paweł krawczyk - ekonomia bezpieczeństwa

Ekonomia bezpieczeństwa

Paweł Krawczyk <pawel.krawczyk@hush.com>

TEMATY

Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja

ŹRÓDŁA BEZPIECZEŃSTWA

Zewnętrzne Klienci – łańcuch odpowiedzialności, SLA Przepisy prawa, konkurencja, reputacja

Wewnętrzne Klienci wewnętrzni – SLA

Analiza ryzyka „10% szansy, że zapłacimy 10 mln zł kary”

Redukcja ryzyka jako inwestycja „unikniemy straty 1 mln zł za jedyne 100 tys. zł”

RACJONALNE BEZPIECZEŃSTWO (*)

Chroni przed zagrożeniami Nie kosztuje więcej niż chronione dobra Drogi do irracjonalności

Błędna ocena ryzyka Błędny wybór zabezpieczeń

Skutki Strata pewna zamiast prawdopodobnej Chybione zabezpieczenia Błędna alokacja zasobów

KRZYWA LAFFERA

Wpływy budżetowe

Stawka podatkowa

KRZYWA LAFFERA

TECHNIKI UWIERZYTELNIANIA

Sektor publiczny Podpis kwalifikowany

(2001-2010) Wysoki poziom

bezpieczeństwa

Sektor prywatny Hasła statyczne

(~2000) Hasła jednorazowe

(~2002) Hasła SMS (~2005)

DOSTĘP DO USŁUG ELEKTRONICZNYCH W POLSCE

Sektor prywatny• „Wystarczający poziom

bezpieczeństwa”

• 2010 – 8,4 mln– 22% obywateli

Sektor publiczny• „Wysoki poziom

bezpieczeństwa”

• 2010 – 250 tys.– 0,94% obywateli

2001 2002 2003 2004 2005 2006 2007 2008 2009 20100

2000

4000

6000

8000

10000

Dostęp do usług elektronicznych w Polsce

Rok

Lic

zba

uży

tko

wn

ikó

w [

tys]

BEZPIECZEŃSTWO A REGULACJA (*)Kilka rozpowszechnionych mitów „Bezpieczeństwo jest najważniejsze”

Ale 100% bezpieczeństwa = 0% aktywności Każde działanie stanowi kompromis bezpieczeństwa

„Więcej bezpieczeństwa to lepiej” Ale to także większy koszt i mniejsza efektywność

„Tylko X zapewni wysoki poziom bezpieczeństwa” Ale czy tutaj potrzebujemy wysokiego poziomu?

GWARANCJE NA OPROGRAMOWANIE

• Niezawodne oprogramowanie istnieje– Formalne metody dowodzenia poprawności kodu– ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”– BNF, ASN.1

• Ale tworzenie go jest bardzo kosztowne– Common Criteria EAL2 – od 50 tys. €, 12 miesięcy– Common Criteria EAL4 – od 150 tys. €, 18 miesięcy

• Czy chcemy powszechnych gwarancji na oprogramowanie?– Ja nie chcę! Wolę program za 300 zł, który działa

wystarczająco dobrze

DROGA DO RACJONALNOŚCI

Analiza ryzyka Co mamy? Przed czym to chcemy chronić? Ile kosztuje ryzyko? Ile kosztują

zabezpieczenia? Analiza kosztów i korzyści (cost-benefit

analysis) Techniki

Drzewa decyzyjne (decision trees) Applied Information Economics

PRZYKŁAD – WIRUSY

Skutki infekcji wirusa Sieć 1000

użytkowników 6 godzin

przestoju/osobę 3 roczne etaty

Naprawa 0,12 rocznego etatu

Koszt: 130 tys. zł Za jeden incydent!

Skutki antywirusa Sieć 1000 użytkowników Strata 5 minut/dzień 5000 min/dzień 10 rocznych etatów Koszt: 440 tys. zł

Rocznie

PRZYKŁAD – SZYFROWANIE DYSKÓW 1000 UŻYTKOWNIKÓW

Full-Disk Encryption Roczna licencja 53 zł/laptop Koszt licencji

53 tys. zł Koszt wsparcia technicznego

12 tys. zł

60 kradzieży laptopów rocznie

Średnio 80 rekordów osobowych/laptop

Koszt obsługi 1 rekordu

115 zł

Roczny koszt incydentów

552 tys. zł

WSKAŹNIKI DO OCENY RACJONALNOŚCI EKONOMICZNEJ

• Zwrot z inwestycji – ROI - Return on Investment

• Zwrot z inwestycji w bezpieczeństwo– ROSI – Return on Security Investment– Inne danych wejściowe, to samo znaczenie

• Wynik – mnożnik zainwestowanego kapitału

ROI VS ROSI

C

CGROI

c

cm

S

SSEROSI

E – koszt ingorowania ryzyka [zł]

Sm – skuteczność zabezpieczenia [%]

Sc – koszt zabezpieczenia [zł]

G – „jak bardzo ograniczymy straty?” [zł]

C – koszt zabezpieczenia [zł]

PRZYKŁAD – LOGISTYKA (ROSI)

Zabezpieczenie Prognozowane straty roczne Skuteczność Koszt ROSI

Żadne € 75,000.00 0% € 0.00 0.00

Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26

Telemetryka € 2,000.00 97.30% € 1,000.00 71.98

PRZYKŁAD – LOGISTYKA (ROI)

Zabezpieczenie Prognozowane straty roczne "Zysk" Koszt ROI

Żadne € 75,000.00 € 0.00 € 0.00 0.00

Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26

Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00

WYZWANIA

• Skąd dane wejściowe?– Własne dane historyczne, tablice aktuarialne, SLA

dostawców, statystyki branżowe• Dane obarczone dużym poziomiem niepewności

– Średnia, mediana, odchylenie standardowe– Przedziały minimum-maksimum (widełki)– Rząd wielkości

• Co wpływa na jakość wskaźnika?– Analiza ryzyka– Koszty incydentów– Koszty zabezpieczeń

WYZWANIA – KOSZTY INCYDENTÓW Utracone korzyści

Czas pracy, naruszenia SLA Kary i odszkodowania

Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA

Koszty naprawy i śledztwa Personel wew/zew, narzędzia śledcze

WYZWANIA – KOSZTY ZABEZPIECZEŃ Koszt wdrożenia

Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana

Koszty operacyjne Administracja, wsparcie techniczne

Koszty zewnętrzne Obciążenie systemu, obniżenie wydajności, awarie, czas

użytkowników

ZALETY

• Możliwość porównania racjonalności ekonomicznej– Podobnych zabezpieczeń

• Antywirus A versus antywirus B– Różnych zabezpieczeń

• Edukacja użytkowników versus system wykrywania wycieków danych (DLP)

• Obiektywizacja kryteriów wyboru zabezpieczeń• Fakty zamiast ogólników

– „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”

• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe

PYTANIA?Pawel.krawczyk@hush.com