Отличия реальной экспертизы в security-консалтинге от продажи страха

от

“Security consulting, это не про то, чтобы рассказать, как всё плохо. Это про то, чтобы показать, где именно плохо, почему это важно именно для вас и что с этим делать, не впадая в панику. Разница между экспертизой и FUD — в деталях, которые можно проверить, и в конкретных шагах, которые можно сделать.”

В отрасли информационной безопасности консалтинг давно стал отдельным рынком с огромными оборотами. Компании, особенно те, что работают с гостайной или подпадают под 152-ФЗ и требования ФСТЭК, регулярно заказывают аудиты, оценки защищённости, разработку политик. Но за этими услугами часто скрывается неоднородная смесь: где-то — глубокая техническая и регуляторная экспертиза, а где-то — умелая игра на страхах (FUD — Fear, Uncertainty, Doubt). Клиенту, особенно неискушённому в тонкостях ИБ, бывает сложно отличить одно от другого.

Что такое FUD в security-консалтинге и как он выглядит

FUD, это не просто запугивание. Это стратегия, построенная на трёх китах: нагнетании страха перед неопределёнными угрозами, создании сомнений в текущем положении дел и предложении себя в качестве единственного спасителя от этих надуманных рисков. В российском контексте, особенно вокруг 152-ФЗ и ФСТЭК, FUD часто маскируется под «экспертную оценку соответствия».

Вот типичные признаки подхода, основанного на FUD:

  • Размытые формулировки угроз. Вместо конкретных сценариев атак на вашу инфраструктуру звучат общие фразы: «вы в зоне риска кибератак», «данные могут быть скомпрометированы», «регулятор может оштрафовать». Угроза есть, но её контуры намеренно не прорисованы, что мешает оценить её реальную вероятность и критичность.
  • Абсолютизация требований регулятора. Консультант может утверждать, что для «полного соответствия» 152-ФЗ необходимо внедрить абсолютно все меры из всех приказов ФСТЭК, включая те, что носят рекомендательный характер или не применимы к вашей модели угроз. Цель — создать впечатление запредельно сложной и дорогой задачи, которую без него не решить.
  • Отсутствие привязки к бизнес-процессам. Рекомендации даются в вакууме: «нужно обновить все средства защиты информации», «необходимо провести глубокий аудит». При этом не объясняется, как именно эти действия снизят конкретные риски для вашего бизнеса и как они впишутся в рабочие процессы. Решение предлагается как самоцель.
  • Продажа «волшебной таблетки». Часто FUD-консалтинг идёт в связке с продажей конкретного дорогостоящего продукта или услуги (например, определённой SIEM-системы или услуги Managed Detection and Response), который преподносится как единственное спасение от всех озвученных «ужасов».

Такой подход выгоден консультанту: он создаёт постоянную зависимость клиента, который, напуганный неопределённостью, готов платить за следующие этапы «защиты».

Чем отличается реальная экспертиза

Настоящий security-консалтинг начинается не со страха, а с анализа. Его цель — не продать услугу, а решить проблему клиента, часто сформулировав её точнее, чем это сделал сам клиент. Экспертиза всегда предметна и проверяема.

Ключевые отличия реальной экспертизы:

  • Конкретика вместо общих мест. Вместо «у вас могут быть уязвимости» эксперт скажет: «на серверах с адресами X и Y, на которых развёрнуто приложение Z, мы обнаружили неустановленные критические обновления, что позволяет предположить возможность эксплуатации уязвимости CVE-2023-XXXX. Вероятность атаки средняя, но последствия — полный компромисс базы данных клиентов».
  • Риск-ориентированный подход. Хороший консультант сначала поймёт, что для бизнеса представляет ценность (какие данные, системы, процессы), а затем оценит, какие угрозы для этих активов наиболее вероятны и опасны. Меры защиты предлагаются пропорционально этим рискам, а не «на всякий случай». Он объяснит, почему для защиты конкретного контура АСУ ТП нужны одни меры (например, сегментация сети и анализ протоколов), а для офисной сети — другие.
  • Понимание регуляторного поля. Эксперт не будет пугать «штрафами от ФСТЭК». Вместо этого он чётко разграничит обязательные требования (например, из приказов ФСТЭК для определённых классов систем) и рекомендательные best practices. Он поможет построить roadmap соответствия, расставив приоритеты: что нужно сделать в первую очередь для минимизации реальных регуляторных рисков, а что можно отложить или адаптировать.
  • Практические, выполнимые рекомендации. Отчёт содержит не просто список проблем, а пошаговый план действий с указанием ответственных, примерными сроками и, что важно, альтернативными вариантами реализации. Например: «для сегментации сети можно использовать функционал имеющихся межсетевых экранов (указать модели), что потребует 40 человеко-часов, либо рассмотреть внедрение решений микросегментации, что сложнее, но даст большую гибкость».

Эксперт оставляет клиента с пониманием ситуации и чётким планом, а не с чувством тревоги и беспомощности.

Как отличить одно от другого на практике: чек-лист для заказчика

Перед тем как заказывать услугу, задайте потенциальному подрядчику или внутреннему security-отделу следующие вопросы. Ответы помогут составить картину.

Вопросы на этапе обсуждения задачи

  • Можете ли вы привести пример конкретной уязвимости или инцидента, характерного для нашей отрасли/технологического стека? FUD-консультант уйдёт в общие рассуждения. Эксперт назовёт 2-3 характерные CVE, методы социнженерии или типичные ошибки конфигурации.
  • Как вы будете оценивать наши ключевые активы и строить модель угроз? Если в ответе звучит «по стандартным методикам» без упоминания вашего бизнеса, это тревожный знак. Ожидайте услышать про интервью с ответственными, анализ архитектуры, классификацию данных.
  • Как вы учитываете требования 152-ФЗ и ФСТЭК применительно к нашему конкретному случаю? Хороший ответ будет содержать отсылки к конкретным приказам (например, приказ ФСТЭК №17 для ГИС) и рассуждения о том, какие из требований являются для вас критичными сейчас, а какие — позже.

Вопросы по итогам работы (по отчёту или презентации)

  • Есть ли в отчёте приоритизация найденных проблем? Реальная экспертиза всегда использует шкалы риска (например, CVSS для уязвимостей или собственную матрицу вероятность/влияние). Простой список из 100 «критических» уязвимостей — признак формального подхода или FUD.
  • Связаны ли рекомендации с конкретными бизнес-рисками? Каждая предложенная мера должна быть обоснована: «Внедряем двухфакторную аутентификацию для доступа к бухгалтерской системе, чтобы снизить риск мошеннических операций (риск №3 по нашей модели)».
  • Предложен ли реалистичный план внедрения с оценкой трудозатрат и альтернативами? Отчёт, который заканчивается на «необходимо внедрить», неполноценен. Должны быть варианты: быстро и дёшево, надёжно и дорого, оптимально.

Почему FUD-консалтинг всё ещё живуч в России

Этот феномен не случаен. Ему способствует несколько факторов, характерных для местного рынка ИБ.

  • Сложность и неоднозначность регуляторной базы. Требования ФСТЭК, Роскомнадзора, ФСБ зачастую интерпретируются по-разному. Это создаёт плодородную почву для консультантов, которые могут трактовать их в самом строгом ключе, нагнетая страх перед проверками.
  • Дефицит внутренней экспертизы у заказчиков. Во многих компаниях, особенно не-IT, нет штатных специалистов по ИБ, способных критически оценить предложения консультантов. Отдел ИБ, если он есть, часто перегружен операционной работой и не имеет ресурсов для глубокого анализа.
  • Культура «галочки». Иногда руководство компании покупает security-услуги не для реального повышения безопасности, а для формального отчёта перед советом директоров или регулятором. В такой ситуации FUD-консалтинг, который производит много «шума» и бумаг, может выглядеть даже предпочтительнее тихой, предметной работы.
  • Связка «консалтинг — продажа решений». Многие вендоры или интеграторы предлагают «бесплатный» аудит, который по умолчанию заточен под выявление «потребности» именно в их продукте. Это классическая модель, где консалтинг является лишь инструментом продаж.

Что делать, если вы столкнулись с FUD

Если в процессе работы появилось стойкое ощущение, что вас водят за нос, не стоит сразу разрывать контракт. Можно попытаться скорректировать процесс.

  1. Требуйте конкретики. На каждое общее утверждение («системы не защищены») запрашивайте детали: какие именно системы, от какой угрозы, какое доказательство уязвимости. Просите привязать риски к вашим активам из реестра.
  2. Вовлекайте технических специалистов. Не позволяйте консультанту общаться только с руководством. Привлекайте к обсуждению сетевых администраторов, разработчиков, системных архитекторов. Они быстро зададут неудобные технические вопросы, на которые у FUD-консультанта может не быть ответов.
  3. Запросите second opinion. Если проект крупный и дорогой, есть смысл на ключевом этапе (например, после предварительного отчёта о оценке) пригласить другого, независимого специалиста для ревью выводов и рекомендаций. Это дорого, но может сэкономить миллионы на неэффективных решениях.
  4. Смещайте фокус с «соответствия» на «безопасность». Чётко сформулируйте, что вас интересует не просто «отчёт для ФСТЭК», а реальное повышение устойчивости бизнеса к инцидентам. Это меняет рамки диалога.

Грань между экспертизой и спекуляцией на страхах тонка, но для подготовленного заказчика — ощутима. Ключ — в деталях, проверяемости рекомендаций и их прямой связи с вашим бизнесом. Настоящий security-консалтинг не оставляет после себя чувства беспокойства и неопределённости. Он оставляет понятный план, контроль над ситуацией и, в идеале, часть переданных компетенций. В конечном счёте, вы платите не за отчёт, а за снижение реальных рисков — и только экспертная работа может этого добиться.

Оставьте комментарий