Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Paweł Krawczyk - Ekonomia bezpieczeństwa

975 views

Published on

Zaktualizowana wersja prezentacji o ekonomii bezpieczeństwa przygotowana na Górską Konferencję Informatyków w 2012 roku. Patrz http://ipsec.pl/

Published in: Technology
  • Be the first to comment

Paweł Krawczyk - Ekonomia bezpieczeństwa

  1. 1. Ekonomia bezpieczeństwaPaweł Krawczyk <pawel.krawczyk@hush.com>
  2. 2. TEMATY Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja
  3. 3. ŹRÓDŁA BEZPIECZEŃSTWA Zewnętrzne  Klienci – łańcuch odpowiedzialności, SLA  Przepisy prawa, konkurencja, reputacja Wewnętrzne  Klienci wewnętrzni – SLA Analiza ryzyka  „10% szansy, że zapłacimy 10 mln zł kary” Redukcja ryzyka jako inwestycja  „unikniemy straty 1 mln zł za jedyne 100 tys. zł”
  4. 4. RACJONALNE BEZPIECZEŃSTWO (*) Chroni przed zagrożeniami Nie kosztuje więcej niż chronione dobra Drogi do irracjonalności  Błędna ocena ryzyka  Błędny wybór zabezpieczeń Skutki  Strata pewna zamiast prawdopodobnej  Chybione zabezpieczenia  Błędna alokacja zasobów
  5. 5. KRZYWA LAFFERAWpływy budżetowe Stawka podatkowa
  6. 6. KRZYWA LAFFERA
  7. 7. TECHNIKI UWIERZYTELNIANIA Sektor publiczny  Sektor prywatny  Podpis kwalifikowany  Hasła statyczne (~2000) (2001-2010)  Hasła jednorazowe  Wysoki poziom (~2002) bezpieczeństwa  Hasła SMS (~2005)
  8. 8. DOSTĘP DO USŁUG ELEKTRONICZNYCH W POLSCE Sektor prywatny  Sektor publiczny• „Wystarczający poziom bezpieczeństwa” • „Wysoki poziom bezpieczeństwa”• 2010 – 8,4 mln • 2010 – 250 tys. – 22% obywateli – 0,94% obywateli Dostęp do usług elektronicznych w Polsce 10000 8000 Liczba użytkowników [tys] 6000 4000 2000 0 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Rok
  9. 9. BEZPIECZEŃSTWO A REGULACJA (*)Kilka rozpowszechnionych mitów „Bezpieczeństwo jest najważniejsze”  Ale 100% bezpieczeństwa = 0% aktywności  Każde działanie stanowi kompromis bezpieczeństwa „Więcej bezpieczeństwa to lepiej”  Ale to także większy koszt i mniejsza efektywność „Tylko X zapewni wysoki poziom bezpieczeństwa”  Ale czy tutaj potrzebujemy wysokiego poziomu?
  10. 10. GWARANCJE NA OPROGRAMOWANIE• Niezawodne oprogramowanie istnieje – Formalne metody dowodzenia poprawności kodu – ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted” – BNF, ASN.1• Ale tworzenie go jest bardzo kosztowne – Common Criteria EAL2 – od 50 tys. €, 12 miesięcy – Common Criteria EAL4 – od 150 tys. €, 18 miesięcy• Czy chcemy powszechnych gwarancji na oprogramowanie? – Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
  11. 11. DROGA DO RACJONALNOŚCI Analiza ryzyka  Co mamy? Przed czym to chcemy chronić?  Ile kosztuje ryzyko? Ile kosztują zabezpieczenia? Analiza kosztów i korzyści (cost-benefit analysis) Techniki  Drzewa decyzyjne (decision trees)  Applied Information Economics
  12. 12. PRZYKŁAD – WIRUSY Skutki infekcji wirusa Skutki antywirusa  Sieć 1000 użytkowników  Sieć 1000 użytkowników  6 godzin przestoju/osobę  Strata 5 minut/dzień 3 roczne etaty   5000 min/dzień  Naprawa  10 rocznych etatów  0,12 rocznego etatu  Koszt: 440 tys. zł  Koszt: 130 tys. zł  Rocznie  Za jeden incydent!
  13. 13. PRZYKŁAD – SZYFROWANIEDYSKÓW 1000 UŻYTKOWNIKÓW60 kradzieży laptopów rocznie Full-Disk Encryption Średnio 80 rekordów  Roczna licencja 53 zł/laptop osobowych/laptop  Koszt licencji Koszt obsługi 1 rekordu  53 tys. zł  Koszt wsparcia technicznego  115 zł  12 tys. zł Roczny koszt incydentów  552 tys. zł
  14. 14. WSKAŹNIKI DO OCENY RACJONALNOŚCIEKONOMICZNEJ• Zwrot z inwestycji – ROI - Return on Investment• Zwrot z inwestycji w bezpieczeństwo – ROSI – Return on Security Investment – Inne danych wejściowe, to samo znaczenie• Wynik – mnożnik zainwestowanego kapitału
  15. 15. ROI VS ROSIG – „jak bardzo ograniczymy E – koszt ingorowania ryzykastraty?” [zł] [zł]C – koszt zabezpieczenia [zł] Sm – skuteczność zabezpieczenia [%] Sc – koszt zabezpieczenia [zł]
  16. 16. PRZYKŁAD – LOGISTYKA (ROSI) Prognozowane stratyZabezpieczenie Skuteczność Koszt ROSI roczne Żadne € 75,000.00 0% € 0.00 0.00Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26 Telemetryka € 2,000.00 97.30% € 1,000.00 71.98
  17. 17. PRZYKŁAD – LOGISTYKA (ROI) Prognozowane Zabezpieczenie "Zysk" Koszt ROI straty roczne Żadne € 75,000.00 € 0.00 € 0.00 0.00 Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26 Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00
  18. 18. WYZWANIA• Skąd dane wejściowe? – Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe• Dane obarczone dużym poziomiem niepewności – Średnia, mediana, odchylenie standardowe – Przedziały minimum-maksimum (widełki) – Rząd wielkości• Co wpływa na jakość wskaźnika? – Analiza ryzyka – Koszty incydentów – Koszty zabezpieczeń
  19. 19. WYZWANIA – KOSZTY INCYDENTÓW Utracone korzyści  Czas pracy, naruszenia SLA Kary i odszkodowania  Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA Koszty naprawy i śledztwa  Personel wew/zew, narzędzia śledcze
  20. 20. WYZWANIA – KOSZTY ZABEZPIECZEŃ Koszt wdrożenia  Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana Koszty operacyjne  Administracja, wsparcie techniczne Koszty zewnętrzne  Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników
  21. 21. ZALETY• Możliwość porównania racjonalności ekonomicznej – Podobnych zabezpieczeń • Antywirus A versus antywirus B – Różnych zabezpieczeń •Edukacja użytkowników versus system wykrywania wycieków danych (DLP)• Obiektywizacja kryteriów wyboru zabezpieczeń• Fakty zamiast ogólników – „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
  22. 22. Pawel.krawczyk@hush.comPYTANIA?

×