Ekonomia bezpieczeństwa

Paweł Krawczyk <pawel.krawczyk@hush.com>

Tematy

Skąd potrzeba bezpieczeństwa?

Jak mierzyć bezpieczeństwo?

Jak wybierać zabezpieczenia?

Bezpieczeństwo a regulacja

Źródła bezpieczeństwa

Zewnętrzne Klienci – łańcuch odpowiedzialności, SLA

Przepisy prawa, konkurencja, reputacja

Wewnętrzne Klienci wewnętrzni – SLA

Analiza ryzyka „10% szansy, że zapłacimy 10 mln zł kary”

Redukcja ryzyka jako inwestycja „unikniemy straty 1 mln zł za jedyne 100 tys. zł”

Racjonalne bezpieczeństwo (*)

Chroni przed zagrożeniami

Nie kosztuje więcej niż chronione dobra

Drogi do irracjonalności Błędna ocena ryzyka

Błędny wybór zabezpieczeń

Skutki Strata pewna zamiast prawdopodobnej

Chybione zabezpieczenia

Błędna alokacja zasobów

Przykład – wirusy 1000 użytkowników

Wirus

6 godzin przestoju/osobę

3 roczne etaty

Naprawa 0,12 rocznego etatu

Koszt: 130 tys. zł Za jeden incydent!

Antywirus

Strata 5 minut/dzień

5000 min/dzień

10 rocznych etatów

Koszt: 440 tys. zł Rocznie

Przykład – szyfrowanie dysków 1000 użytkowników

Full-Disk Encryption

Roczna licencja 53 zł/laptop

Koszt licencji

53 tys. zł Koszt wsparcia technicznego

12 tys. zł

60 kradzieży laptopów rocznie

Średnio 80 rekordów osobowych/laptop

Koszt obsługi 1 rekordu

115 zł

Roczny koszt incydentów

552 tys. zł

Wskaźniki do oceny racjonalności ekonomicznej

• Zwrot z inwestycji

– ROI - Return on Investment

• Zwrot z inwestycji w bezpieczeństwo

– ROSI – Return on Security Investment

– Inne danych wejściowe, to samo znaczenie

• Wynik – mnożnik zainwestowanego kapitału

ROI vs ROSI

c

cm

S

SSEROSI

E – koszt ingorowania ryzyka [zł]

Sm – skuteczność zabezpieczenia [%]

Sc – koszt zabezpieczenia [zł]

C

CGROI

G – „jak bardzo ograniczymy straty?” [zł]

C – koszt zabezpieczenia [zł]

Przykład – Logistyka (ROSI)

ZabezpieczeniePrognozowane straty roczne Skuteczność Koszt ROSI

Żadne € 75,000.00 0% € 0.00 0.00

Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26

Telemetryka € 2,000.00 97.30% € 1,000.00 71.98

Przykład – Logistyka (ROI)

ZabezpieczeniePrognozowane straty roczne "Zysk" Koszt ROI

Żadne € 75,000.00 € 0.00 € 0.00 0.00

Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26

Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00

Wyzwania

• Skąd dane wejściowe?

– Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe

• Dane obarczone dużym poziomiem niepewności

– Średnia, mediana, odchylenie standardowe

– Przedziały minimum-maksimum (widełki)

– Rząd wielkości

• Co wpływa na jakość wskaźnika?

– Analiza ryzyka

– Koszty incydentów

– Koszty zabezpieczeń

Wyzwania – koszty incydentów

Utracone korzyści Czas pracy, naruszenia SLA

Kary i odszkodowania Monitoring, odszkodowanie, kary za zaniedbania, kary za

naruszenie SLA

Koszty naprawy i śledztwa Personel wew/zew, narzędzia śledcze

Wyzwania – koszty zabezpieczeń

Koszt wdrożenia Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie

techniczne, zmiana

Koszty operacyjne Administracja, wsparcie techniczne

Koszty zewnętrzne Obciążenie systemu, obniżenie wydajności, awarie, czas

użytkowników

Zalety

• Możliwość porównania racjonalności ekonomicznej

– Podobnych zabezpieczeń

• Antywirus A versus antywirus B

– Różnych zabezpieczeń

• Edukacja użytkowników versus system wykrywania wycieków danych (DLP)

• Obiektywizacja kryteriów wyboru zabezpieczeń

• Fakty zamiast ogólników

– „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”

• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe

Bezpieczeństwo a regulacja (*)

Kilka rozpowszechnionych mitów

„Bezpieczeństwo jest najważniejsze” Ale 100% bezpieczeństwa = 0% aktywności

Każde działanie stanowi kompromis bezpieczeństwa

„Więcej bezpieczeństwa to lepiej” Ale to także większy koszt i mniejsza efektywność

„Tylko X zapewni wysoki poziom bezpieczeństwa” Ale czy tutaj potrzebujemy wysokiego poziomu?

Internetowe usługi finansowe

Metoda autoryzacji

Ilość

Zalety i wady

Sektor konsumencki

Sektor konsumencki

Sektor korporacyjny

SMS 15 Łatwość użycia, bezpieczeństwo

Niska niezaprzeczalność

Sprzętowy token OTP

11 Wysokie koszty zarządzania

Ochrona przed phishingiem, średnia niezaprzeczalność

Wydruk OTP (TAN)

7 Podstawowa ochrona przed phishingiem

Niska niezaprzeczalność

Podpis elektroniczny

2 Wysoka cena (QES), kłopotliwe użycie

Wysoki poziom niezaprzeczalności

Gwarancje na oprogramowanie

• Niezawodne oprogramowanie istnieje

– Formalne metody dowodzenia poprawności kodu

– ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”

– BNF, ASN.1

• Ale tworzenie go jest bardzo kosztowne

– Common Criteria EAL2 – od 50 tys. €, 12 miesięcy

– Common Criteria EAL4 – od 150 tys. €, 18 miesięcy

• Czy chcemy powszechnych gwarancji na oprogramowanie?

– Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze

Dostęp do usług elektronicznych w Polsce

Sektor prywatny• „Wystarczający poziom

bezpieczeństwa”• 2010 – 8,4 mln

– 22% obywateli

Sektor publiczny• „Wysoki poziom

bezpieczeństwa”• 2010 – 250 tys.

– 0,94% obywateliDostęp do usług elektronicznych w Polsce

0

2000

4000

6000

8000

10000

2001 2002 2003 2004 2005 2006 2007 2008 2009 2010

Rok

Lic

zb

a u

ży

tko

wn

ikó

w [

tys

]

Podporządkowanie legislacji celom strategicznym

• Deklarowany cel strategiczny

– „Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie” (PIP, 2006)

• Deklarowane cele taktyczne– „Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu

elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury)

– „Uważam, że ten zapis jest wręcz fundamentalny dla rozwoju podpisu elektronicznego i usług elektronicznych w administracji. W związku z tym popieramy tę propozycję zmiany.” (MNiI, 2005, uoi)

Apel do ustawodawców

• Jakość i racjonalność legislacji

– Regulamin pracy Rady Ministrów

• Analiza kosztów i zysków (§9.1)

– Wytyczne do oceny skutków regulacji

• Ministerstwo Gospodarki

– Public ROI (PROI)• Model oceny racjonalności ekonomicznej zamówień publicznych

• Interesariusze: obywatele (!), dostawcy, administracja

• Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji