Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush>

1. Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush.com>

2. Tematy • Skąd potrzeba bezpieczeństwa? • Jak mierzyć bezpieczeństwo? • Jak wybierać zabezpieczenia? • Bezpieczeństwo a regulacja

3. Źródła bezpieczeństwa • Zewnętrzne • Klienci – łańcuch odpowiedzialności, SLA • Przepisy prawa, konkurencja, reputacja • Wewnętrzne • Klienci wewnętrzni – SLA • Analiza ryzyka • „10% szansy, że zapłacimy 10 mln zł kary” • Redukcja ryzyka jako inwestycja • „unikniemy straty 1 mln zł za jedyne 100 tys. zł”

4. Racjonalne bezpieczeństwo (*) • Chroni przed zagrożeniami • Nie kosztuje więcej niż chronione dobra • Drogi do irracjonalności • Błędna ocena ryzyka • Błędny wybór zabezpieczeń • Skutki • Strata pewna zamiast prawdopodobnej • Chybione zabezpieczenia • Błędna alokacja zasobów

5. Antywirus Strata 5 minut/dzień 5000 min/dzień 10 rocznych etatów Koszt: 440 tys. zł Rocznie Przykład – wirusy 1000 użytkowników Wirus • 6 godzin przestoju/osobę • 3 roczne etaty • Naprawa • 0,12 rocznego etatu • Koszt: 130 tys. zł • Za jeden incydent!

6. Przykład – szyfrowanie dysków 1000 użytkowników Full-Disk Encryption • Roczna licencja 53 zł/laptop • Koszt licencji • 53 tys. zł • Koszt wsparcia technicznego • 12 tys. zł 60 kradzieży laptopów rocznie • Średnio 80 rekordów osobowych/laptop • Koszt obsługi 1 rekordu • 115 zł • Roczny koszt incydentów • 552 tys. zł

7. Wskaźniki do oceny racjonalności ekonomicznej • Zwrot z inwestycji • ROI - Return on Investment • Zwrot z inwestycji w bezpieczeństwo • ROSI – Return on Security Investment • Inne danych wejściowe, to samo znaczenie • Wynik – mnożnik zainwestowanego kapitału

8. ROI vs ROSI G – „jak bardzo ograniczymy straty?” [zł] C – koszt zabezpieczenia [zł] E – koszt ingorowania ryzyka [zł] Sm – skuteczność zabezpieczenia [%] Sc – koszt zabezpieczenia [zł]

9. Przykład – Logistyka (ROSI)

10. Przykład – Logistyka (ROI)

11. Wyzwania • Skąd dane wejściowe? • Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe • Dane obarczone dużym poziomiem niepewności • Średnia, mediana, odchylenie standardowe • Przedziały minimum-maksimum (widełki) • Rząd wielkości • Co wpływa na jakość wskaźnika? • Analiza ryzyka • Koszty incydentów • Koszty zabezpieczeń

12. Wyzwania – koszty incydentów • Utracone korzyści • Czas pracy, naruszenia SLA • Kary i odszkodowania • Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA • Koszty naprawy i śledztwa • Personel wew/zew, narzędzia śledcze

13. Wyzwania – koszty zabezpieczeń • Koszt wdrożenia • Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana • Koszty operacyjne • Administracja, wsparcie techniczne • Koszty zewnętrzne • Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników

14. Zalety • Możliwość porównania racjonalności ekonomicznej • Podobnych zabezpieczeń • Antywirus A versus antywirus B • Różnych zabezpieczeń • Edukacja użytkowników versus system wykrywania wycieków danych (DLP) • Obiektywizacja kryteriów wyboru zabezpieczeń • Fakty zamiast ogólników • „zważywszy na niniejszewydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...” • Uzasadnienie zmiany jeśli zmienią się warunki wejściowe

15. Bezpieczeństwo a regulacja (*) Kilka rozpowszechnionych mitów • „Bezpieczeństwo jest najważniejsze” • Ale 100% bezpieczeństwa = 0% aktywności • Każde działanie stanowi kompromis bezpieczeństwa • „Więcej bezpieczeństwa to lepiej” • Ale to także większy koszt i mniejsza efektywność • „Tylko X zapewni wysoki poziom bezpieczeństwa” • Ale czy tutaj potrzebujemy wysokiego poziomu?

16. Internetowe usługi finansowe

17. Gwarancje na oprogramowanie • Niezawodne oprogramowanie istnieje • Formalne metody dowodzenia poprawności kodu • ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted” • BNF, ASN.1 • Ale tworzenie go jest bardzo kosztowne • Common Criteria EAL2 – od 50 tys. €, 12 miesięcy • Common Criteria EAL4 – od 150 tys. €, 18 miesięcy • Czy chcemy powszechnych gwarancji na oprogramowanie? • Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze

18. Sektor prywatny „Wystarczający poziom bezpieczeństwa” 2010 – 8,4 mln 22% obywateli Sektor publiczny „Wysoki poziom bezpieczeństwa” 2010 – 250 tys. 0,94% obywateli Dostęp do usług elektronicznych w Polsce

19. Podporządkowanie legislacji celom strategicznym • Deklarowany cel strategiczny • „Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie”(PIP, 2006) • Deklarowane cele taktyczne • „Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury) • „Uważam, że ten zapis jest wręcz fundamentalny dla rozwoju podpisu elektronicznego i usług elektronicznych w administracji. W związku z tym popieramy tę propozycję zmiany.” (MNiI, 2005, uoi)

20. Apel do ustawodawców • Jakość i racjonalność legislacji • Regulamin pracy Rady Ministrów • Analiza kosztów i zysków (§9.1) • Wytyczne do oceny skutków regulacji • Ministerstwo Gospodarki • Public ROI (PROI) • Model oceny racjonalności ekonomicznej zamówień publicznych • Interesariusze: obywatele (!), dostawcy, administracja • Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji