Upload
pawel-krawczyk
View
484
Download
5
Embed Size (px)
DESCRIPTION
Prezentacja z XXVI Jesiennych Spotkań PTI w Wiśle (2010) poświęcona ekonomii i racjonalności bezpieczeństwa.
Citation preview
Ekonomia bezpieczeństwa
Paweł Krawczyk <[email protected]>
Tematy
Skąd potrzeba bezpieczeństwa?
Jak go mierzyć?
Jak wybierać zabezpieczenia?
Bezpieczeństwo a regulacja
Źródła bezpieczeństwa
Zewnętrzne
Klienci – łańcuch odpowiedzialności, SLA
Przepisy prawa, konkurencja, reputacja
Wewnętrzne
Klienci wewnętrzni – SLA
Analiza ryzyka
„10% szansy, że zapłacimy 10 mln zł kary”
Redukcja ryzyka jako inwestycja
„unikniemy straty 1 mln zł za jedyne 100 tys. zł”
Racjonalne bezpieczeństwo (*)
Chroni przed zagrożeniami
Nie kosztuje więcej niż chronione dobra
Drogi do irracjonalności
Błędna ocena ryzyka
Błędny wybór zabezpieczeń
Skutki
Strata pewna zamiast prawdopodobnej
Chybione zabezpieczenia
Błędna alokacja zasobów
Przykład – wirusy 1000 użytkowników
Wirus
6 godzin przestoju/osobę
3 roczne etaty
Naprawa
0,12 rocznego etatu
Koszt: 130 tys. zł
Za jeden incydent!
Antywirus
Strata 5 minut/dzień
5000 min/dzień
10 rocznych etatów
Koszt: 440 tys. zł
Rocznie
Przykład – szyfrowanie dysków 1000 użytkowników
Full-Disk Encryption
Roczna licencja 53 zł/laptop
Koszt licencji
53 tys. zł
Koszt wsparcia technicznego
12 tys. zł
60 kradzieży laptopów rocznie
Średnio 80 rekordów osobowych/laptop
Koszt obsługi 1 rekordu
115 zł
Roczny koszt incydentów
552 tys. zł
Wskaźniki do oceny racjonalności ekonomicznej
• Zwrot z inwestycji
– ROI - Return on Investment
• Zwrot z inwestycji w bezpieczeństwo
– ROSI – Return on Security Investment
– Inne danych wejściowe, to samo znaczenie
• Wynik – mnożnik zainwestowanego kapitału
ROI vs ROSI
c
cm
SSSEROSI
E – koszt ingorowania ryzyka [zł]
Sm – skuteczność zabezpieczenia [%]
Sc – koszt zabezpieczenia [zł]
CCGROI
G – „jak bardzo ograniczymy straty?” [zł]
C – koszt zabezpieczenia [zł]
Przykład – Logistyka (ROSI)
71.98€ 1,000.0097.30%€ 2,000.00Telemetryka
-0.26€ 100,000.0098.70%€ 1,000.00Eskorta ochrony
0.00€ 0.000%€ 75,000.00Żadne
ROSIKosztSkutecznośćPrognozowane straty roczneZabezpieczenie
Przykład – Logistyka (ROI)
72.00€ 1,000.00€ 73,000.00€ 2,000.00Telemetryka
-0.26€ 100,000.00€ 74,000.00€ 1,000.00Eskorta ochrony
0.00€ 0.00€ 0.00€ 75,000.00Żadne
ROIKoszt"Zysk"Prognozowane straty roczneZabezpieczenie
Wyzwania
• Skąd dane wejściowe?
– Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe
• Dane obarczone dużym poziomiem niepewności
– Średnia, mediana, odchylenie standardowe
– Przedziały minimum-maksimum (widełki)
– Rząd wielkości
• Co wpływa na jakość wskaźnika?
– Analiza ryzyka
– Koszty incydentów
– Koszty zabezpieczeń
Wyzwania – koszty incydentów
Utracone korzyści
Czas pracy, naruszenia SLA
Kary i odszkodowania
Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA
Koszty naprawy i śledztwa
Personel wew/zew, narzędzia śledcze
Wyzwania – koszty zabezpieczeń
Koszt wdrożenia
Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana
Koszty operacyjne
Administracja, wsparcie techniczne
Koszty zewnętrzne
Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników
Zalety
• Możliwość porównania racjonalności ekonomicznej
– Podobnych zabezpieczeń
• Antywirus A versus antywirus B
– Różnych zabezpieczeń
• Edukacja użytkowników versus system wykrywania wycieków danych (DLP)
• Obiektywizacja kryteriów wyboru zabezpieczeń
• Fakty zamiast ogólników
– „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”
• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
Bezpieczeństwo a regulacja (*)
Kilka rozpowszechnionych mitów
„Bezpieczeństwo jest najważniejsze”
Ale 100% bezpieczeństwa = 0% aktywności
Każde działanie stanowi kompromis bezpieczeństwa
„Więcej bezpieczeństwa to lepiej”
Ale to także większy koszt i mniejsza efektywność
„Tylko X zapewni wysoki poziom bezpieczeństwa”
Ale czy tutaj potrzebujemy wysokiego poziomu?
Internetowe usługi finansowe
Wysoki poziom niezaprzeczalności
Wysoka cena (QES), kłopotliwe użycie
2Podpis elektroniczny
Niska niezaprzeczalność
Podstawowa ochrona przed phishingiem
7Wydruk OTP (TAN)
Ochrona przed phishingiem, średnia niezaprzeczalność
Wysokie koszty zarządzania
11Sprzętowy token OTP
Niska niezaprzeczalność
Łatwość użycia, bezpieczeństwo
15SMS
Sektor korporacyjnySektor konsumenckiSektor konsumencki
Zalety i wadyIlośćMetoda autoryzacji
Gwarancje na oprogramowanie
• Niezawodne oprogramowanie istnieje
– Formalne metody dowodzenia poprawności kodu
– ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”
– BNF, ASN.1
• Ale tworzenie go jest bardzo kosztowne
– Common Criteria EAL2 – od 50 tys. €, 12 miesięcy
– Common Criteria EAL4 – od 150 tys. €, 18 miesięcy
• Czy chcemy powszechnych gwarancji na oprogramowanie?
– Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
Dostęp do usług elektronicznych w Polsce
Sektor prywatny• „Wystarczający poziom
bezpieczeństwa”• 2010 – 8,4 mln
– 22% obywateli
Sektor publiczny• „Wysoki poziom
bezpieczeństwa”• 2010 – 250 tys.
– 0,94% obywateliDostęp do usług elektronicznych w Polsce
0
2000
4000
6000
8000
10000
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
Rok
Licz
ba u
żytk
owni
ków
[tys
]
Podporządkowanie legislacji celom strategicznym
• Deklarowany cel strategiczny– „Wprowadzenie i upowszechnienie usług
administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie” (PIP, 2006)
• Deklarowane cele taktyczne– „Bardzo nam zależało, by w Polsce upowszechnić
stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury)
Apel do ustawodawców
• Jakość i racjonalność legislacji
– Regulamin pracy Rady Ministrów
• Analiza kosztów i zysków (§9.1)
– Wytyczne do oceny skutków regulacji
• Ministerstwo Gospodarki
– Public ROI (PROI)• Model oceny racjonalności ekonomicznej zamówień publicznych
• Interesariusze: obywatele (!), dostawcy, administracja
• Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji