krawczyk ekonomia bezpieczenstwa 2
DESCRIPTION
Prezentacja z XXVI Jesiennych Spotkań PTI w Wiśle (2010) poświęcona ekonomii i racjonalności bezpieczeństwa.TRANSCRIPT
![Page 2: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/2.jpg)
Tematy
Skąd potrzeba bezpieczeństwa?
Jak go mierzyć?
Jak wybierać zabezpieczenia?
Bezpieczeństwo a regulacja
![Page 3: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/3.jpg)
Źródła bezpieczeństwa
Zewnętrzne
Klienci – łańcuch odpowiedzialności, SLA
Przepisy prawa, konkurencja, reputacja
Wewnętrzne
Klienci wewnętrzni – SLA
Analiza ryzyka
„10% szansy, że zapłacimy 10 mln zł kary”
Redukcja ryzyka jako inwestycja
„unikniemy straty 1 mln zł za jedyne 100 tys. zł”
![Page 4: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/4.jpg)
Racjonalne bezpieczeństwo (*)
Chroni przed zagrożeniami
Nie kosztuje więcej niż chronione dobra
Drogi do irracjonalności
Błędna ocena ryzyka
Błędny wybór zabezpieczeń
Skutki
Strata pewna zamiast prawdopodobnej
Chybione zabezpieczenia
Błędna alokacja zasobów
![Page 5: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/5.jpg)
Przykład – wirusy 1000 użytkowników
Wirus
6 godzin przestoju/osobę
3 roczne etaty
Naprawa
0,12 rocznego etatu
Koszt: 130 tys. zł
Za jeden incydent!
Antywirus
Strata 5 minut/dzień
5000 min/dzień
10 rocznych etatów
Koszt: 440 tys. zł
Rocznie
![Page 6: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/6.jpg)
Przykład – szyfrowanie dysków 1000 użytkowników
Full-Disk Encryption
Roczna licencja 53 zł/laptop
Koszt licencji
53 tys. zł
Koszt wsparcia technicznego
12 tys. zł
60 kradzieży laptopów rocznie
Średnio 80 rekordów osobowych/laptop
Koszt obsługi 1 rekordu
115 zł
Roczny koszt incydentów
552 tys. zł
![Page 7: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/7.jpg)
Wskaźniki do oceny racjonalności ekonomicznej
• Zwrot z inwestycji
– ROI - Return on Investment
• Zwrot z inwestycji w bezpieczeństwo
– ROSI – Return on Security Investment
– Inne danych wejściowe, to samo znaczenie
• Wynik – mnożnik zainwestowanego kapitału
![Page 8: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/8.jpg)
ROI vs ROSI
c
cm
SSSEROSI
E – koszt ingorowania ryzyka [zł]
Sm – skuteczność zabezpieczenia [%]
Sc – koszt zabezpieczenia [zł]
CCGROI
G – „jak bardzo ograniczymy straty?” [zł]
C – koszt zabezpieczenia [zł]
![Page 9: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/9.jpg)
Przykład – Logistyka (ROSI)
71.98€ 1,000.0097.30%€ 2,000.00Telemetryka
-0.26€ 100,000.0098.70%€ 1,000.00Eskorta ochrony
0.00€ 0.000%€ 75,000.00Żadne
ROSIKosztSkutecznośćPrognozowane straty roczneZabezpieczenie
![Page 10: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/10.jpg)
Przykład – Logistyka (ROI)
72.00€ 1,000.00€ 73,000.00€ 2,000.00Telemetryka
-0.26€ 100,000.00€ 74,000.00€ 1,000.00Eskorta ochrony
0.00€ 0.00€ 0.00€ 75,000.00Żadne
ROIKoszt"Zysk"Prognozowane straty roczneZabezpieczenie
![Page 11: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/11.jpg)
Wyzwania
• Skąd dane wejściowe?
– Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe
• Dane obarczone dużym poziomiem niepewności
– Średnia, mediana, odchylenie standardowe
– Przedziały minimum-maksimum (widełki)
– Rząd wielkości
• Co wpływa na jakość wskaźnika?
– Analiza ryzyka
– Koszty incydentów
– Koszty zabezpieczeń
![Page 12: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/12.jpg)
Wyzwania – koszty incydentów
Utracone korzyści
Czas pracy, naruszenia SLA
Kary i odszkodowania
Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA
Koszty naprawy i śledztwa
Personel wew/zew, narzędzia śledcze
![Page 13: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/13.jpg)
Wyzwania – koszty zabezpieczeń
Koszt wdrożenia
Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana
Koszty operacyjne
Administracja, wsparcie techniczne
Koszty zewnętrzne
Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników
![Page 14: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/14.jpg)
Zalety
• Możliwość porównania racjonalności ekonomicznej
– Podobnych zabezpieczeń
• Antywirus A versus antywirus B
– Różnych zabezpieczeń
• Edukacja użytkowników versus system wykrywania wycieków danych (DLP)
• Obiektywizacja kryteriów wyboru zabezpieczeń
• Fakty zamiast ogólników
– „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”
• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
![Page 15: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/15.jpg)
Bezpieczeństwo a regulacja (*)
Kilka rozpowszechnionych mitów
„Bezpieczeństwo jest najważniejsze”
Ale 100% bezpieczeństwa = 0% aktywności
Każde działanie stanowi kompromis bezpieczeństwa
„Więcej bezpieczeństwa to lepiej”
Ale to także większy koszt i mniejsza efektywność
„Tylko X zapewni wysoki poziom bezpieczeństwa”
Ale czy tutaj potrzebujemy wysokiego poziomu?
![Page 16: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/16.jpg)
Internetowe usługi finansowe
Wysoki poziom niezaprzeczalności
Wysoka cena (QES), kłopotliwe użycie
2Podpis elektroniczny
Niska niezaprzeczalność
Podstawowa ochrona przed phishingiem
7Wydruk OTP (TAN)
Ochrona przed phishingiem, średnia niezaprzeczalność
Wysokie koszty zarządzania
11Sprzętowy token OTP
Niska niezaprzeczalność
Łatwość użycia, bezpieczeństwo
15SMS
Sektor korporacyjnySektor konsumenckiSektor konsumencki
Zalety i wadyIlośćMetoda autoryzacji
![Page 17: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/17.jpg)
Gwarancje na oprogramowanie
• Niezawodne oprogramowanie istnieje
– Formalne metody dowodzenia poprawności kodu
– ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”
– BNF, ASN.1
• Ale tworzenie go jest bardzo kosztowne
– Common Criteria EAL2 – od 50 tys. €, 12 miesięcy
– Common Criteria EAL4 – od 150 tys. €, 18 miesięcy
• Czy chcemy powszechnych gwarancji na oprogramowanie?
– Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
![Page 18: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/18.jpg)
Dostęp do usług elektronicznych w Polsce
Sektor prywatny• „Wystarczający poziom
bezpieczeństwa”• 2010 – 8,4 mln
– 22% obywateli
Sektor publiczny• „Wysoki poziom
bezpieczeństwa”• 2010 – 250 tys.
– 0,94% obywateliDostęp do usług elektronicznych w Polsce
0
2000
4000
6000
8000
10000
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
Rok
Licz
ba u
żytk
owni
ków
[tys
]
![Page 19: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/19.jpg)
Podporządkowanie legislacji celom strategicznym
• Deklarowany cel strategiczny– „Wprowadzenie i upowszechnienie usług
administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie” (PIP, 2006)
• Deklarowane cele taktyczne– „Bardzo nam zależało, by w Polsce upowszechnić
stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury)
![Page 20: Krawczyk Ekonomia Bezpieczenstwa 2](https://reader034.vdocuments.mx/reader034/viewer/2022051515/5563788ed8b42a4b628b5238/html5/thumbnails/20.jpg)
Apel do ustawodawców
• Jakość i racjonalność legislacji
– Regulamin pracy Rady Ministrów
• Analiza kosztów i zysków (§9.1)
– Wytyczne do oceny skutków regulacji
• Ministerstwo Gospodarki
– Public ROI (PROI)• Model oceny racjonalności ekonomicznej zamówień publicznych
• Interesariusze: obywatele (!), dostawcy, administracja
• Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji