Your SlideShare is downloading. ×
0
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Krawczyk   Ekonomia Bezpieczenstwa 2
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Krawczyk Ekonomia Bezpieczenstwa 2

481

Published on

Prezentacja z XXVI Jesiennych Spotkań PTI w Wiśle (2010) poświęcona ekonomii i racjonalności bezpieczeństwa.

Prezentacja z XXVI Jesiennych Spotkań PTI w Wiśle (2010) poświęcona ekonomii i racjonalności bezpieczeństwa.

1 Comment
1 Like
Statistics
Notes
  • ryzyko i zwrot z inwestycji
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total Views
481
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
1
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush.com>
  • 2. Tematy  Skąd potrzeba bezpieczeństwa?  Jak go mierzyć?  Jak wybierać zabezpieczenia?  Bezpieczeństwo a regulacja
  • 3. Źródła bezpieczeństwa  Zewnętrzne  Klienci – łańcuch odpowiedzialności, SLA  Przepisy prawa, konkurencja, reputacja  Wewnętrzne  Klienci wewnętrzni – SLA  Analiza ryzyka  „10% szansy, że zapłacimy 10 mln zł kary”  Redukcja ryzyka jako inwestycja  „unikniemy straty 1 mln zł za jedyne 100 tys. zł”
  • 4. Racjonalne bezpieczeństwo (*)  Chroni przed zagrożeniami  Nie kosztuje więcej niż chronione dobra  Drogi do irracjonalności  Błędna ocena ryzyka  Błędny wybór zabezpieczeń  Skutki  Strata pewna zamiast prawdopodobnej  Chybione zabezpieczenia  Błędna alokacja zasobów
  • 5. Przykład – wirusy 1000 użytkowników Wirus Antywirus  6 godzin  Strata 5 minut/dzień przestoju/osobę  5000 min/dzień 3 roczne etaty   10 rocznych etatów  Naprawa  Koszt: 440 tys. zł  0,12 rocznego etatu  Rocznie  Koszt: 130 tys. zł  Za jeden incydent!
  • 6. Przykład – szyfrowanie dysków 1000 użytkowników 60 kradzieży laptopów rocznie Full-Disk Encryption  Średnio 80 rekordów  Roczna licencja 53 zł/laptop osobowych/laptop  Koszt licencji  Koszt obsługi 1 rekordu  53 tys. zł  115 zł  Koszt wsparcia technicznego  Roczny koszt incydentów  12 tys. zł  552 tys. zł
  • 7. Wskaźniki do oceny racjonalności ekonomicznej • Zwrot z inwestycji – ROI - Return on Investment • Zwrot z inwestycji w bezpieczeństwo – ROSI – Return on Security Investment – Inne danych wejściowe, to samo znaczenie • Wynik – mnożnik zainwestowanego kapitału
  • 8. ROI vs ROSI G – „jak bardzo ograniczymy E – koszt ingorowania ryzyka straty?” [zł] [zł] C – koszt zabezpieczenia [zł] Sm – skuteczność zabezpieczenia [%] Sc – koszt zabezpieczenia [zł] G C E  Sm   Sc ROI  ROSI  C Sc
  • 9. Przykład – Logistyka (ROSI) Prognozowane straty Zabezpieczenie roczne Skuteczność Koszt ROSI Żadne € 75,000.00 0% € 0.00 0.00 Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26 Telemetryka € 2,000.00 97.30% € 1,000.00 71.98
  • 10. Przykład – Logistyka (ROI) Prognozowane Zabezpieczenie straty roczne "Zysk" Koszt ROI Żadne € 75,000.00 € 0.00 € 0.00 0.00 Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26 Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00
  • 11. Wyzwania • Skąd dane wejściowe? – Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe • Dane obarczone dużym poziomiem niepewności – Średnia, mediana, odchylenie standardowe – Przedziały minimum-maksimum (widełki) – Rząd wielkości • Co wpływa na jakość wskaźnika? – Analiza ryzyka – Koszty incydentów – Koszty zabezpieczeń
  • 12. Wyzwania – koszty incydentów  Utracone korzyści  Czas pracy, naruszenia SLA  Kary i odszkodowania  Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA  Koszty naprawy i śledztwa  Personel wew/zew, narzędzia śledcze
  • 13. Wyzwania – koszty zabezpieczeń  Koszt wdrożenia  Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana  Koszty operacyjne  Administracja, wsparcie techniczne  Koszty zewnętrzne  Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników
  • 14. Zalety • Możliwość porównania racjonalności ekonomicznej – Podobnych zabezpieczeń • Antywirus A versus antywirus B – Różnych zabezpieczeń • Edukacja użytkowników versus system wykrywania wycieków danych (DLP) • Obiektywizacja kryteriów wyboru zabezpieczeń • Fakty zamiast ogólników – „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...” • Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
  • 15. Bezpieczeństwo a regulacja (*) Kilka rozpowszechnionych mitów  „Bezpieczeństwo jest najważniejsze”  Ale 100% bezpieczeństwa = 0% aktywności  Każde działanie stanowi kompromis bezpieczeństwa  „Więcej bezpieczeństwa to lepiej”  Ale to także większy koszt i mniejsza efektywność  „Tylko X zapewni wysoki poziom bezpieczeństwa”  Ale czy tutaj potrzebujemy wysokiego poziomu?
  • 16. Internetowe usługi finansowe Metoda Ilość Zalety i wady autoryzacji Sektor Sektor konsumencki Sektor korporacyjny konsumencki SMS 15 Łatwość użycia, Niska bezpieczeństwo niezaprzeczalność Sprzętowy 11 Wysokie koszty Ochrona przed token OTP zarządzania phishingiem, średnia niezaprzeczalność Wydruk OTP 7 Podstawowa ochrona Niska (TAN) przed phishingiem niezaprzeczalność Podpis 2 Wysoka cena (QES), Wysoki poziom elektroniczny kłopotliwe użycie niezaprzeczalności
  • 17. Gwarancje na oprogramowanie • Niezawodne oprogramowanie istnieje – Formalne metody dowodzenia poprawności kodu – ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted” – BNF, ASN.1 • Ale tworzenie go jest bardzo kosztowne – Common Criteria EAL2 – od 50 tys. €, 12 miesięcy – Common Criteria EAL4 – od 150 tys. €, 18 miesięcy • Czy chcemy powszechnych gwarancji na oprogramowanie? – Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
  • 18. Dostęp do usług elektronicznych w Polsce Sektor prywatny Sektor publiczny • „Wystarczający poziom • „Wysoki poziom bezpieczeństwa” bezpieczeństwa” • 2010 – 8,4 mln • 2010 – 250 tys. – 22% obywateli Dostęp do usług elektronicznych w Polsce – 0,94% obywateli 10000 8000 Liczba użytkowników [tys] 6000 4000 2000 0 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Rok
  • 19. Podporządkowanie legislacji celom strategicznym • Deklarowany cel strategiczny – „Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie” (PIP, 2006) • Deklarowane cele taktyczne – „Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury)
  • 20. Apel do ustawodawców • Jakość i racjonalność legislacji – Regulamin pracy Rady Ministrów • Analiza kosztów i zysków (§9.1) – Wytyczne do oceny skutków regulacji • Ministerstwo Gospodarki – Public ROI (PROI) • Model oceny racjonalności ekonomicznej zamówień publicznych • Interesariusze: obywatele (!), dostawcy, administracja • Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji

×