Привет, хабр! Недавно мы проводили (в том числе, на хабре) опрос среди студий и агентств, а теперь анонсируем результаты нашего исследования.
В рамках исследования силами Ruward и сервиса по защите сайтов SiteSecure в апреле 2014 был проведен опрос более 270 представителей студий и агентств, специализирующихся на заказной разработке интернет-проектов.
Расскажем подробнее о полученных результатах:
Более трех четвертей компаний агентского рынка в принципе не имеют специалиста, который смог бы настроить необходимые процессы и помочь в случае возникновения проблем с их оперативным устранением. Каждая пятая студия имеет подобного специалиста в штате (конечно, такая ситуация характерна в больше степени для крупных компаний, специализирующихся на разработке сложных проектов в высоком ценовом сегменте).
Четко прописанный регламент реагирования на инциденты по вопросам безопасности есть только у 7% опрошенных респондентов, при этом более половины компаний считают, что есть «смысловое понимание», что делать в случае возникновения проблем. Почти треть компаний не имеет подобного регламента и не готова к оперативному решению подобных инцидентов.
В определенном смысле данный вопрос – хороший индикатор общей ситуации на рынке. Значительная часть компаний агентского рынка не уделяет должного внимания вопросам безопасности или считает, что проблему можно будет решить своими силами «по факту возникновения». В таком подходе кроется значительная угроза для обеспечения безопасности проектов заказчика.
Почти 60% студий/агентств не подписывают со своими сотрудниками соглашения, которое бы регламентировало соблюдение правил безопасности и конфиденциальности. Во многом это говорит о том, что в случае возникновения проблем основной риск несет сама студия, поскольку претензии заказчика в значительном числе случаев предъявляются именно компании, которая разрабатывает/поддерживает сайт.
Более чем две трети компаний не вносят соответствующий пункт в договора с клиентами.
Мы бы хотели отметить, что в этом случае студия не только формально освобождается от рисков, но и может понести дополнительные убытки. В случае отсутствия подобных пунктов формально не прописано не только то, за что агентство должно отвечать, но и то, за что не должно (например, форс-мажор на стороне хостинг-провайдера). Поскольку на агентском рынке многое строится на уровне доверительных отношений, в случае возникновения инцидента клиент обращается в студии вне зависимости от договора, а отсутствие там пункта о том, за какие вопросы подрядчик не отвечает – может послужить основанием для неоправданной претензии и ухудшения отношений с клиентом.
С точки зрения парольной политики ситуация чуть лучше – каждая четвертая компания имеет четко прописанный регламент, а еще половина применяет различные элементы парольной политики в своей деятельности. При этом четверть компаний в принципе не склонная заботиться о подобных вопросах.
Внедрение такого регламента/процесса не несет для агентства почти никаких затрат, и мы настоятельно рекомендуем компаниям, в которых он до сих по не решен, принять соответствующие меры – это позволит существенно снизить риски возникновения различных угроз и для студии, и для клиента. Также мы рекомендуем доносить данный свод правил и для представителей заказчика, которые взаимодействуют с агентством.
Из перечисленных мер обеспечении безопасности самой распространенной является резервное копирование данных (более 80%). Стоит отметить, что агентства, которые не прибегают к данной практике – подвержены значительному риску не только по вопросам, связанным с безопасностью, но и по вопросам чисто технического характера (сбой оборудования, потеря данных).
Почти две трети компаний осуществляют постоянный мониторинг доступности парка своих проектов. Учитывая наличие большого количества бесплатных и недорогих автоматических сервисов по мониторингу доступности, это не самый высокий показатель – треть игроков рынка игнорирует данный простой и базовый метод мониторинга проблем.
Немногим менее половины компаний осуществляют контроль за внесением изменений на сайт и мониторинг блокирования сайтов поисковиками. Чуть более трети осуществляют проверки на наличие скрытых ссылок и редиректов, менее трети компаний регулярно проверяют проекты на вирусы. И только каждое шестое агентство предоставляет клиентам услуги защиты от DDoS.
Распределение по зонам ответственности перед заказчиком особенно любопытно в контексте предыдущего графика – в среднем компании берут на себя больше обязательств, чем проводят реальных действий.
Только 16% игроков агентского рынка полностью уверены в безопасности своих проектов. Почти половина компаний признает наличие проблем, но в большинстве случаев успевает их решить до возникновения последствий для бизнеса заказчика.
И более трети компаний признаются в том, что испытывают определенный трудности с обеспечением безопасности сайтов своих клиентов – как с точки зрения проблем с клиентами, так и с точки зрения ресурсов, которые тратятся на оперативное решение внезапно возникнувшей проблемы.
40% веб-студий и агентств так или иначе сталкивались с проблемами безопасности за последний год. Это еще раз подтверждает актуальность проблематики, рассматриваемой в нашем исследовании.
Почти 60% студий не сталкиваются на тендерах с вопросами заказчика о том, как устроены в компании вопросы обеспечения безопасности.
С одной стороны, это говорит об определенной пассивности и невысокой осведомленности заказчика в данных вопросах (несмотря на высокую актуальность проблемы).
С другой стороны, это дает компаниям, хорошо настроившим соответствующие процессы, дополнительное маркетинговое преимущество – в случае проявления инициативы на пресейле и актуализации данного аспекта перед заказчиком на фоне конкурентов.
Также в рамках исследования было проведено профилирование респондентов, которое показало распределение, близкое к общей ситуации на рынке, что только подтверждает общую репрезентативность полученных результатов.
Основным выводом исследования является тот факт, что большинство студий/агентств не считают аспекты безопасности профильными для своей деятельности и не уделяют должного внимания связанным с этими вопросами процессами. Тем не менее, как показывает наше предыдущее исследование, проблема весьма актуальна. Например, каждый седьмой сайт в Рунете подвержен риску финансовых потерь из-за проблем, связанных с безопасностью.
После анализа полученных результатов исследования и понимания масштаба проблемы на агентском рынке, наши коллеги из SiteSecure решили провести серию бесплатных вебинаров, посвященных вопросам организации эффективной службы безопасности в студиях/агентствах. Уже сейчас на специальной странице доступна возможность подписки на эти вебинары — рекомендуем.
С полной версией исследования и комментариями экспертов можно знакомиться на странице нашего спецпроекта.
В рамках исследования силами Ruward и сервиса по защите сайтов SiteSecure в апреле 2014 был проведен опрос более 270 представителей студий и агентств, специализирующихся на заказной разработке интернет-проектов.
Расскажем подробнее о полученных результатах:
1. Есть ли в вашей студии/агентстве квалифицированный специалист, ответственный за информационную безопасность сайтов клиентов?
Более трех четвертей компаний агентского рынка в принципе не имеют специалиста, который смог бы настроить необходимые процессы и помочь в случае возникновения проблем с их оперативным устранением. Каждая пятая студия имеет подобного специалиста в штате (конечно, такая ситуация характерна в больше степени для крупных компаний, специализирующихся на разработке сложных проектов в высоком ценовом сегменте).
2. Есть ли в организации правила безопасности и регламент реагирования на инциденты, связанные с безопасностью сайтов клиентов (утеря или кража паролей, взлом, заражение вирусами, попадание сайта в черные списки и др.)
Четко прописанный регламент реагирования на инциденты по вопросам безопасности есть только у 7% опрошенных респондентов, при этом более половины компаний считают, что есть «смысловое понимание», что делать в случае возникновения проблем. Почти треть компаний не имеет подобного регламента и не готова к оперативному решению подобных инцидентов.
В определенном смысле данный вопрос – хороший индикатор общей ситуации на рынке. Значительная часть компаний агентского рынка не уделяет должного внимания вопросам безопасности или считает, что проблему можно будет решить своими силами «по факту возникновения». В таком подходе кроется значительная угроза для обеспечения безопасности проектов заказчика.
3. Подписывается ли при трудоустройстве с сотрудниками, которые имеют доступ к паролям от хостинга, CMS и к содержимому сайтов клиентов соглашение о соблюдении конфиденциальности и правил безопасности?
Почти 60% студий/агентств не подписывают со своими сотрудниками соглашения, которое бы регламентировало соблюдение правил безопасности и конфиденциальности. Во многом это говорит о том, что в случае возникновения проблем основной риск несет сама студия, поскольку претензии заказчика в значительном числе случаев предъявляются именно компании, которая разрабатывает/поддерживает сайт.
4. В договоре с клиентом предусмотрен пункт об обеспечении вашей компанией безопасности его сайта и данных?
Более чем две трети компаний не вносят соответствующий пункт в договора с клиентами.
Мы бы хотели отметить, что в этом случае студия не только формально освобождается от рисков, но и может понести дополнительные убытки. В случае отсутствия подобных пунктов формально не прописано не только то, за что агентство должно отвечать, но и то, за что не должно (например, форс-мажор на стороне хостинг-провайдера). Поскольку на агентском рынке многое строится на уровне доверительных отношений, в случае возникновения инцидента клиент обращается в студии вне зависимости от договора, а отсутствие там пункта о том, за какие вопросы подрядчик не отвечает – может послужить основанием для неоправданной претензии и ухудшения отношений с клиентом.
5. Применяется ли парольная политика: требования к сложности пароля, контроль за сменой паролей, реагирование на компрометацию, назначение ответственного?
С точки зрения парольной политики ситуация чуть лучше – каждая четвертая компания имеет четко прописанный регламент, а еще половина применяет различные элементы парольной политики в своей деятельности. При этом четверть компаний в принципе не склонная заботиться о подобных вопросах.
Внедрение такого регламента/процесса не несет для агентства почти никаких затрат, и мы настоятельно рекомендуем компаниям, в которых он до сих по не решен, принять соответствующие меры – это позволит существенно снизить риски возникновения различных угроз и для студии, и для клиента. Также мы рекомендуем доносить данный свод правил и для представителей заказчика, которые взаимодействуют с агентством.
6. Какие меры из нижеперечисленных вы осуществляете для обеспечения надежной работы и безопасности сайтов клиентов?
Из перечисленных мер обеспечении безопасности самой распространенной является резервное копирование данных (более 80%). Стоит отметить, что агентства, которые не прибегают к данной практике – подвержены значительному риску не только по вопросам, связанным с безопасностью, но и по вопросам чисто технического характера (сбой оборудования, потеря данных).
Почти две трети компаний осуществляют постоянный мониторинг доступности парка своих проектов. Учитывая наличие большого количества бесплатных и недорогих автоматических сервисов по мониторингу доступности, это не самый высокий показатель – треть игроков рынка игнорирует данный простой и базовый метод мониторинга проблем.
Немногим менее половины компаний осуществляют контроль за внесением изменений на сайт и мониторинг блокирования сайтов поисковиками. Чуть более трети осуществляют проверки на наличие скрытых ссылок и редиректов, менее трети компаний регулярно проверяют проекты на вирусы. И только каждое шестое агентство предоставляет клиентам услуги защиты от DDoS.
7. За какие задачи обеспечения работоспособности проектов ваших клиентов вы отвечаете?
Распределение по зонам ответственности перед заказчиком особенно любопытно в контексте предыдущего графика – в среднем компании берут на себя больше обязательств, чем проводят реальных действий.
8. Какое из следующих утверждений наиболее подходит для вашей ситуации?
Только 16% игроков агентского рынка полностью уверены в безопасности своих проектов. Почти половина компаний признает наличие проблем, но в большинстве случаев успевает их решить до возникновения последствий для бизнеса заказчика.
И более трети компаний признаются в том, что испытывают определенный трудности с обеспечением безопасности сайтов своих клиентов – как с точки зрения проблем с клиентами, так и с точки зрения ресурсов, которые тратятся на оперативное решение внезапно возникнувшей проблемы.
9. Возникали ли у вас за последний год проблемы с претензиями клиентов по вопросам, связанным с безопасностью?
40% веб-студий и агентств так или иначе сталкивались с проблемами безопасности за последний год. Это еще раз подтверждает актуальность проблематики, рассматриваемой в нашем исследовании.
10. Бывают ли случаи, когда в рамках тендера на разработку проекта вас отдельно просят рассказать о вопросах безопасности?
Почти 60% студий не сталкиваются на тендерах с вопросами заказчика о том, как устроены в компании вопросы обеспечения безопасности.
С одной стороны, это говорит об определенной пассивности и невысокой осведомленности заказчика в данных вопросах (несмотря на высокую актуальность проблемы).
С другой стороны, это дает компаниям, хорошо настроившим соответствующие процессы, дополнительное маркетинговое преимущество – в случае проявления инициативы на пресейле и актуализации данного аспекта перед заказчиком на фоне конкурентов.
Профиль респондентов
Также в рамках исследования было проведено профилирование респондентов, которое показало распределение, близкое к общей ситуации на рынке, что только подтверждает общую репрезентативность полученных результатов.
11. Сколько в вашей студии/агентстве сотрудников?
12. С точки зрения разработки интернет-проектов, на каких типах сайтов вы специализируетесь в большей степени?
13. Где территориально вы находитесь?
Выводы и рекомендации
Основным выводом исследования является тот факт, что большинство студий/агентств не считают аспекты безопасности профильными для своей деятельности и не уделяют должного внимания связанным с этими вопросами процессами. Тем не менее, как показывает наше предыдущее исследование, проблема весьма актуальна. Например, каждый седьмой сайт в Рунете подвержен риску финансовых потерь из-за проблем, связанных с безопасностью.
Рекомендации агентствам/студиям
- Проверить слабые места с точки зрения организации процессов (например, по списку вопросов – чек-листу, описанному выше в нашем исследовании) – и составить план по постепенному улучшению вопросов, связанных с security-аспектами.
- Заблаговременно настроить базовые процессы по мониторингу и проактивной защите сайтов, которые разрабатывает и поддерживает агентство.
- Своевременно реагировать на обновления версий CMS, веб-серверов и других элементов ПО, участвующих в работе сайта.
- Использовать сервисы мониторинга и проактивной защиты по всему парку проектов (не важно, внешний ли это сервис или встроенный, например, в CMS).
- Проводить разъяснительную работу с заказчиками, объясняя возможность возникновения проблемы и возможные способы решения.
- Проводить периодическую работу по разъяснению политики безопасности с собственными сотрудниками, имеющими доступ к паролям, хостингу, тестовым серверам и пр. Подписывать при приеме на работу соглашение о соблюдениях правил безопасности и конфиденциальности данных клиентов.
- Подготовить заранее краткий маркетинговый документ, который бы описывал подход агентства к вопросам безопасности – процессы, правила, используемые сервисы и пр. Наличие такого документа может стать дополнительным преимуществом при продаже услуг и взаимодействии с текущими клиентами (и дополнительным способом отстройки от конкурентов).
- В случае, если компания не может позволить себе иметь штатного специалиста по вопросам безопасности, рекомендуем договориться с одним из внешних экспертов, который помог бы настроить процессы, а также быстро подключиться к их устранению в случае обнаружения (силами штатных сотрудников или автоматическими системами мониторинга).
- Проверить договор и другие юридические документы на предмет описания в них соответствующих пунктов по вопросам безопасности.
Рекомендации заказчику
- При выборе подрядчика, организации тендера и первичном общении с представителями агентств обязательно задавать вопросы о том, как устроена политика обеспечения безопасности в компании. Включать соответствующие вопросы в формальный лист оценки комитета по закупкам (если таковые процедуры проводятся внутри компании).
- С определенной регулярностью узнавать у текущих подрядчиков об изменениях/улучшениях в их процессах, связанных с данной областью.
- Контролировать, чтобы в документах были прописаны пункты ответственности подрядчика в случае возникновения инцидентов по его вине (так же, впрочем, как и пункты, которые не относятся к области ответственности подрядчика). В идеале – иметь прописанный регламент (SLA) – по реагированию на инциденты различных типов.
Серия вебинаров по вопросам безопасности в студии/агентстве
После анализа полученных результатов исследования и понимания масштаба проблемы на агентском рынке, наши коллеги из SiteSecure решили провести серию бесплатных вебинаров, посвященных вопросам организации эффективной службы безопасности в студиях/агентствах. Уже сейчас на специальной странице доступна возможность подписки на эти вебинары — рекомендуем.
С полной версией исследования и комментариями экспертов можно знакомиться на странице нашего спецпроекта.
