Upload
phong
View
57
Download
0
Embed Size (px)
DESCRIPTION
Ekonomia bezpieczeństwa Paweł Krawczyk . Tematy. Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja. Źródła bezpieczeństwa. Zewnętrzne Klienci – łańcuch odpowiedzialności, SLA - PowerPoint PPT Presentation
Citation preview
Ekonomia bezpieczeństwa
Paweł Krawczyk <[email protected]>
Tematy
Skąd potrzeba bezpieczeństwa?
Jak mierzyć bezpieczeństwo?
Jak wybierać zabezpieczenia?
Bezpieczeństwo a regulacja
Źródła bezpieczeństwa
Zewnętrzne Klienci – łańcuch odpowiedzialności, SLA
Przepisy prawa, konkurencja, reputacja
Wewnętrzne Klienci wewnętrzni – SLA
Analiza ryzyka „10% szansy, że zapłacimy 10 mln zł kary”
Redukcja ryzyka jako inwestycja „unikniemy straty 1 mln zł za jedyne 100 tys. zł”
Racjonalne bezpieczeństwo (*)
Chroni przed zagrożeniami
Nie kosztuje więcej niż chronione dobra
Drogi do irracjonalności Błędna ocena ryzyka
Błędny wybór zabezpieczeń
Skutki Strata pewna zamiast prawdopodobnej
Chybione zabezpieczenia
Błędna alokacja zasobów
Przykład – wirusy 1000 użytkowników
Wirus
6 godzin przestoju/osobę
3 roczne etaty
Naprawa 0,12 rocznego etatu
Koszt: 130 tys. zł Za jeden incydent!
Antywirus
Strata 5 minut/dzień
5000 min/dzień
10 rocznych etatów
Koszt: 440 tys. zł Rocznie
Przykład – szyfrowanie dysków 1000 użytkowników
Full-Disk Encryption
Roczna licencja 53 zł/laptop
Koszt licencji
53 tys. zł Koszt wsparcia technicznego
12 tys. zł
60 kradzieży laptopów rocznie
Średnio 80 rekordów osobowych/laptop
Koszt obsługi 1 rekordu
115 zł
Roczny koszt incydentów
552 tys. zł
Wskaźniki do oceny racjonalności ekonomicznej
• Zwrot z inwestycji
– ROI - Return on Investment
• Zwrot z inwestycji w bezpieczeństwo
– ROSI – Return on Security Investment
– Inne danych wejściowe, to samo znaczenie
• Wynik – mnożnik zainwestowanego kapitału
ROI vs ROSI
c
cm
S
SSEROSI
E – koszt ingorowania ryzyka [zł]
Sm – skuteczność zabezpieczenia [%]
Sc – koszt zabezpieczenia [zł]
C
CGROI
G – „jak bardzo ograniczymy straty?” [zł]
C – koszt zabezpieczenia [zł]
Przykład – Logistyka (ROSI)
ZabezpieczeniePrognozowane straty roczne Skuteczność Koszt ROSI
Żadne € 75,000.00 0% € 0.00 0.00
Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26
Telemetryka € 2,000.00 97.30% € 1,000.00 71.98
Przykład – Logistyka (ROI)
ZabezpieczeniePrognozowane straty roczne "Zysk" Koszt ROI
Żadne € 75,000.00 € 0.00 € 0.00 0.00
Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26
Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00
Wyzwania
• Skąd dane wejściowe?
– Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe
• Dane obarczone dużym poziomiem niepewności
– Średnia, mediana, odchylenie standardowe
– Przedziały minimum-maksimum (widełki)
– Rząd wielkości
• Co wpływa na jakość wskaźnika?
– Analiza ryzyka
– Koszty incydentów
– Koszty zabezpieczeń
Wyzwania – koszty incydentów
Utracone korzyści Czas pracy, naruszenia SLA
Kary i odszkodowania Monitoring, odszkodowanie, kary za zaniedbania, kary za
naruszenie SLA
Koszty naprawy i śledztwa Personel wew/zew, narzędzia śledcze
Wyzwania – koszty zabezpieczeń
Koszt wdrożenia Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie
techniczne, zmiana
Koszty operacyjne Administracja, wsparcie techniczne
Koszty zewnętrzne Obciążenie systemu, obniżenie wydajności, awarie, czas
użytkowników
Zalety
• Możliwość porównania racjonalności ekonomicznej
– Podobnych zabezpieczeń
• Antywirus A versus antywirus B
– Różnych zabezpieczeń
• Edukacja użytkowników versus system wykrywania wycieków danych (DLP)
• Obiektywizacja kryteriów wyboru zabezpieczeń
• Fakty zamiast ogólników
– „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”
• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
Bezpieczeństwo a regulacja (*)
Kilka rozpowszechnionych mitów
„Bezpieczeństwo jest najważniejsze” Ale 100% bezpieczeństwa = 0% aktywności
Każde działanie stanowi kompromis bezpieczeństwa
„Więcej bezpieczeństwa to lepiej” Ale to także większy koszt i mniejsza efektywność
„Tylko X zapewni wysoki poziom bezpieczeństwa” Ale czy tutaj potrzebujemy wysokiego poziomu?
Internetowe usługi finansowe
Metoda autoryzacji
Ilość
Zalety i wady
Sektor konsumencki
Sektor konsumencki
Sektor korporacyjny
SMS 15 Łatwość użycia, bezpieczeństwo
Niska niezaprzeczalność
Sprzętowy token OTP
11 Wysokie koszty zarządzania
Ochrona przed phishingiem, średnia niezaprzeczalność
Wydruk OTP (TAN)
7 Podstawowa ochrona przed phishingiem
Niska niezaprzeczalność
Podpis elektroniczny
2 Wysoka cena (QES), kłopotliwe użycie
Wysoki poziom niezaprzeczalności
Gwarancje na oprogramowanie
• Niezawodne oprogramowanie istnieje
– Formalne metody dowodzenia poprawności kodu
– ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”
– BNF, ASN.1
• Ale tworzenie go jest bardzo kosztowne
– Common Criteria EAL2 – od 50 tys. €, 12 miesięcy
– Common Criteria EAL4 – od 150 tys. €, 18 miesięcy
• Czy chcemy powszechnych gwarancji na oprogramowanie?
– Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
Dostęp do usług elektronicznych w Polsce
Sektor prywatny• „Wystarczający poziom
bezpieczeństwa”• 2010 – 8,4 mln
– 22% obywateli
Sektor publiczny• „Wysoki poziom
bezpieczeństwa”• 2010 – 250 tys.
– 0,94% obywateliDostęp do usług elektronicznych w Polsce
0
2000
4000
6000
8000
10000
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
Rok
Lic
zb
a u
ży
tko
wn
ikó
w [
tys
]
Podporządkowanie legislacji celom strategicznym
• Deklarowany cel strategiczny
– „Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie” (PIP, 2006)
• Deklarowane cele taktyczne– „Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu
elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury)
– „Uważam, że ten zapis jest wręcz fundamentalny dla rozwoju podpisu elektronicznego i usług elektronicznych w administracji. W związku z tym popieramy tę propozycję zmiany.” (MNiI, 2005, uoi)
Apel do ustawodawców
• Jakość i racjonalność legislacji
– Regulamin pracy Rady Ministrów
• Analiza kosztów i zysków (§9.1)
– Wytyczne do oceny skutków regulacji
• Ministerstwo Gospodarki
– Public ROI (PROI)• Model oceny racjonalności ekonomicznej zamówień publicznych
• Interesariusze: obywatele (!), dostawcy, administracja
• Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji