Metody szacowania strat powstałych w wyniku ataków komputerowych Mirosław Maj, CERT Polska Jeśli czegoś nie wiemy to nie znaczy, że tego nie ma. David A. Dittrich
Plan wystąpienia Problem szacowania strat Korzyści wynikające z szacowania strat Metoda obliczania strat Elementy obliczeń Problemy z metodą obliczeń
Problem szacowania strat TEGO SIĘ NIE DA OBLICZYĆ!!! TO SIĘ DA OBLICZYĆ!!! AnnaKurnikova 166 827 USD (trzy przypadki) CodeRed i Nimda 13,2 mld USD Raport CSI/FBI 1 004 135 495 USD Sprawa w Krakowie (listopad 2000) 5 000 PLN
Dlaczego nie oblicza się strat? Brak wiedzy Brak chęci Brak lobby w kadrze zarządzającej
Jakie są korzyści? Pomoc w obliczaniu zwrotu inwestycji w bezpieczeństwo: ROSI = R ((R E) + T) T koszt inwestycji; E oszczędności z inwestycji, R wysokość strat Analiza kosztów konkretnych ataków np.: ile kosztowały nas ataki DoS? Pomocne w decyzjach dotyczących jak dysponować posiadane środki.
Jakie są korzyści? Pomocne w odzyskaniu strat przed sądem i przy współpracy z policją Pomocne w analizach wewnętrznych i zewnętrznych Trendy Wydatki Argumenty nacisku
Metody obliczania I-CAMP (Incident Cost Analysis & Modeling Project) Big Ten Universites CICA (Cyber Incident Cost Assessment) - EICAR Metody te są: Podobne Różnice podejście do elementów składowych [CICA definicje bardziej formalne i skomplikowane]
Elementy obliczeń ŁATWE Koszt pracowników technicznych Koszt użytkowników Koszt wymiany sprzętu Wydatki uboczne związane z incydentem TRUDNE Koszt odzyskania poniesionych strat Potencjalne straty dochodu Koszty zaimplementowania nowego zabezpieczenia Koszty dodatkowych szkoleń dla personelu Utrata reputacji Zwyżka stawek ubezpieczeniowych Koszty dodatkowego kredytu na pokrycie strat
Ogólnie o metodach Matematycznie trywialne Trudne do oszacowania kontrowersyjne w stosowaniu (kosztowniejsze w argumentacji) Warte do stosowania bo używane, nieformalne standardy I-CAMP prostsza CICA bardziej skomplikowana ze względu na definicje składowych
I-CAMP KC = (KPT + KUS + KPZ) x 1.28 + WU KC KPT KUS KPZ WU -koszt całkowity; - koszt pracowników technicznych, pracujących nad rozwiązaniem problemu; - koszt związany z brakiem możliwości pracy użytkowników systemu; - koszt pracowników zewnętrznej; - wydatki uboczne związane z incydentem (w tym koszty sprzętu oprogramowania); http://staff.washington.edu/dittrich/misc/intrusion_cost.xls
PLN KUS X 15 KPZ 2 WU 5 wypożyczenie sprzętu WU 4 telefony WU 3 delegacje KPT X 4 KPZ 1 WU 2 nowe programy WU 1 nowy sprzęt
KUS KUS PLN WU 5 WU 5 WU 4 KPZ 2 WU KPT 3 WU 2 KPZ 2 WU 4 WU 3 WU 2 KPT KPZ 1 WU 1 KPZ 1 WU 1 http://staff.washington.edu/dittrich/misc/intrusion_cost.xls
Jaką metodę stosować? Uwagi końcowe. Można wypracować własną Usunąć elementy nieprzekonywujące lub niemożliwe do oszacowania Dodać element znane i obliczone Najważniejsza jest solidność i dyscyplina Jeśli to możliwe wprowadzić elementy automatyzacji Korzystać z doświadczeń projektowych Ustalić konieczność stosowania Zlecić kontrolę audytowi wewnętrznemu Wykorzystywać uzyskane dane!!!
LITERATURA Cyber Incident Cost Assessment - Urs E. Gattiker - http://security.weburb.net/government/other/020625assesscostsinfosecincidents.pdf Intrusion Cleanup: What s the Cost? - Mark Joseph Edwards - http://www.ntsecurity.net/articles/index.cfm?articleid=25154 Estimating the cost of damages due to a security incident (FAQ) - Dave Dittrich - http://staff.washington.edu/dittrich/misc/faqs/incidentcosts.faqincident Cost Analysis and Modeling Project II (I-CAMP II) - Gale Berkowitz - http://www.usenix.org/publications/login/1999-6/icamp.html Incident Cost Analysis and Modeling Project - ICAMP I - Committee on Institutional Cooperatio - http://www.cic.uiuc.edu/groups/cic/archive/report/icamp-i.htm Incident Cost Analysis and Modeling Project - ICAMP II - Committee on Institutional Cooperation - http://www.cic.uiuc.edu/groups/cic/archive/report/icamp-ii.htm Strategies & Issues: Deciphering the Cost of a Computer Crime - Andrew Conry-Murray - http://www.networkmagazine.com/article/nmg20020401s0003 Finally, a Real Return on Security Spending - Scott Berinato - http://www.cio.com/archive/021502/security.html Calculating return on security investment - Scott Berinato - http://www.cio.com/archive/021502/security_sidebar_content.html
Pytania? Mirosław Maj <mirekm@cert.pl> CERT Polska, NASK ul. Wąwozowa 18 02-796 Warszawa Tel: (10 xx 22) 523 13 88 Fax: (10 xx 22) 523 13 99 http://www.cert.pl/