Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush.com>
Tematy Skąd potrzeba bezpieczeństwa? Jak go mierzyć? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja
Źródła bezpieczeństwa Zewnętrzne Klienci łańcuch odpowiedzialności, SLA Przepisy prawa, konkurencja, reputacja Wewnętrzne Klienci wewnętrzni SLA Analiza ryzyka 10% szansy, że zapłacimy 10 mln zł kary Redukcja ryzyka jako inwestycja unikniemy straty 1 mln zł za jedyne 100 tys. zł
Racjonalne bezpieczeństwo (*) Chroni przed zagrożeniami Nie kosztuje więcej niż chronione dobra Drogi do irracjonalności Błędna ocena ryzyka Błędny wybór zabezpieczeń Skutki Strata pewna zamiast prawdopodobnej Chybione zabezpieczenia Błędna alokacja zasobów
Przykład wirusy Wirus 6 godzin przestoju/osobę 3 roczne etaty Naprawa 0,12 rocznego etatu Koszt: 130 tys. zł 1000 użytkowników Antywirus Strata 5 minut/dzień 5000 min/dzień 10 rocznych etatów Koszt: 440 tys. zł Rocznie Za jeden incydent!
Przykład szyfrowanie dysków 1000 użytkowników 60 kradzieży laptopów rocznie Średnio 80 rekordów osobowych/laptop Koszt obsługi 1 rekordu 115 zł Roczny koszt incydentów 552 tys. zł Full-Disk Encryption Roczna licencja 53 zł/laptop Koszt licencji 53 tys. zł Koszt wsparcia technicznego 12 tys. zł
Wskaźniki do oceny racjonalności ekonomicznej Zwrot z inwestycji ROI - Return on Investment Zwrot z inwestycji w bezpieczeństwo ROSI Return on Security Investment Inne danych wejściowe, to samo znaczenie Wynik mnożnik zainwestowanego kapitału
ROI vs ROSI G jak bardzo ograniczymy straty? [zł] C koszt zabezpieczenia [zł] E koszt ingorowania ryzyka [zł] S m skuteczność zabezpieczenia [%] S c koszt zabezpieczenia [zł] ROI G C C ROSI E S m S c S c
Przykład Logistyka (ROSI) Zabezpieczenie Prognozowane straty roczne Skuteczność Koszt ROSI Żadne 75,000.00 0% 0.00 0.00 Eskorta ochrony 1,000.00 98.70% 100,000.00-0.26 Telemetryka 2,000.00 97.30% 1,000.00 71.98
Przykład Logistyka (ROI) Zabezpieczenie Prognozowane straty roczne "Zysk" Koszt ROI Żadne 75,000.00 0.00 0.00 0.00 Eskorta ochrony 1,000.00 74,000.00 100,000.00-0.26 Telemetryka 2,000.00 73,000.00 1,000.00 72.00
Wyzwania Skąd dane wejściowe? Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe Dane obarczone dużym poziomiem niepewności Średnia, mediana, odchylenie standardowe Przedziały minimum-maksimum (widełki) Rząd wielkości Co wpływa na jakość wskaźnika? Analiza ryzyka Koszty incydentów Koszty zabezpieczeń
Wyzwania koszty incydentów Utracone korzyści Czas pracy, naruszenia SLA Kary i odszkodowania Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA Koszty naprawy i śledztwa Personel wew/zew, narzędzia śledcze
Wyzwania koszty zabezpieczeń Koszt wdrożenia Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana Koszty operacyjne Administracja, wsparcie techniczne Koszty zewnętrzne Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników
Zalety Możliwość porównania racjonalności ekonomicznej Podobnych zabezpieczeń Antywirus A versus antywirus B Różnych zabezpieczeń Edukacja użytkowników versus system wykrywania wycieków danych (DLP) Obiektywizacja kryteriów wyboru zabezpieczeń Fakty zamiast ogólników zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże... Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
Bezpieczeństwo a regulacja (*) Kilka rozpowszechnionych mitów Bezpieczeństwo jest najważniejsze Ale 100% bezpieczeństwa = 0% aktywności Każde działanie stanowi kompromis bezpieczeństwa Więcej bezpieczeństwa to lepiej Ale to także większy koszt i mniejsza efektywność Tylko X zapewni wysoki poziom bezpieczeństwa Ale czy tutaj potrzebujemy wysokiego poziomu?
Internetowe usługi finansowe Metoda autoryzacji Sektor konsumencki Ilość Sektor konsumencki Zalety i wady Sektor korporacyjny SMS 15 Łatwość użycia, bezpieczeństwo Niska niezaprzeczalność Sprzętowy token OTP 11 Wysokie koszty zarządzania Ochrona przed phishingiem, średnia niezaprzeczalność Wydruk OTP (TAN) 7 Podstawowa ochrona przed phishingiem Niska niezaprzeczalność Podpis elektroniczny 2 Wysoka cena (QES), kłopotliwe użycie Wysoki poziom niezaprzeczalności
Gwarancje na oprogramowanie Niezawodne oprogramowanie istnieje Formalne metody dowodzenia poprawności kodu ADA SPARK, JOVIAL, SPIN, systemy klasy trusted BNF, ASN.1 Ale tworzenie go jest bardzo kosztowne Common Criteria EAL2 od 50 tys., 12 miesięcy Common Criteria EAL4 od 150 tys., 18 miesięcy Czy chcemy powszechnych gwarancji na oprogramowanie? Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
Dostęp do usług elektronicznych w Polsce Sektor prywatny Wystarczający poziom bezpieczeństwa 2010 8,4 mln 22% obywateli Dostęp do usług elektronicznych w Polsce Sektor publiczny Wysoki poziom bezpieczeństwa 2010 250 tys. 0,94% obywateli 10000 8000 Liczba użytkowników [tys] 6000 4000 2000 0 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Rok
Podporządkowanie legislacji celom strategicznym Deklarowany cel strategiczny Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie (PIP, 2006) Deklarowane cele taktyczne Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować (MNiI, 2005, e-faktury)
Apel do ustawodawców Jakość i racjonalność legislacji Regulamin pracy Rady Ministrów Analiza kosztów i zysków ( 9.1) Wytyczne do oceny skutków regulacji Ministerstwo Gospodarki Public ROI (PROI) Model oceny racjonalności ekonomicznej zamówień publicznych Interesariusze: obywatele (!), dostawcy, administracja Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji