Your SlideShare is downloading. ×
  • Like
Krawczyk   Ekonomia Bezpieczenstwa 2
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Krawczyk Ekonomia Bezpieczenstwa 2

  • 458 views
Published

Prezentacja z XXVI Jesiennych Spotkań PTI w Wiśle (2010) poświęcona ekonomii i racjonalności bezpieczeństwa.

Prezentacja z XXVI Jesiennych Spotkań PTI w Wiśle (2010) poświęcona ekonomii i racjonalności bezpieczeństwa.

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
  • ryzyko i zwrot z inwestycji
    Are you sure you want to
    Your message goes here
No Downloads

Views

Total Views
458
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
1
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush.com>
  • 2. Tematy  Skąd potrzeba bezpieczeństwa?  Jak go mierzyć?  Jak wybierać zabezpieczenia?  Bezpieczeństwo a regulacja
  • 3. Źródła bezpieczeństwa  Zewnętrzne  Klienci – łańcuch odpowiedzialności, SLA  Przepisy prawa, konkurencja, reputacja  Wewnętrzne  Klienci wewnętrzni – SLA  Analiza ryzyka  „10% szansy, że zapłacimy 10 mln zł kary”  Redukcja ryzyka jako inwestycja  „unikniemy straty 1 mln zł za jedyne 100 tys. zł”
  • 4. Racjonalne bezpieczeństwo (*)  Chroni przed zagrożeniami  Nie kosztuje więcej niż chronione dobra  Drogi do irracjonalności  Błędna ocena ryzyka  Błędny wybór zabezpieczeń  Skutki  Strata pewna zamiast prawdopodobnej  Chybione zabezpieczenia  Błędna alokacja zasobów
  • 5. Przykład – wirusy 1000 użytkowników Wirus Antywirus  6 godzin  Strata 5 minut/dzień przestoju/osobę  5000 min/dzień 3 roczne etaty   10 rocznych etatów  Naprawa  Koszt: 440 tys. zł  0,12 rocznego etatu  Rocznie  Koszt: 130 tys. zł  Za jeden incydent!
  • 6. Przykład – szyfrowanie dysków 1000 użytkowników 60 kradzieży laptopów rocznie Full-Disk Encryption  Średnio 80 rekordów  Roczna licencja 53 zł/laptop osobowych/laptop  Koszt licencji  Koszt obsługi 1 rekordu  53 tys. zł  115 zł  Koszt wsparcia technicznego  Roczny koszt incydentów  12 tys. zł  552 tys. zł
  • 7. Wskaźniki do oceny racjonalności ekonomicznej • Zwrot z inwestycji – ROI - Return on Investment • Zwrot z inwestycji w bezpieczeństwo – ROSI – Return on Security Investment – Inne danych wejściowe, to samo znaczenie • Wynik – mnożnik zainwestowanego kapitału
  • 8. ROI vs ROSI G – „jak bardzo ograniczymy E – koszt ingorowania ryzyka straty?” [zł] [zł] C – koszt zabezpieczenia [zł] Sm – skuteczność zabezpieczenia [%] Sc – koszt zabezpieczenia [zł] G C E  Sm   Sc ROI  ROSI  C Sc
  • 9. Przykład – Logistyka (ROSI) Prognozowane straty Zabezpieczenie roczne Skuteczność Koszt ROSI Żadne € 75,000.00 0% € 0.00 0.00 Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26 Telemetryka € 2,000.00 97.30% € 1,000.00 71.98
  • 10. Przykład – Logistyka (ROI) Prognozowane Zabezpieczenie straty roczne "Zysk" Koszt ROI Żadne € 75,000.00 € 0.00 € 0.00 0.00 Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26 Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00
  • 11. Wyzwania • Skąd dane wejściowe? – Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe • Dane obarczone dużym poziomiem niepewności – Średnia, mediana, odchylenie standardowe – Przedziały minimum-maksimum (widełki) – Rząd wielkości • Co wpływa na jakość wskaźnika? – Analiza ryzyka – Koszty incydentów – Koszty zabezpieczeń
  • 12. Wyzwania – koszty incydentów  Utracone korzyści  Czas pracy, naruszenia SLA  Kary i odszkodowania  Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA  Koszty naprawy i śledztwa  Personel wew/zew, narzędzia śledcze
  • 13. Wyzwania – koszty zabezpieczeń  Koszt wdrożenia  Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana  Koszty operacyjne  Administracja, wsparcie techniczne  Koszty zewnętrzne  Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników
  • 14. Zalety • Możliwość porównania racjonalności ekonomicznej – Podobnych zabezpieczeń • Antywirus A versus antywirus B – Różnych zabezpieczeń • Edukacja użytkowników versus system wykrywania wycieków danych (DLP) • Obiektywizacja kryteriów wyboru zabezpieczeń • Fakty zamiast ogólników – „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...” • Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
  • 15. Bezpieczeństwo a regulacja (*) Kilka rozpowszechnionych mitów  „Bezpieczeństwo jest najważniejsze”  Ale 100% bezpieczeństwa = 0% aktywności  Każde działanie stanowi kompromis bezpieczeństwa  „Więcej bezpieczeństwa to lepiej”  Ale to także większy koszt i mniejsza efektywność  „Tylko X zapewni wysoki poziom bezpieczeństwa”  Ale czy tutaj potrzebujemy wysokiego poziomu?
  • 16. Internetowe usługi finansowe Metoda Ilość Zalety i wady autoryzacji Sektor Sektor konsumencki Sektor korporacyjny konsumencki SMS 15 Łatwość użycia, Niska bezpieczeństwo niezaprzeczalność Sprzętowy 11 Wysokie koszty Ochrona przed token OTP zarządzania phishingiem, średnia niezaprzeczalność Wydruk OTP 7 Podstawowa ochrona Niska (TAN) przed phishingiem niezaprzeczalność Podpis 2 Wysoka cena (QES), Wysoki poziom elektroniczny kłopotliwe użycie niezaprzeczalności
  • 17. Gwarancje na oprogramowanie • Niezawodne oprogramowanie istnieje – Formalne metody dowodzenia poprawności kodu – ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted” – BNF, ASN.1 • Ale tworzenie go jest bardzo kosztowne – Common Criteria EAL2 – od 50 tys. €, 12 miesięcy – Common Criteria EAL4 – od 150 tys. €, 18 miesięcy • Czy chcemy powszechnych gwarancji na oprogramowanie? – Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
  • 18. Dostęp do usług elektronicznych w Polsce Sektor prywatny Sektor publiczny • „Wystarczający poziom • „Wysoki poziom bezpieczeństwa” bezpieczeństwa” • 2010 – 8,4 mln • 2010 – 250 tys. – 22% obywateli Dostęp do usług elektronicznych w Polsce – 0,94% obywateli 10000 8000 Liczba użytkowników [tys] 6000 4000 2000 0 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Rok
  • 19. Podporządkowanie legislacji celom strategicznym • Deklarowany cel strategiczny – „Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie” (PIP, 2006) • Deklarowane cele taktyczne – „Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury)
  • 20. Apel do ustawodawców • Jakość i racjonalność legislacji – Regulamin pracy Rady Ministrów • Analiza kosztów i zysków (§9.1) – Wytyczne do oceny skutków regulacji • Ministerstwo Gospodarki – Public ROI (PROI) • Model oceny racjonalności ekonomicznej zamówień publicznych • Interesariusze: obywatele (!), dostawcy, administracja • Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji