24 listopada 2007 Metody szacowania strat powstałych w wyniku ataków komputerowych Sławomir Kubit praktykant CERT Polska
Spis treści: I. Przegląd metodologii... 4 1. Opis problemu... 4 2. Dostępne metody... 9 II. Wybór metodologii optymalnej... 11 1. Potencjalne straty... 11 2. Charakterystyka metod... 12 3. Wybór metody optymalnej... 26 4. Wnioski... 30 III. Propozycja metodologii własnej... 31 1. Wykorzystanie istniejących metodologii oraz nowych pomysłów... 31 2. Charakterystyka metodologii własnej... 32 A. Metodologia szacowania strat ponoszonych przez firmę... 34 B. Metodologia szacowania strat ponoszonych przez osobę indywidualną... 36 C. Metodologia szacowania strat ponoszonych wyłącznie przez spam... 38 D. Metodologia szacowania strat ponoszonych wyłącznie przez atak DDoS... 39 3. Przykład obliczania strat... 41 4. Zastosowanie i przydatność metod... 41 5. Porównanie metody własnej do metod istniejących... 44 6. Zalecenia... 46 Bibliografia:... 47 Spis tabel i wykresów... 47 Autor: Sławomir Kubit 2
Wprowadzenie Praca ta ma na celu przegląd i charakterystykę dostępnych metod szacowania strat w wyniku ataków komputerowych oraz próbę stworzenia własnej metodologii wraz z narzędziem do jej obsługi. Praca porusza problem strat zarówno pod kątem firmy, jak i zwykłej osoby, skierowana jest więc do wszystkich uŝytkowników komputerów. Raport ma równieŝ na celu uświadomienie czytelnikowi, jak waŝne jest zagadnienie bezpieczeństwa IT. Praca dzieli się na cztery części. Pierwsza część zawiera opis problemu oraz przegląd dostępnych metodologii z krótką ich charakterystyką. Część druga poświęcona jest szczegółowemu opisaniu najwaŝniejszych metod wraz z ich oceną, co ma pozwolić na wybór metody optymalnej. Następnie przedstawiona zostanie propozycja własna wraz z wspomagającą ją aplikacją. Autor: Sławomir Kubit 3
I. Przegląd metodologii 1. Opis problemu Rozwój IT jest zauwaŝalny w kaŝdej dziedzinie Ŝycia oraz w kaŝdym sektorze rynku. Wraz z nim mnoŝą się jednak okoliczności sprzyjające wystąpieniu zagroŝeń, jakie mogą dotknąć zarówno organizacje, korporacje, instytucje rządowe, duŝe czy małe firmy, jak i indywidualną jednostkę nas samych. Sprawia to, Ŝe bezpieczeństwo firmy, danych oraz waŝnych informacji maleje, a co za tym idzie stają się one łatwym celem ataków komputerowych. Do incydentów związanych z atakami komputerowymi zaliczamy 1 : Obraźliwe i nielegalne treści: Spam, dyskredytacja, obraŝanie, przemoc; Złośliwe oprogramowanie: wirus, robak sieciowy, koń trojański, oprogramowanie szpiegowskie, dialer; Gromadzenie informacji: skanowanie, podsłuch, inŝynieria społeczna; Próby włamań: wykorzystanie znanych luk systemowych, próby nieuprawnionego logowania, wykorzystanie nieznanych luk systemów; Włamania: włamanie na konto uprzywilejowane, włamanie na konto zwykłe, włamanie do aplikacji; 1 Klasyfikacja incydentów według CERT Polska NASK (Computer Emergency Response Team) Autor: Sławomir Kubit 4
Atak na dostępność zasobów: atak blokując serwis (DoS), rozproszony atak blokujący serwis (DDoS), sabotaŝ komputerowy; Atak na bezpieczeństwo informacji: nieuprawniony dostęp do informacji, nieuprawniona zmiana informacji; Oszustwa komputerowe: nieuprawnione wykorzystanie zasobów, naruszanie praw autorskich, kradzieŝ toŝsamości, podszycie się (w tym phishing). Aby uświadomić czytelnika o powadze problemu, przytoczę kilka najwaŝniejszych danych statystycznych pochodzących z raportów: CERT Polska oraz CSI/FBI 2 z roku 2006. Zespół CERT Polska w roku 2006 odnotował 2427 incydentów, oto ich procentowy rozkład: Wykres 1 Rozkład najczęstszych incydentów Oszustwa komputerowe 14,8% Złośliwe oprogramowanie 14,0% Inne 7,1% Obraźliwe i nielegalne treści 36,6% Gromadzenie informacji 27,4% Źródło: Opracowanie własne na podstawie raportu CERT Polska 2006r. Jak widzimy, najczęstsze incydenty naleŝą do typu obraźliwych i nielegalnych treści. Oczywiście do tego wyniku przyczynił się wszechobecny spam, który stanowi 96,5% tego typu incydentów. Spowodowane jest to wzrostem liczby serwerów rozsyłających spam, a 2 Źródło: Raport CSI/FBI Computer crime and security survey 2006. CSI - Computer Security Institute. Autor: Sławomir Kubit 5
takŝe wykorzystywaniem przez spamerów komputerów zombi. Zjawisko spamu wykazuje trend rosnący. Co czwartym incydentem jest działanie związane z gromadzeniem informacji i w 99% jest to skanowanie. Incydent ten wykazuje tendencje malejącą. Co szóstym incydentem jest oszustwo komputerowe. Ponad 84% tego typu incydentów to kradzieŝ toŝsamości (w tym phishing 3 ). W badanym roku pojawił się phishing dotyczących polskich banków. W raporcie CSI/FBI do obliczeń wzięto pod uwagę 616 amerykańskich jednostek, w tym głównie: korporacje, agencje rządowe, instytucje finansowe, medyczne i naukowe. Incydentami powodującymi największe straty okazały się kolejno: o wirusy ($15,691,460), o nieuprawniony dostęp do informacji ($10,617,000), o kradzieŝ laptopów i sprzętu hardware ($6,642,660), o kradzieŝ informacji ($6,034,000), o atak DDoS ($2,922,010). PoniŜszy wykres przedstawia procentowy rozkład incydentów ze względu na poziom strat: Wykres 2 Rozkład najkosztowniejszych incydentów Wirusy 30% Nieuprawniony dostęp do informacji 20% Inne 20% Ataki DDoS 6% KradzieŜ informacji 11% KradzieŜ laptopów i sprzętu hardware 13% Źródło: Opracowanie własne na podstawie raportu CSI/FBI 2006r. 3 Phishing oszustwo polegające na wprowadzeniu w błąd i najczęściej wyłudzeniu pieniędzy lub zdobyciu haseł, numerów kart kredytowych, kont bankowych itp. Autor: Sławomir Kubit 6
Jak widzimy, incydenty uwzględnione na wykresie stanowią 80% całości ponoszonych strat. W obliczeniach wzięto pod uwagę 313 poszkodowanych. Całkowite straty wynosiły $52,494,250. Niestety, w raporcie nie umieszczono informacji, jak obliczano te straty. Straty są to następstwa wystąpienia incydentów i mają one charakter czasowy oraz stały. Według amerykańskiego dokumentu rządowego The Internet Integrity and Critical Information Protection Act of 2000 termin strata oznacza kaŝdy rzeczywisty wydatek poszkodowanego zawierający koszt reakcji na atak, przeprowadzenie oceny strat, odtworzenia danych, programu, systemu lub informacji do stanu sprzed ataku oraz kaŝdą stratę dochodu oraz kaŝdą inna stratę powstałą w wyniku przerwy w świadczeniu usług. 4 Wielkość strat jest uzaleŝniona od wielu czynników: kto jest poszkodowanym (czy jest to zwykła osoba czy wielka korporacja), czym się ta osoba / firma zajmuje, z jakim rodzajem (rodzajami) ataków mamy do czynienia, w jakim kraju dane zdarzenie miało miejsce (skutki prawne) itd. Straty zazwyczaj dzielimy na takie, które moŝna oszacować, i takie, których szacowanie jest niemoŝliwe lub jest bardzo kontrowersyjne. By zrozumieć, na czym polegać moŝe kontrowersyjność szacowania, wyobraźmy sobie taką sytuację: firmie X skradziono dane na temat planowanych inwestycji oraz dane na temat klientów. Chcąc skierować sprawę do sądu firma musi podać, jakie straty poniosła w wyniku danego incydentu. Najpierw musi je więc oszacować. Straty oraz skutki, jakie firma ponosi w takiej sytuacji są róŝnorakie: kary prawne, koszty ponownej pracy nad inwestycjami, utrata klienta czy renomy itd.. Wyobraźmy sobie metodę szacowania strat na przykład utraty renomy. Szacowanie tego typu strat, o ile w ogóle jest moŝliwe, jest bardzo kłopotliwym zadaniem. NaleŜy zaznaczyć, iŝ nie ma Ŝadnej narzuconej metody jak powinno się liczyć takie straty brak równieŝ jakichkolwiek standaryzacji, a to sprawia, Ŝe próby oszacowania tego typu strat oraz osiągnięte wyniki mogą być kontrowersyjne. Na szczęście większość strat takich jak serwis, kary prawne czy utrata dochodu (spowodowana np. zaprzestaniem produkcji) moŝna wycenić, oczywiście w miarę moŝliwości i dostępnych danych. 4 Mirosław Maj Koszty szacowania strat (Biuletyn NASK) Autor: Sławomir Kubit 7
Do strat których, nie moŝemy oszacować, zaliczamy między innymi spadek wizerunku firmy, oraz utratę klienta. Straty te mają charakter psychologiczny, co przekłada się na konsekwencje w długookresowych wynikach firmy. Zdarzyć się moŝe, Ŝe to właśnie te psychologiczne koszty mogą być groźniejsze w skutkach i bardziej dotkliwe dla firm niŝ straty pienięŝne. Marki nie moŝna wszak sobie kupić, trzeba ją wypracowywać przez lata, tak samo jak zaufanie klienta do firmy. Oszacowanie rzeczywistych skutków tych strat leŝy zatem w interesie firmy poszkodowanej. Po krótkim wprowadzeniu oraz opisaniu problemu czas na odpowiedź na nasuwające się pytanie w jakim celu kalkulować straty? Co daje nam szacowanie? Uświadamia nam, jakiej wielkości straty ponosimy za pomocą prostych obliczeń (formuła ROSI) moŝemy sprawdzić, ile zyskalibyśmy, a właściwie nie stracilibyśmy, implementując odpowiedni system zabezpieczeń. Informacja, jakiego rzędu jest to strata, jest niezbędna do postępowania prawnego oraz do nadania rangi sprawie. Dane na temat incydentów oraz strat pozwolą na dobór optymalnego dla danej jednostki systemu zabezpieczeń. Pomaga ustalać trendy oraz uświadamiać skalę zjawiska. Systematyczne zbieranie informacji będzie bardzo przydatne dla firm w określeniu planów długoterminowych w postaci inwestycji Zwrot z inwestycji moŝemy obliczyć z prostego wzoru, wykorzystując metodę ROSI (z ang. Return on Security Investment): ROSI = R (ALE), gdzie: R roczne koszty odzyskania poniesionych strat, ALE (z ang. Annual Loss Expentancy) roczne spodziewane straty, ALE = T + (R - E), gdzie: T koszt zakupu narzędzi do wykrywania zagroŝeń (koszt inwestycji), E oszczędności wynikające z prewencji. Autor: Sławomir Kubit 8
2. Dostępne metody Zagadnienie dotyczące szacowania strat powstałych w wyniku ataków komputerowych niestety nie cieszy się duŝym zainteresowaniem. Co warto podkreślić wszystkie dostępne metody, które zostaną opisane, zostały stworzone przez Amerykanów. Wydaje się, Ŝe sprawa jest w Polsce bagatelizowana. Często słyszy się: faktycznie, problem bezpieczeństwa istnieje, ale nie jest to problem mój. Takie podejście moŝe okazać się katastrofalne w skutkach. Dostępne metody podzielone zostały na dwie grupy metody rozwinięte i metody proste. Podział ten został zastosowany ze względu na fakt, iŝ niektóre metody są obszernymi opracowaniami wraz z metodami zbierania informacji oraz dokładnymi opisami incydentów, a niektóre to proste, lecz przydatne narzędzia. Do metod rozwiniętych zaliczamy projekt ICAMP I, wraz z jego kolejną wersją ICAMP II. ICAMP (Incident Cost Analysis and Modeling Project) projekt ten stworzony został na Uniwersytecie w Michigan pod kierownictwem: Scotta Ziobro, Stephena Deering, Amy Fazio pod patronatem Virgini Rezmierski. Do czasu tworzenia projektu ICAMP, czyli do 1997 roku, nie było praktycznie Ŝadnej znanej metody szacowania strat. Celem projektu ICAMP było wynalezienie metodologii, która pozwoliłaby zrozumieć czynniki wpływające na występowanie i na koszty incydentów w akademickim środowisku komputerowym. Kolejnym celem było ukazanie wielkości i znaczenia całkowitych strat. Do stworzenia projektu posłuŝyło 30 ataków przeprowadzonych właśnie na uczelnie. Fakt ten mógł spowodować, Ŝe niektóre waŝne czynniki zostały pominięte przy budowaniu metody szacowania strat. Dokumentacja ICAMP-u liczy setki stron i zawiera dokładne opracowanie tematu. Opisuje wnikliwie wszystkie incydenty brane pod uwagę podczas tworzenia metodologii oraz oblicza koszty kaŝdego takiego incydentu. Autor: Sławomir Kubit 9
Twórcy ICAMP podkreślają, Ŝe metodą tą nie oszacujemy dokładnie strat danego incydentu, a jedynie moŝemy je podać w przybliŝeniu. ICAMP II (Incident Cost Analysis and Modeling Project) powstał w 1999 roku w głównej mierze dzięki pomocy USENIX 5. ICAMP II to rozszerzenie pierwszego projektu. Szacowaniu zostały poddane inne, nowe incydenty, a metoda zawiera nowy sposób liczenia strat poniesionych ze strony uŝytkowników. Nowe dodatkowe cele CAMPII: Wprowadzenie wytycznych do analizy kosztów związanych z atakami komputerowymi. Poprzez uŝycie szablonu zespół IT moŝe oszacować, a później zanalizować koszty. Szablon słuŝy do zbierania informacji na temat incydentu. Analizowanie danych w celu pogrupowania/klasyfikowania incydentów oraz w celach statystycznych: określenie częstości pojawiania się danego incydentu Wprowadzenie schematu grupującego incydenty ułatwianie klasyfikacji. Odnalezienie schematów ataków komputerowych oraz moŝliwości powtarzania się danego incydentu. Do metod prostych zaliczamy niewielkie opracowania oraz aplikacje posiadające algorytmy szacowania strat. Metod takich jest duŝo, najczęściej są to mechanizmy pozwalające na obliczenie przybliŝonych strat spowodowanych przez atak komputerowy przy wprowadzeniu niewielkiej liczby danych. Metody te mają często charakter komercyjny i są umieszczane na witrynach firm zajmujących się zabezpieczaniem systemów. W celu zaprezentowania tego typu metod wybrane zostały cztery róŝne metodologie: CICA, Baseline Calculator, CMS Virus Calculator & Spam Calculator, Postini Calculator. Wszystkie metody, zarówno scharakteryzowane w kolejnym rozdziale. ICAMP, jak i metody proste zostały dokładnie 5 USENIX - Advanced Computing Systems Association. Autor: Sławomir Kubit 10
II. Wybór metodologii optymalnej Rozdział ten rozpoczniemy od zestawienia potencjalnych strat, jakie ponosi firma lub jednostka. Dalej opisane zostaną kolejno: jedna rozwinięta i cztery podstawowe metody szacowania strat. W celu przejrzystości i łatwości porównania metod został zastosowany szablon. Następnie za pomocą zaproponowanych kryteriów i przydzielenia im odpowiednich wag wybierzemy metody najlepsze, które w dalszej części opracowania zostaną wykorzystane do stworzenia metodologii własnej. 1. Potencjalne straty Przed przedstawieniem i oceną metod naleŝy zapoznać się z potencjalnymi rodzajami strat, jakie firma lub zwykła osoba moŝe ponieść. Rodzaje tych strat przedstawione są w poniŝszej tabeli z podziałem na jednostkę, która je ponosi. Podkreślić naleŝy, iŝ przedstawione konsekwencje finansowe to zarówno wartości, które moŝemy łatwo oszacować, jak i te, których szacowanie jest niezwykle trudne lub kontrowersyjne. Tabela ta ułatwi nam ocenę metodologii względem wziętych pod uwagę strat. Tabela 1 - Potencjalne straty Firma koszt związany z utraconym czasem (utrata produktywności pracowników), serwis przywrócenie systemu, wymiana sprzętu oraz oprogramowania, kary prawne, utrata dochodu, zaprzestanie pracy (produkcji itd.) utrata danych (ponowna praca lub odzyskiwanie danych), Osoba indywidualna koszt związany z utraconym czasem (koszt utraconych moŝliwości), serwis, wymiana sprzętu oraz oprogramowania, kary prawne, utrata danych (ponowna praca lub specjalistyczne odzyskiwanie danych), kradzieŝ informacji. Autor: Sławomir Kubit 11
odzyskania poniesionych strat na rynku (utrata klienta itp.), koszt alternatywny, kradzieŝ informacji, utrata pracownika, Spadek/utrata wizerunku firmy, Utrata wierności klienta. Źródło: Opracowanie własne 2. Charakterystyka metod Nazwa metody: ICAMP Opis: Metoda ta powstała w 1997 roku, a dwa lata później została udoskonalona. Stworzona została przez amerykańską uczelnię i właśnie na podstawie incydentów związanych z atakami komputerowymi, jakie miały tam miejsce, została stworzona metodologia szacowania strat. Projekt ICAMP posiada metodologię zbierania informacji na temat incydentów. Wykorzystane zostały szablony zawierające informacje o: typie incydentu; czasie trwania; sektorach firmy, których dotyczył; podjętych działaniach; osobach zajmujących się problemem; stawkach pracowników itd. NaleŜy podkreślić, Ŝe wskaźniki, których uŝyto do obliczania całkowitych strat, są odpowiednie wyłącznie dla realiów amerykańskich uczelni. Wykorzystanie tej metody do obliczania strat innej jednostki moŝe dać wynik znacznie róŝniący się od rzeczywistego. Metodologia szacowania strat: KC = KCP + KU + KK + WU KCP = (KZ + KT) * 1.28 * 1.52 Autor: Sławomir Kubit 12
o KC koszt całkowity. o KCP całkowity koszt pracowników. o KU koszt związany z brakiem moŝliwości wykonywania pracy przez uŝytkowników. Twórcy podkreślają, Ŝe jest to jeden z kosztów najtrudniejszych do szacowania. Niełatwo bowiem oszacować, ile kosztuje stracony czas uŝytkownika. W projekcie ICAMP I załoŝono, Ŝe wartości takie podawane będą w przybliŝeniu (np. koszt straty czasu przez studenta wynosi 6$ na godzinę). W ICAMP II wartości te postanowiono obliczyć za pomocą zmiennych określających: koszt połączenia z internetem oraz chęć zapłacenia za godzinę nauki. o KK koszt konsultantów pracujących nad rozwiązaniem problemu (spoza uczelni). o WU wydatki uboczne, w tym koszty związane z zakupem nowego sprzętu i/lub oprogramowania. o KZ koszty poniesione przez: wydziały, personel, zatrudnionych studentów (ogólnie: przez pracowników). Według twórców ICAMP, aby obliczyć rzeczywisty koszt pracowników naleŝy podzielić roczne zarobki pracownika przez 52 (tygodnie) następnie przez 40 (godziny pracy w tygodniu). Otrzymujemy rzeczywisty zarobek na godzinę. Stawka ta, dla kaŝdego pracownika (którego dotyczył incydent) jest mnoŝona przez ilość straconych przez niego godzin. Następnie, stosując medianę oraz przedziały, oblicza się całkowity koszt pracowników. Koszt ten został objęty moŝliwym błędem +/ 15%. o KT koszt pracowników technicznych zatrudnionych na uczelni. o 1,28 stały wskaźnik ustalony przez ICAMP wyraŝający utratę dochodów. Ustalona eksperymentalnie miara 28% to reprezentatywna miara dla kaŝdej uczelni branej pod uwagę w projekcie. Jest to współczynnik związany z wydatkami, jakie muszą być poniesione, aby przywrócić do pełnej wydajności pracy uŝytkowników systemu. o 1.52 wskaźnik pośredniego kosztu (ICR 6 ). Zastosowanie i przydatność: Metoda wykorzystana została przede wszystkim na uczelniach amerykańskich. Projekt ICAMP I dotyczył kilku uczelni, natomiast ICAMP II dotyczył juŝ 11. Zastosowanie tej metody ogranicza się właśnie do takiego typu jednostek, głównie ze względu na zastosowane wskaźniki. 6 ICR indirect cost rates. W dokumentacji projektu ICAMP nie wyjaśniono, jak ten wskaźnik zastał obliczony, ani czym jest dokładnie koszt pośredni. Wskaźnik ten podnosi całkowite koszty pracowników aŝ o 52%. Autor: Sławomir Kubit 13
Przydatność tej metody wzrośnie, jeŝeli spróbujemy wprowadzić zmienne zamiast stałych wskaźników, wzór wygląda wówczas następująco: KC = ((KZ + KT) *x)*y + KU + KK + WU Metodę tę oznaczymy jako ICAMP* zostanie wzięta pod uwagę przy wyborze metody optymalnej. NaleŜy podkreślić, Ŝe metoda ta uwzględnia koszty uŝytkowników, które wliczane są do całkowitego kosztu incydentu. JeŜeli liczylibyśmy koszty, jakie ponosi wyłącznie uczelnia (dana firma), wówczas koszty te nie powinny zostać wzięte pod uwagę. PoniŜej przedstawiony został przykład obliczania kosztów incydentu metodą ICAMP: Koszt pracowników Tabela C-40 Pozycja Godziny Koszt/h Suma -15% 15% Analityk incydentu 43 $15,68 $674,24 $573,10 $775,38 Administrator systemu 3,75 $25 $93,75 $79,69 $107,81 Konsultant 1 $24,95 $24,95 $21,21 $28,69 Wsparcie zewnętrzne 10 $18,63 $186,30 $158,36 $214,25 Personel 0,833 $15 $12,50 $10,62 $14,37 Suma 58,583 $991,74 $842,97 $1 140,50 Korzyści @ 28% $277,69 $236,03 $319,34 Suma (Płace i korzyści) $1 269,42 $1 079,01 $1 459,83 Koszt pośredni $660,10 $561,09 $759,12 Całkowity koszt robocizny $1 929,52 $1 640,09 Mediana kosztu +/- 15% $1 929,52 $289,43 (+/-) Koszt uŝytkowników Tabela C-41 Liczba uŝytkowników Godziny Koszt/h Suma -15% 15% 12 80 $12,00 $960,00 $816,00 $1 104,00 Całkowity koszt uŝytkow. $960,00 $816,00 $1 104,00 Mediana kosztu $960,00 $144,00 (+/-) Autor: Sławomir Kubit 14
Koszt Całkowity Koszt pracowników $1 929,52 $289,43 Koszt uŝytkowników $960 $144,00 Mediana kosztu $2 889,52 $433,43 (+/-) Podstawiając do wzoru: KC = ((KZ + KT) * 1.28)*1.52 + KU + KK + WU = $1929,52 + $960 + 0 + 0 = $2889,52 Zalety i wady metody: Zalety o duŝa róŝnorodność kosztów wziętych pod uwagę, o dokładnie zdefiniowane składowe metody, o metoda ułatwia zbieranie danych potrzebnych do szacowania strat. Wady o mały zakres zastosowania ogranicza się do akademii. Spowodowane jest to głównie narzuconymi wskaźnikami. o wykorzystanie ICR oraz wliczanie kosztów uŝytkowników do kosztów całkowitych moŝe spowodować odchylenie wartości obliczanej od wartości rzeczywistej kosztów. Autor: Sławomir Kubit 15
Nazwa metody: CICA Opis: CICA (Cyber Incident Cost Assessment) powstała w 2002 roku, jest metodą nieco bardziej skomplikowaną niŝ CAMP. Posiada bardziej złoŝony podział kosztów. Metodologia szacowania strat: KC = HC + SC HC = FC + VC SC = FC + VC FC = CF + R&D/C VC = OC + NR&D/C o Koszty całkowite (KC) dzielone są na dwie główne grupy: hard costs (HC), czyli koszty twarde oraz soft costs (SC), koszty miękkie. o Koszty twarde są to koszty straconych godzin pracy oraz godzin pracy potrzebnych do zlikwidowania zagroŝenia. Do strat tych zaliczamy równieŝ koszty wymiany sprzętu i/lub oprogramowania. Koszty twarde liczmy ze wzoru: HC = FC + VC FC koszty stałe (opłaty) VC koszty zmienne (liczba godzin pracy) o Koszty miękkie są to koszty związane z brakiem potencjalnych przychodów. Koszty miękkie liczymy z tego samego wzoru co twarde, jednak straty te są trudniejsze do oszacowania. SC = FC + VC, gdzie FC = CF + R&D/C i VC = OC + NR&D/C CF koszty zaufania pracowników. R&D/C koszty badań i rozwoju / zuŝycie (koszty poniesione w trakcie badań utracone dane). OC potencjalne koszty NR&D/C koszty nowych badań i rozwoju. AC koszty dodatkowe jak: szkolenie pracowników. Autor: Sławomir Kubit 16
Końcowy wzór kosztów całkowitych ma postać: KC = HC(FC + VC) + SC(FC(CF + R&D/C) + VC(OC + NR&D/C)) Po obliczeniu kosztów, CICA umoŝliwia obliczenie AVO (Asset Value of the object): AVO = KC + SP + CAI SP (Shadow Pricing) metoda ustalania ceny za dany produkt/usługę. Wykorzystywana, gdy firma nie wie, jak obliczyć koszt rzeczywisty tego produktu bądź usługi. CAI (Cost accounting) rachunek kosztów własnych, moŝe być uŝyty do ustaleń inwestycyjnych. Zastosowanie i przydatność: brak danych Zalety i wady metody: Zalety o duŝa róŝnorodność kosztów wziętych pod uwagę, o brak stałych wskaźników mogących przyczynić się do odchylenia wartości rzeczywistych kosztów. Wady o skomplikowany podział kosztów i ich definicji sprawia, Ŝe metoda jest trudna do liczenia, a tym bardziej do wykorzystania w aplikacji, o brak informacji na temat pozyskiwania danych i ich szacowania (na przykład strata związana ze zmienną CF, czyli zaufaniem pracowników) Autor: Sławomir Kubit 17
Nazwa metody: Baseline Calculator 7 Opis: Metodę tę, wraz z aplikacją w postaci kalkulatora, stworzył David Lawson z organizacji Greenwich Technology Partners. Kalkulator pozwala oszacować koszt incydentu, a następnie pozwala obliczyć, o ile koszty zmaleją, jeśli byśmy zaimplementowali określone zabezpieczenia (w zaleŝności od poziomu zabezpieczeń). Narzędzie ma równieŝ na celu uświadomić, jak wielkie są korzyści stosowania systemów zabezpieczeń. Metodologia szacowania strat: KC = Q + U Q = M + N + P U = R * S * T M = D * E * H * J N=D*F*G*H*K P = D * E * H * L D = (A / B) / C KC koszt całkowity, A roczny dochód firmy, B liczba pracowników zatrudnionych w firmie, C średnia roczna ilość godzin pracy jednego pracownika, D produktywność pracownika, E liczba zainfekowanych stacji roboczych, F liczba zainfekowanych serwerów, G średnia liczba uŝytkowników na serwer, H ile godzin przed zainfekowaniem utworzone były kopie zapasowe, J procent pracy jaki stracili pracownicy (jeŝeli dany pracownik wykonuje ¼ pracy na komputerze to stracił 25%), K procent straty produktywności, który wynikał z utraty serwera, 7 Metoda pochodzi z witryny http://www.baselinemag.com/article2/0,1540,1125270,00.asp Autor: Sławomir Kubit 18
L procent straty produktywności, który wynikał z utraty dostępu do internetu, M poniesiony koszt w odniesieniu do uŝytkownika, N poniesiony koszt w odniesieniu do zaprzestania działania serwera, P poniesiony koszt w odniesieniu do utraty dostępu do internetu, R liczba pracowników technicznych pracujących przy odzyskiwaniu systemu, S liczba godzin pracowników technicznych, T średnie wynagrodzenie za godzinę pracy pracownika technicznego, U koszty odzyskiwania systemu, Q koszt utraconej produktywności. Dodatkowo kalkulator Lawsona pozwala na: obliczenie, jaki koszt poniesie firma niestosująca zabezpieczeń: Z = V * KC, gdzie V to prawdopodobieństwo ataku, obliczenie, o ile zmaleje koszt, gdy firma zastosuje zabezpieczenia na określonym poziomie: Z W * KC. Zastosowanie i przydatność: Aplikacja w postaci arkusza Excel pozwala na przykładowe obliczenie kosztów ataku. Zalety i wady metody: Zalety o dzięki prostemu podziałowi kosztów obliczenia są nieskomplikowane, o etapowość obliczania oraz rozgraniczenie kosztów pozwala stwierdzić, które koszty były znaczące, a które nie, o brak narzuconych wskaźników. Wady o Średnia róŝnorodność kosztów wziętych pod uwagę, Przykład omawianego kalkulatora przedstawiony jest na kolejnej stronie. Szacuje on straty spowodowane atakiem SQL Slammer na międzynarodową firmę produkcyjną. Autor: Sławomir Kubit 19
Narzędzie: Zalety zabezpieczenia systemu Przykład Jaki dochód roczny generuje Twoja firma? Całkowita sprzedaŝ - koszt dóbr sprzedanych $ 8 000 000 000 Ilu pracowników zatrudnia Twoja firma? 30 000 Średnio, ile godzin rocznie pracuje pracownik? 1 840 Produktywność pracownika na godzinę (A B) C 145 Ilu stacji roboczych dotyczył atak? 6 000 Ilu serwerów dotyczył atak? 150 Średnio, ilu uŝytkowników obsługuje serwer? 200 Na ile godzin przed atakiem zostały utworzone kopie zapasowe? 16 Jaki procent pracy stracili pracownicy? Np.: jeŝeli pracownik wykorzystuje komputer do 2/3 zadania, to stracona produktywność to około 66%. Jaki procent straty produktywności wynikał z utraty serwera? 30% Jaki procent straty produktywności wynikał z utraty dostępu do Internetu? 30% Poniesiony koszt w odniesieniu do uŝytkownika D x E x H x J $ 9 739 130 Poniesiony koszt w odniesieniu do zaprzestania działania serwera D x F x G x H x K $ 20 869 565 Poniesiony koszt w odniesieniu do utraty dostępu do internetu D x E x H x L $ 4 173 913 Koszt utraconej produktywności M + N + P $ 34 782 609 Ilu pracowników technicznych pracowało przy odzyskiwaniu systemu? 50 Ile godzin potrzebowali na tę czynność? 32 Średnio, ile wynosi wynagrodzenie za godzinę pracy pracownika technicznego? $ 75 Koszty odzyskiwania systemu R x S x T $ 120 000 Jakie jest prawdopodobieństwo, Ŝe taki incydent będzie mieć miejsce w tym roku? 60% Jakie jest prawdopodobieństwo, jeŝeli będą podstawowe zabezpieczenia? 50% Jakie jest prawdopodobieństwo, jeŝeli będą średnie zabezpieczenia? 40% Jakie jest prawdopodobieństwo, jeŝeli będą najlepsze zabezpieczenia? 30% Ryzyko, w dolarach, w firmie bez zabezpieczeń V x (Q +U) $ 20 941 565 O tyle zmaleje koszt, jeŝeli zaimplementujemy podstawowe zabezpieczenia Z - (W x (Q + U)) O tyle zmaleje koszt, jeŝeli zaimplementujemy średnie zabezpieczenia Z - (X x (Q + U)) O tyle zmaleje koszt, jeŝeli zaimplementujemy najlepsze zabezpieczenia Z - (Y x (Q + U)) Źródło: GREENWICH TECHNOLOGY PARTNERS, U.S. GEOLOGICAL SURVEY, BASELINE RESEARCH 70% $ 3 490 261 $ 6 980 522 $ 10 470 783 Autor: Sławomir Kubit 20
Nazwa metody: CMS Virus Calculator oraz Spam Calculator 8 Opis: CMS (ang. Computer Mail Services) to międzynarodowa firma prywatna zajmująca się tworzeniem programów antyspamowych, filtrujących oraz narzędzi do parsowania logów. W celu uświadamiania klienta o problemie, firma ta postanowiła umieścić na witrynie internetowej proste kalkulatory do zliczania kosztów wirusów, które dostają się przez pocztę elektroniczną, oraz do zliczania kosztów spamu. Metodologia szacowania strat: Kalkulator do szacowania kosztów po ataku wirusa: KC = KP + KPT KP = Wsk * (LP * LM * PH) KPT = LPT * PHT * LG KC koszt całkowity. KP koszt pracowników. Do obliczania kosztów związanych z pracownikami zastosowany został wskaźnik 9. Czynniki brane pod uwagę: LP liczba pracowników mających dostęp do poczty elektronicznej, LM liczba minut poświęcana dziennie przez kaŝdego pracownika na odbieranie poczty (do wzoru podajemy część godziny np. 30 min to 0,5 h), PH średnia płaca za godzinę. KPT koszt pracowników technicznych. Czynniki brane pod uwagę: LPT liczba pracowników technicznych, PHT średnia płaca za godzinę pracownika technicznego, LG liczba godzin potrzebnych do zlikwidowania wirusa. 8 Metoda pochodzi z witryny http://www.cmsconnect.com/marketing/viruscalc.htm 9 Z powodu braku informacji na temat algorytmu szacowania, wyprowadzony został wzór wykorzystujący dany wskaźnik. Stała wartość wskaźnika to 0,4167. Autor: Sławomir Kubit 21
Kalkulator do szacowania strat powodowanych przez spam: KC = LP * LD * Wsk * (PH * LSP* LS) KC koszt całkowity, LP liczba pracowników mających dostęp do poczty elektronicznej, LD liczba dni pracujących, Wsk wskaźnik stały 10, PH średnia płaca za godzinę, LSP średnia dzienna liczba spamu przypadająca na 1 uŝytkownika, LS liczba sekund, jaką tracimy na 1 wiadomość spam. Zastosowanie i przydatność: Kalkulator zastosowany dla potrzeb zarówno uświadamiających, jak i promujących produkty firmy. Dodatkowa funkcja kalkulatora pozawala na obliczenie, po ilu dniach (a nawet godzinach!) zwraca się koszt zakupu ich oprogramowania. Bardzo prosty i wygodny w uŝyciu. Zalety i wady metody: Zalety o funkcja zliczająca koszty spamu, o funkcja zliczająca koszty wirusów, o metoda prosta w obliczaniu. Wady o wskaźniki mogą wypaczać rzeczywiste wartości całkowitych kosztów spamu i wirusów, o brak danych na temat sposobu liczenia, o zastosowanie niewielkie ze względu na charakter kalkulatora: słuŝy wyłącznie do obliczeń strat związanych ze spamem oraz wirusami przesyłanymi pocztą elektroniczną. PoniŜej przykład obliczania kosztów firmy, w której 1000 pracowników korzysta z poczty elektronicznej: 10 Z powodu braku informacji na temat algorytmu szacowania, wyprowadzony został wzór wykorzystujący dany wskaźnik wynoszący 0,000278. Autor: Sławomir Kubit 22
Koszty wirusa: Źródło: Opracowanie własne. Koszty spamu: Źródło: Opracowanie własne. Jak widzimy, suma kosztów jednego ataku wirusa oraz rocznych kosztów spamu dla powyŝszych danych to 38700 euro, czyli około 150 000 złotych. Autor: Sławomir Kubit 23