Tomasz Chlebowski ComCERT SA
sumaryczny koszt poprawnie oszacować koszty wynikające z incydentów (co jest czasem bardzo trudne) dopasować odpowiednie rozwiązania redukujące powyższe koszty wybrać takie rozwiązania, które spowodują, że suma powyższych kosztów będzie najmniejsza koszt incydentów koszt nakładów
Trzeba rozsądnie inwestować w bezpieczeństwo, i być przygotowanym na minimalizację kosztów incydentów, które na pewno nastąpią*, mimo dowolnie dużych i rozsądnych inwestycji w bezpieczeństwo. W zakresie optymalizacji procedur i procesów przygotowania na incydent warto skorzystać z profesjonalnego doradztwa * prawie na pewno już nastąpiły, a o tym jeszcze nie wiesz
W zasadzie wszystkie koszty są kosztami finansowymi koszty bezpośrednio wynikające z ataku paraliżujące/utrudniające sprzedaż (DoS, brak dostępu do narzędzi sprzedaży) zmniejszające efektywność pracy (przestoje, konieczność podjęcia innych działań) angażujące dodatkowe zasoby (informatyków, prawników, PR-u, zarządu) odszkodowawcze, pokrycie kosztów oszustw, koszty ścigania koszty długofalowe reputacja (brak zaufania, odejście klientów) obniżenie wartości marki TO NIE SĄ MAŁE KOSZTY
źródło: Ponemon 2014
źródło: Ponemon 2014
źródło: Ponemon 2014
źródło: Ponemon 2014
źródło: Ponemon 2014
Serwis aukcyjny o rocznych obrotach 1 mld zł ma przestój 3h (spowodowany atakiem DDoS) wczesnym wieczorem. Spadek obrotów o 1 mln zł, część z tych klientów już nie wróci. Firma zatrudniająca 1000 pracowników dostaje spam w ilości 10 maili/8h, który nie jest filtrowany. Obróbka 1 spamu trwa 10 sekund. Roczny koszt w utraconym czasie pracy to 610 tys. zł. Jeden z komputerów w firmie zatrudniającej 100 pracowników rozsyłał pornografię dziecięcą (będąc zombie bez wiedzy użytkowników). CBŚ zarekwirowało 3 komputery pracowników i serwer. Łączne straty (jedynie czas pracy, koszt odtworzenia środowiska) 150 tys. zł
Nie każdy atak kosztuje zaatakowanego tyle samo, aby określić wielkość strat należy uwzględnić m.in.: zasięg ataku (jakich działów firmy, lokalizacji, jednostek biznesowych, procesów dotyczył atak), jakie części firmy zostały zaangażowane wartość odtworzeniowa zniszczonych urządzeń, jeśli takie były koszt pracy pracowników, zarówno tych których produktywność została zmniejszona, jak i tych, którzy musieli zostać zaangażowani do minimalizowania skutków, naprawiania systemów, odtwarzania, itd. koszty pośrednie, narzuty, itp koszt utraty tajemnic firmy (know-how, tajemnice handlowe, ) wielkość odpowiedzialności prawnej lub kar umownych, których konieczność wypłaty spowodował incydent utracone przychody, zarówno od obecnych klientów jak i utracone szanse pozyskania nowych, koszty utraty klientów lub ich wierności spadek/utrata wizerunku firmy. koszty alternatywne (utracone pieniądze firma mogłaby np. zainwestować)
za Arbor (2014)
Trzeba porównać koszt inwestycji ze zmniejszeniem kosztów incydentów, wynikającym z poniesienia tej inwestycji. Ale głównym problemem przy liczeniu tego zmniejszenia jest poprawne oszacowanie (?*) prawdopodobieństwa ataku. * poprawniej może byłoby użyć słowa zgadnięcie. W języku angielskim jest taki wdzięczny zwrot: guesstimate
Dla przypadków częstych na podstawie własnego doświadczenia Dla przypadków rzadkich na podstawie średnich dla branży
Dlatego również niezmiernie ważne jest stałe monitorowanie bezpieczeństwa IT organizacji za pomocą źródeł wewnętrznych, jak i zewnętrznych (tu najefektywniejsza jest współpraca z CERT-ami) oraz umiejętność poprawnego zarządzania incydentami. Jest taka reguła kciuka : w standardowym przedsiębiorstwie 10% budżetu na IT powinno iść na bezpieczeństwo IT, a 10% tego ostatniego budżetu na poprawne zarządzanie incydentami (w tym współpracę z zewnętrznymi podmiotami w tym zakresie)
intel = threat intelligence (monitorowanie bezpieczeństwa) źródło: Ponemon 2014
Przykład: W Londynie jedynie w środkach transportu Mobilny publicznego pracownik (i taksówkach) gubionych jest miesięcznie 4 000 urządzeń mobilnych Trzeba sobie zadać pytanie: Czy mamy politykę bezpieczeństwa urządzeń mobilnych? MNOs Przedsiębiorstwo
Security intelligence systems = Security Operating Centre, SIEM z II linią GRC = Governance, Risk Management, and Compliance źródło: Ponemon 2014
Żeby zabudżetować wydatki na bezpieczeństwo, trzeba dobrze rozumieć, jakie ekonomiczne efekty realizacja zamierzonych inwestycji ma przynieść Istnieją metodyki, które pozwalają w sposób ilościowy pokazać efekt ekonomicznych zamierzonych inwestycji, w języku zrozumiałym dla CEO i CFO Największe korzyści daje aktywne monitorowanie bezpieczeństwa organizacji i przygotowanie na działanie w sytuacji ataku W dużej organizacji konieczne jest wdrożenie polityki bezpieczeństwa urządzeń mobilnych
proszę o pytania Tomasz Chlebowski tomasz.chlebowski@comcert.pl