Metody szacowania strat powstałych w wyniku ataków komputerowych

Transkrypt

1 Metody szacowania strat powstałych w wyniku ataków komputerowych Mirosław Maj, CERT Polska Jeśli czegoś nie wiemy to nie znaczy, że tego nie ma. David A. Dittrich

2 Plan wystąpienia Problem szacowania strat Korzyści wynikające z szacowania strat Metoda obliczania strat Elementy obliczeń Problemy z metodą obliczeń

3 Problem szacowania strat TEGO SIĘ NIE DA OBLICZYĆ!!! TO SIĘ DA OBLICZYĆ!!! AnnaKurnikova USD (trzy przypadki) CodeRed i Nimda 13,2 mld USD Raport CSI/FBI USD Sprawa w Krakowie (listopad 2000) PLN

4 Dlaczego nie oblicza się strat? Brak wiedzy Brak chęci Brak lobby w kadrze zarządzającej

5 Jakie są korzyści? Pomoc w obliczaniu zwrotu inwestycji w bezpieczeństwo: ROSI = R ((R E) + T) T koszt inwestycji; E oszczędności z inwestycji, R wysokość strat Analiza kosztów konkretnych ataków np.: ile kosztowały nas ataki DoS? Pomocne w decyzjach dotyczących jak dysponować posiadane środki.

6 Jakie są korzyści? Pomocne w odzyskaniu strat przed sądem i przy współpracy z policją Pomocne w analizach wewnętrznych i zewnętrznych Trendy Wydatki Argumenty nacisku

7 Metody obliczania I-CAMP (Incident Cost Analysis & Modeling Project) Big Ten Universites CICA (Cyber Incident Cost Assessment) - EICAR Metody te są: Podobne Różnice podejście do elementów składowych [CICA definicje bardziej formalne i skomplikowane]

8 Elementy obliczeń ŁATWE Koszt pracowników technicznych Koszt użytkowników Koszt wymiany sprzętu Wydatki uboczne związane z incydentem TRUDNE Koszt odzyskania poniesionych strat Potencjalne straty dochodu Koszty zaimplementowania nowego zabezpieczenia Koszty dodatkowych szkoleń dla personelu Utrata reputacji Zwyżka stawek ubezpieczeniowych Koszty dodatkowego kredytu na pokrycie strat

9 Ogólnie o metodach Matematycznie trywialne Trudne do oszacowania kontrowersyjne w stosowaniu (kosztowniejsze w argumentacji) Warte do stosowania bo używane, nieformalne standardy I-CAMP prostsza CICA bardziej skomplikowana ze względu na definicje składowych

10 I-CAMP KC = (KPT + KUS + KPZ) x WU KC KPT KUS KPZ WU -koszt całkowity; - koszt pracowników technicznych, pracujących nad rozwiązaniem problemu; - koszt związany z brakiem możliwości pracy użytkowników systemu; - koszt pracowników zewnętrznej; - wydatki uboczne związane z incydentem (w tym koszty sprzętu oprogramowania);

11 PLN KUS X 15 KPZ 2 WU 5 wypożyczenie sprzętu WU 4 telefony WU 3 delegacje KPT X 4 KPZ 1 WU 2 nowe programy WU 1 nowy sprzęt

12 KUS KUS PLN WU 5 WU 5 WU 4 KPZ 2 WU KPT 3 WU 2 KPZ 2 WU 4 WU 3 WU 2 KPT KPZ 1 WU 1 KPZ 1 WU 1

13 Jaką metodę stosować? Uwagi końcowe. Można wypracować własną Usunąć elementy nieprzekonywujące lub niemożliwe do oszacowania Dodać element znane i obliczone Najważniejsza jest solidność i dyscyplina Jeśli to możliwe wprowadzić elementy automatyzacji Korzystać z doświadczeń projektowych Ustalić konieczność stosowania Zlecić kontrolę audytowi wewnętrznemu Wykorzystywać uzyskane dane!!!

14 LITERATURA Cyber Incident Cost Assessment - Urs E. Gattiker - Intrusion Cleanup: What s the Cost? - Mark Joseph Edwards - Estimating the cost of damages due to a security incident (FAQ) - Dave Dittrich - Cost Analysis and Modeling Project II (I-CAMP II) - Gale Berkowitz - Incident Cost Analysis and Modeling Project - ICAMP I - Committee on Institutional Cooperatio - Incident Cost Analysis and Modeling Project - ICAMP II - Committee on Institutional Cooperation - Strategies & Issues: Deciphering the Cost of a Computer Crime - Andrew Conry-Murray - Finally, a Real Return on Security Spending - Scott Berinato - Calculating return on security investment - Scott Berinato -

15 Pytania? Mirosław Maj CERT Polska, NASK ul. Wąwozowa Warszawa Tel: (10 xx 22) Fax: (10 xx 22)