Metody szacowania strat powstałych w wyniku ataków komputerowych



Podobne dokumenty
Raport CERT NASK za rok 1999

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

System Zarządzania Procesami Bezpieczeństwa - CRIMSON. Warszawa, luty 2017

Metody szacowania strat powstałych w wyniku ataków komputerowych

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

Why do I need a CSIRT?

Tomasz Chlebowski ComCERT SA

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Kluczowe pojęcia w SW

Information Protection Center jako forma organizacyjna w odpowiedzi na stale rosnące zagrożenia bezpieczeństwa

Jak patrzymy na testy czyli Jak punkt widzenia zależy od punktu siedzenia. Click Piotr Kałuski to edit Master subtitle style

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

Nasza oferta oszacuj koszty i swoje szanse w procesie

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Wytyczne dotyczące granic umów

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

ZARZĄDZANIE RYZYKIEM CYBERNETYCZNYM NASZE ROZWIĄZANIA

I. O P I S S Z K O L E N I A

Bezpieczeostwo sieci.

CYBER GUARD PRZEWODNIK PO PRODUKCIE

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu

CYBER-BEZPIECZEŃSTWO ZAGROŻENIA - DETEKCJA - PROFILATKTYKA - ZABEZPIECZENIA - PREWENCJA

Osiąganie pewności kosztów a zastosowanie innowacyjnych technologii

Wpisany przez Admin Piątek, 21 Październik :49 - Zmieniony Poniedziałek, 07 Listopad :56

Zdobywanie fortecy bez wyważania drzwi.

Projekt EISAS. Współpraca w celu podnoszenia świadomości obywateli EU i kadry MŚP. Katarzyna Gorzelak

Ekonomia bezpieczeństwa. Paweł Krawczyk

B. Semestralny/tygodniowy rozkład zajęć według planu studiów Zajęcia Wykłady. Seminaria Semestr. terenowe (W) (Ć) (L) (P/S) (S) (T)

Bezpieczeństwo cybernetyczne

IAA POLSKA PARTNER MERYTORYCZNY CMO SUMMIT 2018 PARTNER MERYTORYCZNY

Rola Banku w pozyskiwaniu funduszy unijnych przez MŚP. Departament Małych Firm Michał Surówka

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

Kompleksowe Przygotowanie do Egzaminu CISMP

Usługa: Audyt kodu źródłowego

SYSTEM FOTOWOLTAICZNY DLA FIRMY GOPOWER

Ocena kosztów zakłóceń dostaw energii elektrycznej i ich wpływ na system elektroenergetyczny, gospodarkę oraz społeczeństwo w Polsce.

Ile kosztuje stres w pracy?

Zarządzanie Projektami Inwestycyjnymi

Fujitsu World Tour 2018

WYBRANE DANE FINANSOWE 3 kwartały Zasady przeliczania podstawowych pozycji sprawozdania finansowego na EURO.

PLAN AUDYTU WEWNĘTRZNEGO URZĘDU MIASTA KATOWICE NA ROK 2006

OCENA FUNKCJONOWANIA PRZEDSIĘBIORSTWA W OBSZARZE BEZPIECZEŃSTWA I HIGIENY PRACY Z WYKORZYSTANIEM WSKAŹNIKÓW WYNIKOWYCH I WIODĄCYCH

Ochrona biznesu w cyfrowej transformacji

Innowacyjne zamówienia publiczne korzyści z robienia czegoś inaczej

RAPORT Polak w drodze 2.0 wydatki kierowców

System optymalizacji produkcji energii

Świadomy Podatnik projekt Rady Podatkowej PKPP Lewiatan.

RAPORT DLA PANA MICHAŁA KOWALSKIEGO

epolska XX lat później Daniel Grabski Paweł Walczak

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

INSTRUKCJA DLA NGO: JAK WYPEŁNIĆ OFERTĘ REALIZACJI ZADANIA PUBLICZNEGO?

Ilustracja metody Monte Carlo do obliczania pola obszaru D zawartego w kwadracie [a, b] [a, b].

I. w zakresie ustawy o pomocy osobom uprawionym do alimentów: art. 1:

INSTALACJA SOLARNA DLA P. MICHAŁA NOWAKA

Polskie firmy coraz bardziej zagrożone przez hakerów. Warszawa, 14 listopada 2017 r.

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Wszyscy zapłacimy za politykę klimatyczną

Czy zarządzać bezpieczeństwem IT w urzędzie?

Spis treści. Wstęp... 9

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Zapytanie ofertowe nr 1/POIG 8.2/2013

Wydatki na bezpieczeństwo systemów informatycznych. Inwestycja czy koszt funkcjonowania systemu?

POROZUMIENIA PRZEDSIĘBIORCÓW DLA OPAKOWAŃ WIELOMATERIAŁOWYCH I OPAKOWAŃ PO ŚRODKACH NIEBEZPIECZNYCH

Zmiany w strukturze dochodów polskiego sektora bankowego po wejściu do strefy euro. Sylwester Kozak Departament Systemu Finansowego

Monika Antonowicz Departament Programów Pilotażowych PARP. Wsparcie na uzyskanie grantu

Bezpieczeństwo systemów komputerowych

Wsparcie na uzyskanie grantu edycja 2015

C)IHE - Certified Incident Handling Engineer

Dlaczego należy oceniać efektywność systemów wynagradzania? Kraków, r. Renata Kucharska-Kawalec, Kazimierz Sedlak

Wprowadzenie do systemów informacyjnych

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Objaśnienia przyjętych wartości do Wieloletniej Prognozy Finansowej na lata

Ubezpieczenie Cyber ERM w Chubb

KONTROLA PROJEKTU METODĄ EVM

Wyższy poziom bezpieczeństwa

Dla kogo kontrakt serwisowy?

Kursy Intensywne Erasmusa IP 2011

CREDIT MANAGEMENT PODSTAWY OFERTA SZKOLENIOWA. Polski Instytut Credit Management

Opis szkolenia. Dane o szkoleniu. Program. BDO - informacje o szkoleniu

Zarządzanie Projektami zgodnie z PRINCE2

Co to jest FORWARD? Do czego służy FORWARD?

DOKUMENT INFORMACYJNY COMARCH BUSINESS INTELLIGENCE:

Analiza Ryzyka - wytyczne ISO/IEC TR 13335

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Reasekuracja a zdarzenia katastroficzne. Warszawa, r.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Kontrola ryzyka. Katedra Mikroekonomii WNEiZ US

Bezpieczeństwo danych w sieciach elektroenergetycznych

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

Oferta handlowa P.H.U. WIFICON.PL

Korzyści z budowy środowiska sprzyjającego innowacjom finansowym

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Idea Bezpiecznej Maszyny w prostym podejściu. użyj Safety Evaluation Tool. Safety Integrated.

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

ROLA DORADCY. Proces realizacji przedsięwzięć Partnerstwa Publiczno-Prywatnego

Metody szacowania opłacalności projektów (metody statyczne, metody dynamiczne)

KLASA O PROFILU MATEMATYCZNO-INFORMATYCZNYM

Transkrypt:

Metody szacowania strat powstałych w wyniku ataków komputerowych Mirosław Maj, CERT Polska Jeśli czegoś nie wiemy to nie znaczy, że tego nie ma. David A. Dittrich

Plan wystąpienia Problem szacowania strat Korzyści wynikające z szacowania strat Metoda obliczania strat Elementy obliczeń Problemy z metodą obliczeń

Problem szacowania strat TEGO SIĘ NIE DA OBLICZYĆ!!! TO SIĘ DA OBLICZYĆ!!! AnnaKurnikova 166 827 USD (trzy przypadki) CodeRed i Nimda 13,2 mld USD Raport CSI/FBI 1 004 135 495 USD Sprawa w Krakowie (listopad 2000) 5 000 PLN

Dlaczego nie oblicza się strat? Brak wiedzy Brak chęci Brak lobby w kadrze zarządzającej

Jakie są korzyści? Pomoc w obliczaniu zwrotu inwestycji w bezpieczeństwo: ROSI = R ((R E) + T) T koszt inwestycji; E oszczędności z inwestycji, R wysokość strat Analiza kosztów konkretnych ataków np.: ile kosztowały nas ataki DoS? Pomocne w decyzjach dotyczących jak dysponować posiadane środki.

Jakie są korzyści? Pomocne w odzyskaniu strat przed sądem i przy współpracy z policją Pomocne w analizach wewnętrznych i zewnętrznych Trendy Wydatki Argumenty nacisku

Metody obliczania I-CAMP (Incident Cost Analysis & Modeling Project) Big Ten Universites CICA (Cyber Incident Cost Assessment) - EICAR Metody te są: Podobne Różnice podejście do elementów składowych [CICA definicje bardziej formalne i skomplikowane]

Elementy obliczeń ŁATWE Koszt pracowników technicznych Koszt użytkowników Koszt wymiany sprzętu Wydatki uboczne związane z incydentem TRUDNE Koszt odzyskania poniesionych strat Potencjalne straty dochodu Koszty zaimplementowania nowego zabezpieczenia Koszty dodatkowych szkoleń dla personelu Utrata reputacji Zwyżka stawek ubezpieczeniowych Koszty dodatkowego kredytu na pokrycie strat

Ogólnie o metodach Matematycznie trywialne Trudne do oszacowania kontrowersyjne w stosowaniu (kosztowniejsze w argumentacji) Warte do stosowania bo używane, nieformalne standardy I-CAMP prostsza CICA bardziej skomplikowana ze względu na definicje składowych

I-CAMP KC = (KPT + KUS + KPZ) x 1.28 + WU KC KPT KUS KPZ WU -koszt całkowity; - koszt pracowników technicznych, pracujących nad rozwiązaniem problemu; - koszt związany z brakiem możliwości pracy użytkowników systemu; - koszt pracowników zewnętrznej; - wydatki uboczne związane z incydentem (w tym koszty sprzętu oprogramowania); http://staff.washington.edu/dittrich/misc/intrusion_cost.xls

PLN KUS X 15 KPZ 2 WU 5 wypożyczenie sprzętu WU 4 telefony WU 3 delegacje KPT X 4 KPZ 1 WU 2 nowe programy WU 1 nowy sprzęt

KUS KUS PLN WU 5 WU 5 WU 4 KPZ 2 WU KPT 3 WU 2 KPZ 2 WU 4 WU 3 WU 2 KPT KPZ 1 WU 1 KPZ 1 WU 1 http://staff.washington.edu/dittrich/misc/intrusion_cost.xls

Jaką metodę stosować? Uwagi końcowe. Można wypracować własną Usunąć elementy nieprzekonywujące lub niemożliwe do oszacowania Dodać element znane i obliczone Najważniejsza jest solidność i dyscyplina Jeśli to możliwe wprowadzić elementy automatyzacji Korzystać z doświadczeń projektowych Ustalić konieczność stosowania Zlecić kontrolę audytowi wewnętrznemu Wykorzystywać uzyskane dane!!!

LITERATURA Cyber Incident Cost Assessment - Urs E. Gattiker - http://security.weburb.net/government/other/020625assesscostsinfosecincidents.pdf Intrusion Cleanup: What s the Cost? - Mark Joseph Edwards - http://www.ntsecurity.net/articles/index.cfm?articleid=25154 Estimating the cost of damages due to a security incident (FAQ) - Dave Dittrich - http://staff.washington.edu/dittrich/misc/faqs/incidentcosts.faqincident Cost Analysis and Modeling Project II (I-CAMP II) - Gale Berkowitz - http://www.usenix.org/publications/login/1999-6/icamp.html Incident Cost Analysis and Modeling Project - ICAMP I - Committee on Institutional Cooperatio - http://www.cic.uiuc.edu/groups/cic/archive/report/icamp-i.htm Incident Cost Analysis and Modeling Project - ICAMP II - Committee on Institutional Cooperation - http://www.cic.uiuc.edu/groups/cic/archive/report/icamp-ii.htm Strategies & Issues: Deciphering the Cost of a Computer Crime - Andrew Conry-Murray - http://www.networkmagazine.com/article/nmg20020401s0003 Finally, a Real Return on Security Spending - Scott Berinato - http://www.cio.com/archive/021502/security.html Calculating return on security investment - Scott Berinato - http://www.cio.com/archive/021502/security_sidebar_content.html

Pytania? Mirosław Maj <mirekm@cert.pl> CERT Polska, NASK ul. Wąwozowa 18 02-796 Warszawa Tel: (10 xx 22) 523 13 88 Fax: (10 xx 22) 523 13 99 http://www.cert.pl/

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres