Zaktualizowana wersja prezentacji o ekonomii bezpieczeństwa przygotowana na Górską Konferencję Informatyków w 2012 roku. Patrz http://ipsec.pl/

1. Ekonomia bezpieczeństwa
Paweł Krawczyk <pawel.krawczyk@hush.com>

2. TEMATY
 Skąd potrzeba bezpieczeństwa?
 Jak mierzyć bezpieczeństwo?
 Jak wybierać zabezpieczenia?
 Bezpieczeństwo a regulacja

3. ŹRÓDŁA BEZPIECZEŃSTWA
 Zewnętrzne
 Klienci – łańcuch odpowiedzialności, SLA
 Przepisy prawa, konkurencja, reputacja
 Wewnętrzne
 Klienci wewnętrzni – SLA
 Analiza ryzyka
 „10% szansy, że zapłacimy 10 mln zł kary”
 Redukcja ryzyka jako inwestycja
 „unikniemy straty 1 mln zł za jedyne 100 tys. zł”

4. RACJONALNE BEZPIECZEŃSTWO (*)
 Chroni przed zagrożeniami
 Nie kosztuje więcej niż chronione dobra
 Drogi do irracjonalności
 Błędna ocena ryzyka
 Błędny wybór zabezpieczeń
 Skutki
 Strata pewna zamiast prawdopodobnej
 Chybione zabezpieczenia
 Błędna alokacja zasobów

5. KRZYWA LAFFERA
Wpływy budżetowe
Stawka podatkowa

6. KRZYWA LAFFERA

7. TECHNIKI UWIERZYTELNIANIA
 Sektor publiczny  Sektor prywatny
 Podpis kwalifikowany  Hasła statyczne (~2000)
(2001-2010)  Hasła jednorazowe
 Wysoki poziom (~2002)
bezpieczeństwa
 Hasła SMS (~2005)

8. DOSTĘP DO USŁUG
ELEKTRONICZNYCH W POLSCE
 Sektor prywatny  Sektor publiczny
• „Wystarczający poziom bezpieczeństwa” • „Wysoki poziom bezpieczeństwa”
• 2010 – 8,4 mln • 2010 – 250 tys.
– 22% obywateli – 0,94% obywateli
Dostęp do usług elektronicznych w Polsce
10000
8000
Liczba użytkowników [tys]
6000
4000
2000
0
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
Rok

9. BEZPIECZEŃSTWO A REGULACJA (*)
Kilka rozpowszechnionych mitów
 „Bezpieczeństwo jest najważniejsze”
 Ale 100% bezpieczeństwa = 0% aktywności
 Każde działanie stanowi kompromis bezpieczeństwa
 „Więcej bezpieczeństwa to lepiej”
 Ale to także większy koszt i mniejsza efektywność
 „Tylko X zapewni wysoki poziom bezpieczeństwa”
 Ale czy tutaj potrzebujemy wysokiego poziomu?

10. GWARANCJE NA OPROGRAMOWANIE
• Niezawodne oprogramowanie istnieje
– Formalne metody dowodzenia poprawności kodu
– ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”
– BNF, ASN.1
• Ale tworzenie go jest bardzo kosztowne
– Common Criteria EAL2 – od 50 tys. €, 12 miesięcy
– Common Criteria EAL4 – od 150 tys. €, 18 miesięcy
• Czy chcemy powszechnych gwarancji na
oprogramowanie?
– Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco
dobrze

11. DROGA DO RACJONALNOŚCI
 Analiza ryzyka
 Co mamy? Przed czym to chcemy chronić?
 Ile kosztuje ryzyko? Ile kosztują zabezpieczenia?
 Analiza kosztów i korzyści (cost-benefit
analysis)
 Techniki
 Drzewa decyzyjne (decision trees)
 Applied Information Economics

12. PRZYKŁAD – WIRUSY
Skutki infekcji wirusa Skutki antywirusa
 Sieć 1000 użytkowników  Sieć 1000 użytkowników
 6 godzin przestoju/osobę  Strata 5 minut/dzień
3 roczne etaty

 5000 min/dzień
 Naprawa  10 rocznych etatów
 0,12 rocznego etatu
 Koszt: 440 tys. zł
 Koszt: 130 tys. zł
 Rocznie
 Za jeden incydent!

13. PRZYKŁAD – SZYFROWANIE
DYSKÓW 1000 UŻYTKOWNIKÓW
60 kradzieży laptopów rocznie Full-Disk Encryption
 Średnio 80 rekordów  Roczna licencja 53 zł/laptop
osobowych/laptop  Koszt licencji
 Koszt obsługi 1 rekordu  53 tys. zł
 Koszt wsparcia technicznego
 115 zł
 12 tys. zł
 Roczny koszt incydentów
 552 tys. zł

14. WSKAŹNIKI DO OCENY RACJONALNOŚCI
EKONOMICZNEJ
• Zwrot z inwestycji
– ROI - Return on Investment
• Zwrot z inwestycji w bezpieczeństwo
– ROSI – Return on Security Investment
– Inne danych wejściowe, to samo znaczenie
• Wynik – mnożnik zainwestowanego kapitału

15. ROI VS ROSI
G – „jak bardzo ograniczymy E – koszt ingorowania ryzyka
straty?” [zł] [zł]
C – koszt zabezpieczenia [zł] Sm – skuteczność
zabezpieczenia [%]
Sc – koszt zabezpieczenia
[zł]

16. PRZYKŁAD – LOGISTYKA (ROSI)
Prognozowane straty
Zabezpieczenie Skuteczność Koszt ROSI
roczne
Żadne € 75,000.00 0% € 0.00 0.00
Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26
Telemetryka € 2,000.00 97.30% € 1,000.00 71.98

17. PRZYKŁAD – LOGISTYKA (ROI)
Prognozowane
Zabezpieczenie "Zysk" Koszt ROI
straty roczne
Żadne € 75,000.00 € 0.00 € 0.00 0.00
Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26
Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00

18. WYZWANIA
• Skąd dane wejściowe?
– Własne dane historyczne, tablice aktuarialne, SLA
dostawców, statystyki branżowe
• Dane obarczone dużym poziomiem niepewności
– Średnia, mediana, odchylenie standardowe
– Przedziały minimum-maksimum (widełki)
– Rząd wielkości
• Co wpływa na jakość wskaźnika?
– Analiza ryzyka
– Koszty incydentów
– Koszty zabezpieczeń

19. WYZWANIA – KOSZTY INCYDENTÓW
 Utracone korzyści
 Czas pracy, naruszenia SLA
 Kary i odszkodowania
 Monitoring, odszkodowanie, kary za zaniedbania, kary za
naruszenie SLA
 Koszty naprawy i śledztwa
 Personel wew/zew, narzędzia śledcze

20. WYZWANIA – KOSZTY ZABEZPIECZEŃ
 Koszt wdrożenia
 Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie
techniczne, zmiana
 Koszty operacyjne
 Administracja, wsparcie techniczne
 Koszty zewnętrzne
 Obciążenie systemu, obniżenie wydajności, awarie, czas
użytkowników

21. ZALETY
• Możliwość porównania racjonalności ekonomicznej
– Podobnych zabezpieczeń
• Antywirus A versus antywirus B
– Różnych zabezpieczeń
•Edukacja użytkowników versus system wykrywania
wycieków danych (DLP)
• Obiektywizacja kryteriów wyboru zabezpieczeń
• Fakty zamiast ogólników
– „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą
wskazywać na zasadność, jednakże...”
• Uzasadnienie zmiany jeśli zmienią się warunki
wejściowe

22. Pawel.krawczyk@hush.com
PYTANIA?