Ekonomia bezpieczeństwa
Paweł Krawczyk <[email protected]>
TEMATY
Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja
ŹRÓDŁA BEZPIECZEŃSTWA
Zewnętrzne Klienci – łańcuch odpowiedzialności, SLA Przepisy prawa, konkurencja, reputacja
Wewnętrzne Klienci wewnętrzni – SLA
Analiza ryzyka „10% szansy, że zapłacimy 10 mln zł kary”
Redukcja ryzyka jako inwestycja „unikniemy straty 1 mln zł za jedyne 100 tys. zł”
RACJONALNE BEZPIECZEŃSTWO (*)
Chroni przed zagrożeniami Nie kosztuje więcej niż chronione dobra Drogi do irracjonalności
Błędna ocena ryzyka Błędny wybór zabezpieczeń
Skutki Strata pewna zamiast prawdopodobnej Chybione zabezpieczenia Błędna alokacja zasobów
KRZYWA LAFFERA
Wpływy budżetowe
Stawka podatkowa
KRZYWA LAFFERA
TECHNIKI UWIERZYTELNIANIA
Sektor publiczny Podpis kwalifikowany
(2001-2010) Wysoki poziom
bezpieczeństwa
Sektor prywatny Hasła statyczne
(~2000) Hasła jednorazowe
(~2002) Hasła SMS (~2005)
DOSTĘP DO USŁUG ELEKTRONICZNYCH W POLSCE
Sektor prywatny• „Wystarczający poziom
bezpieczeństwa”
• 2010 – 8,4 mln– 22% obywateli
Sektor publiczny• „Wysoki poziom
bezpieczeństwa”
• 2010 – 250 tys.– 0,94% obywateli
2001 2002 2003 2004 2005 2006 2007 2008 2009 20100
2000
4000
6000
8000
10000
Dostęp do usług elektronicznych w Polsce
Rok
Lic
zba
uży
tko
wn
ikó
w [
tys]
BEZPIECZEŃSTWO A REGULACJA (*)Kilka rozpowszechnionych mitów „Bezpieczeństwo jest najważniejsze”
Ale 100% bezpieczeństwa = 0% aktywności Każde działanie stanowi kompromis bezpieczeństwa
„Więcej bezpieczeństwa to lepiej” Ale to także większy koszt i mniejsza efektywność
„Tylko X zapewni wysoki poziom bezpieczeństwa” Ale czy tutaj potrzebujemy wysokiego poziomu?
GWARANCJE NA OPROGRAMOWANIE
• Niezawodne oprogramowanie istnieje– Formalne metody dowodzenia poprawności kodu– ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”– BNF, ASN.1
• Ale tworzenie go jest bardzo kosztowne– Common Criteria EAL2 – od 50 tys. €, 12 miesięcy– Common Criteria EAL4 – od 150 tys. €, 18 miesięcy
• Czy chcemy powszechnych gwarancji na oprogramowanie?– Ja nie chcę! Wolę program za 300 zł, który działa
wystarczająco dobrze
DROGA DO RACJONALNOŚCI
Analiza ryzyka Co mamy? Przed czym to chcemy chronić? Ile kosztuje ryzyko? Ile kosztują
zabezpieczenia? Analiza kosztów i korzyści (cost-benefit
analysis) Techniki
Drzewa decyzyjne (decision trees) Applied Information Economics
PRZYKŁAD – WIRUSY
Skutki infekcji wirusa Sieć 1000
użytkowników 6 godzin
przestoju/osobę 3 roczne etaty
Naprawa 0,12 rocznego etatu
Koszt: 130 tys. zł Za jeden incydent!
Skutki antywirusa Sieć 1000 użytkowników Strata 5 minut/dzień 5000 min/dzień 10 rocznych etatów Koszt: 440 tys. zł
Rocznie
PRZYKŁAD – SZYFROWANIE DYSKÓW 1000 UŻYTKOWNIKÓW
Full-Disk Encryption Roczna licencja 53 zł/laptop Koszt licencji
53 tys. zł Koszt wsparcia technicznego
12 tys. zł
60 kradzieży laptopów rocznie
Średnio 80 rekordów osobowych/laptop
Koszt obsługi 1 rekordu
115 zł
Roczny koszt incydentów
552 tys. zł
WSKAŹNIKI DO OCENY RACJONALNOŚCI EKONOMICZNEJ
• Zwrot z inwestycji – ROI - Return on Investment
• Zwrot z inwestycji w bezpieczeństwo– ROSI – Return on Security Investment– Inne danych wejściowe, to samo znaczenie
• Wynik – mnożnik zainwestowanego kapitału
ROI VS ROSI
C
CGROI
c
cm
S
SSEROSI
E – koszt ingorowania ryzyka [zł]
Sm – skuteczność zabezpieczenia [%]
Sc – koszt zabezpieczenia [zł]
G – „jak bardzo ograniczymy straty?” [zł]
C – koszt zabezpieczenia [zł]
PRZYKŁAD – LOGISTYKA (ROSI)
Zabezpieczenie Prognozowane straty roczne Skuteczność Koszt ROSI
Żadne € 75,000.00 0% € 0.00 0.00
Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26
Telemetryka € 2,000.00 97.30% € 1,000.00 71.98
PRZYKŁAD – LOGISTYKA (ROI)
Zabezpieczenie Prognozowane straty roczne "Zysk" Koszt ROI
Żadne € 75,000.00 € 0.00 € 0.00 0.00
Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26
Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00
WYZWANIA
• Skąd dane wejściowe?– Własne dane historyczne, tablice aktuarialne, SLA
dostawców, statystyki branżowe• Dane obarczone dużym poziomiem niepewności
– Średnia, mediana, odchylenie standardowe– Przedziały minimum-maksimum (widełki)– Rząd wielkości
• Co wpływa na jakość wskaźnika?– Analiza ryzyka– Koszty incydentów– Koszty zabezpieczeń
WYZWANIA – KOSZTY INCYDENTÓW Utracone korzyści
Czas pracy, naruszenia SLA Kary i odszkodowania
Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA
Koszty naprawy i śledztwa Personel wew/zew, narzędzia śledcze
WYZWANIA – KOSZTY ZABEZPIECZEŃ Koszt wdrożenia
Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana
Koszty operacyjne Administracja, wsparcie techniczne
Koszty zewnętrzne Obciążenie systemu, obniżenie wydajności, awarie, czas
użytkowników
ZALETY
• Możliwość porównania racjonalności ekonomicznej– Podobnych zabezpieczeń
• Antywirus A versus antywirus B– Różnych zabezpieczeń
• Edukacja użytkowników versus system wykrywania wycieków danych (DLP)
• Obiektywizacja kryteriów wyboru zabezpieczeń• Fakty zamiast ogólników
– „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”
• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe