструктуру»

8. Какое из следующих утверждений наиболее подходит для вашей ситуации?

Только 16% игроков агентского рынка полностью уверены в безопасности своих проектов. Почти половина компаний признает наличие проблем, но в большинстве случаев успевает их решить до возникновения последствий для бизнеса заказчика.

И более трети компаний признаются в том, что испытывают определенный трудности с обеспечением безопасности сайтов своих клиентов – как с точки зрения проблем с клиентами, так и с точки зрения ресурсов, которые тратятся на оперативное решение внезапно возникнувшей проблемы.

9. Возникали ли у вас за последний год проблемы с претензиями клиентов по вопросам, связанным с безопасностью?

40% веб-студий и агентств так или иначе сталкивались с проблемами безопасности за последний год. Это еще раз подтверждает актуальность проблематики, рассматриваемой в нашем исследовании.

10. Бывают ли случаи, когда в рамках тендера на разработку проекта вас отдельно просят рассказать о вопросах безопасности?

Почти 60% студий не сталкиваются на тендерах с вопросами заказчика о том, как устроены в компании вопросы обеспечения безопасности. С одной стороны, это говорит об определенной пассивности и невысокой осведомленности заказчика в данных вопросах (несмотря на высокую актуальность проблемы).

С другой стороны, это дает компаниям, хорошо настроившим соответствующие процессы, дополнительное маркетинговое преимущество – в случае проявления инициативы на пресейле и актуализации данного аспекта перед заказчиком на фоне конкурентов.

Профиль респондентов

Также в рамках исследования было проведено профилирование респондентов, которое показало распределение, близкое к общей ситуации на рынке, что только подтверждает общую репрезентативность полученных результатов.

11 . Сколько в вашей студии/агентстве сотрудников?

12. С точки зрения разработки интернет-проектов, на каких типах сайтов вы специализируетесь в большей степени?

13. Где территориально вы находитесь?

Выводы и рекомендации

Основным выводом исследования является тот факт, что большинство студий/агентств не считают аспекты безопасности профильными для своей деятельности и не уделяют должного внимания связанным с этими вопросами процессами. Тем не менее, как показывает наше предыдущее исследование, проблема весьма актуальна. Например, каждый седьмой сайт в Рунете подвержен риску финансовых потерь из-за проблем, связанных с безопасностью.

Ольга Куликова

генеральный директор Articul Media

«С вопросами информационной безопасности мы сталкиваемся на этапе разработки или на этапе технической поддержки, если по SLA данные вопросы нам делегируются.

За 4 года работы с олимпийскими сайтами у нас накоплен огромный опыт в этой области, хотя информационная безопасность на этих проектах не входила в зону нашей ответственности.

Мы работали со специалистами по информационной безопасности со стороны клиента и отвечали за отсутствие уязвимостей по итогам аудитов информационной безопасности.

На данный момент в нашем агентстве есть чеклист необходимых работ и проверок на этапе разработки, на этапе технической поддержки это более индивидуальный вопрос и зависит от SLA.

Мы не держим в штате таких специалистов, так как для нас это непрофильная деятельность, но всегда привлекаем партнеров, специализирующихся в данной области.

Мы считаем, что таким важным вопросом, как защита данных клиентов и информационной безопасностью должны заниматься специализированные компании, но мы всегда до начала работ фиксируем важность проблематики и даем рекомендации, если клиент нуждается в такой консультации. Также мы можем взять на себя данную ответственность, если такая потребность у клиента есть, отвечая за действия партнеров как свои собственные;

Если говорить о более стандартных процедурах: мониторинг, контроль за внесением изменений на сайт, резервное копирование и т. д,- все эти задачи решаются в рамках стандартного SLA на тех. поддержке. Для этого не нужны специалисты по информационной безопасности, достаточно правильной автоматизации и компетентных системных администраторов.

Результаты исследования показывают, что значительная часть компаний агентского рынка не уделяет должного внимания вопросам безопасности. Это с натяжкой допустимо в сегментах промопроектов и совсем недопустимо при работе с банковскими сайтами и в e-commerce сегменте.

Думаю, данное исследование поможет многим агентствам, особенно небольшим, посмотреть на данную проблему по новому и задуматься о ее важности»

Рекомендации агентствам/студиям

• Проверить слабые места с точки зрения организации процессов (например, по списку вопросов – чек-листу, описанному выше в нашем исследовании) – и составить план по постепенному улучшению вопросов, связанных с security-аспектами.
• Заблаговременно настроить базовые процессы по мониторингу и проактивной защите сайтов, которые разрабатывает и поддерживает агентство.
• Своевременно реагировать на обновления версий CMS, веб-серверов и других элементов ПО, участвующих в работе сайта.
• Использовать сервисы мониторинга и проактивной защиты по всему парку проектов (не важно, внешний ли это сервис или встроенный, например, в CMS).
• Проводить разъяснительную работу с заказчиками, объясняя возможность возникновения проблемы и возможные способы решения.
• Проводить периодическую работу по разъяснению политики безопасности с собственными сотрудниками, имеющими доступ к паролям, хостингу, тестовым серверам и пр. Подписывать при приеме на работу соглашение о соблюдениях правил безопасности и конфиденциальности данных клиентов.
• Подготовить заранее краткий маркетинговый документ, который бы описывал подход агентства к вопросам безопасности – процессы, правила, используемые сервисы и пр. Наличие такого документа может стать дополнительным преимуществом при продаже услуг и взаимодействии с текущими клиентами (и дополнительным способом отстройки от конкурентов).
• В случае, если компания не может позволить себе иметь штатного специалиста по вопросам безопасности, рекомендуем договориться с одним из внешних экспертов, который помог бы настроить процессы, а также быстро подключиться к их устранению в случае обнаружения (силами штатных сотрудников или автоматическими системами мониторинга).
• Проверить договор и другие юридические документы на предмет описания в них соответствующих пунктов по вопросам безопасности.

Рекомендации заказчику

• При выборе подрядчика, организации тендера и первичном общении с представителями агентств обязательно задавать вопросы о том, как устроена политика обеспечения безопасности в компании. Включать соответствующие вопросы в формальный лист оценки комитета по закупкам (если таковые процедуры проводятся внутри компании).
• С определенной регулярностью узнавать у текущих подрядчиков об изменениях/улучшениях в их процессах, связанных с данной областью.
• Контролировать, чтобы в документах были прописаны пункты ответственности подрядчика в случае возникновения инцидентов по его вине (так же, впрочем, как и пункты, которые не относятся к области ответственности подрядчика). В идеале – иметь прописанный регламент (SLA) – по реагированию на инциденты различных типов.

Серия вебинаров по вопросам безопасности в студии/агентстве

После анализа полученных результатов исследования и понимания масштаба проблемы на агентском рынке, наши коллеги из SiteSecure решили провести серию бесплатных вебинаров, посвященных вопросам организации эффективной службы безопасности в студиях/агентствах. Уже сейчас на специальной странице доступна возможность подписки на эти вебинары, и мы настоятельно рекомендуем ей воспользоваться!