Prezentacja z XXVI Jesiennych Spotkań PTI w Wiśle (2010) poświęcona ekonomii i racjonalności bezpieczeństwa.

1. Ekonomia bezpieczeństwa
Paweł Krawczyk <pawel.krawczyk@hush.com>

2. Tematy
 Skąd potrzeba bezpieczeństwa?
 Jak go mierzyć?
 Jak wybierać zabezpieczenia?
 Bezpieczeństwo a regulacja

3. Źródła bezpieczeństwa
 Zewnętrzne
 Klienci – łańcuch odpowiedzialności, SLA
 Przepisy prawa, konkurencja, reputacja
 Wewnętrzne
 Klienci wewnętrzni – SLA
 Analiza ryzyka
 „10% szansy, że zapłacimy 10 mln zł kary”
 Redukcja ryzyka jako inwestycja
 „unikniemy straty 1 mln zł za jedyne 100 tys. zł”

4. Racjonalne bezpieczeństwo (*)
 Chroni przed zagrożeniami
 Nie kosztuje więcej niż chronione dobra
 Drogi do irracjonalności
 Błędna ocena ryzyka
 Błędny wybór zabezpieczeń
 Skutki
 Strata pewna zamiast prawdopodobnej
 Chybione zabezpieczenia
 Błędna alokacja zasobów

5. Przykład – wirusy 1000 użytkowników
Wirus Antywirus
 6 godzin  Strata 5 minut/dzień
przestoju/osobę  5000 min/dzień
3 roczne etaty

 10 rocznych etatów
 Naprawa
 Koszt: 440 tys. zł
 0,12 rocznego etatu
 Rocznie
 Koszt: 130 tys. zł
 Za jeden incydent!

6. Przykład – szyfrowanie dysków 1000 użytkowników
60 kradzieży laptopów rocznie Full-Disk Encryption
 Średnio 80 rekordów  Roczna licencja 53 zł/laptop
osobowych/laptop
 Koszt licencji
 Koszt obsługi 1 rekordu
 53 tys. zł
 115 zł
 Koszt wsparcia technicznego
 Roczny koszt incydentów
 12 tys. zł
 552 tys. zł

7. Wskaźniki do oceny racjonalności ekonomicznej
• Zwrot z inwestycji
– ROI - Return on Investment
• Zwrot z inwestycji w bezpieczeństwo
– ROSI – Return on Security Investment
– Inne danych wejściowe, to samo znaczenie
• Wynik – mnożnik zainwestowanego kapitału

8. ROI vs ROSI
G – „jak bardzo ograniczymy E – koszt ingorowania ryzyka
straty?” [zł] [zł]
C – koszt zabezpieczenia [zł] Sm – skuteczność
zabezpieczenia [%]
Sc – koszt zabezpieczenia
[zł]
G C E  Sm   Sc
ROI  ROSI 
C Sc

9. Przykład – Logistyka (ROSI)
Prognozowane straty
Zabezpieczenie roczne Skuteczność Koszt ROSI
Żadne € 75,000.00 0% € 0.00 0.00
Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26
Telemetryka € 2,000.00 97.30% € 1,000.00 71.98

10. Przykład – Logistyka (ROI)
Prognozowane
Zabezpieczenie straty roczne "Zysk" Koszt ROI
Żadne € 75,000.00 € 0.00 € 0.00 0.00
Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26
Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00

11. Wyzwania
• Skąd dane wejściowe?
– Własne dane historyczne, tablice aktuarialne, SLA
dostawców, statystyki branżowe
• Dane obarczone dużym poziomiem niepewności
– Średnia, mediana, odchylenie standardowe
– Przedziały minimum-maksimum (widełki)
– Rząd wielkości
• Co wpływa na jakość wskaźnika?
– Analiza ryzyka
– Koszty incydentów
– Koszty zabezpieczeń

12. Wyzwania – koszty incydentów
 Utracone korzyści
 Czas pracy, naruszenia SLA
 Kary i odszkodowania
 Monitoring, odszkodowanie, kary za zaniedbania, kary za
naruszenie SLA
 Koszty naprawy i śledztwa
 Personel wew/zew, narzędzia śledcze

13. Wyzwania – koszty zabezpieczeń
 Koszt wdrożenia
 Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie
techniczne, zmiana
 Koszty operacyjne
 Administracja, wsparcie techniczne
 Koszty zewnętrzne
 Obciążenie systemu, obniżenie wydajności, awarie, czas
użytkowników

14. Zalety
• Możliwość porównania racjonalności ekonomicznej
– Podobnych zabezpieczeń
• Antywirus A versus antywirus B
– Różnych zabezpieczeń
• Edukacja użytkowników versus system wykrywania wycieków danych
(DLP)
• Obiektywizacja kryteriów wyboru zabezpieczeń
• Fakty zamiast ogólników
– „zważywszy na niniejsze wydaje się iż pewne przesłanki
mogą wskazywać na zasadność, jednakże...”
• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe

15. Bezpieczeństwo a regulacja (*)
Kilka rozpowszechnionych mitów
 „Bezpieczeństwo jest najważniejsze”
 Ale 100% bezpieczeństwa = 0% aktywności
 Każde działanie stanowi kompromis bezpieczeństwa
 „Więcej bezpieczeństwa to lepiej”
 Ale to także większy koszt i mniejsza efektywność
 „Tylko X zapewni wysoki poziom bezpieczeństwa”
 Ale czy tutaj potrzebujemy wysokiego poziomu?

16. Internetowe usługi finansowe
Metoda Ilość Zalety i wady
autoryzacji
Sektor Sektor konsumencki Sektor korporacyjny
konsumencki
SMS 15 Łatwość użycia, Niska
bezpieczeństwo niezaprzeczalność
Sprzętowy 11 Wysokie koszty Ochrona przed
token OTP zarządzania phishingiem, średnia
niezaprzeczalność
Wydruk OTP 7 Podstawowa ochrona Niska
(TAN) przed phishingiem niezaprzeczalność
Podpis 2 Wysoka cena (QES), Wysoki poziom
elektroniczny kłopotliwe użycie niezaprzeczalności

17. Gwarancje na oprogramowanie
• Niezawodne oprogramowanie istnieje
– Formalne metody dowodzenia poprawności kodu
– ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”
– BNF, ASN.1
• Ale tworzenie go jest bardzo kosztowne
– Common Criteria EAL2 – od 50 tys. €, 12 miesięcy
– Common Criteria EAL4 – od 150 tys. €, 18 miesięcy
• Czy chcemy powszechnych gwarancji na
oprogramowanie?
– Ja nie chcę! Wolę program za 300 zł, który działa
wystarczająco dobrze

18. Dostęp do usług elektronicznych w Polsce
Sektor prywatny Sektor publiczny
• „Wystarczający poziom • „Wysoki poziom
bezpieczeństwa” bezpieczeństwa”
• 2010 – 8,4 mln • 2010 – 250 tys.
– 22% obywateli Dostęp do usług elektronicznych w Polsce
– 0,94% obywateli
10000
8000
Liczba użytkowników [tys]
6000
4000
2000
0
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
Rok

19. Podporządkowanie legislacji celom
strategicznym
• Deklarowany cel strategiczny
– „Wprowadzenie i upowszechnienie usług
administracji publicznej świadczonych
drogą elektroniczną w celu ułatwienia
obywatelom i firmom prowadzenia spraw
w urzędach bez konieczności osobistego
stawiania się w urzędzie” (PIP, 2006)
• Deklarowane cele taktyczne
– „Bardzo nam zależało, by w Polsce upowszechnić
stosowanie podpisu elektronicznego, zwłaszcza
bezpiecznego. Wierzę, że rozporządzenie
przyczyni się do tego, że wiele osób zacznie taki
podpis stosować” (MNiI, 2005, e-faktury)

20. Apel do ustawodawców
• Jakość i racjonalność legislacji
– Regulamin pracy Rady Ministrów
• Analiza kosztów i zysków (§9.1)
– Wytyczne do oceny skutków regulacji
• Ministerstwo Gospodarki
– Public ROI (PROI)
• Model oceny racjonalności ekonomicznej zamówień publicznych
• Interesariusze: obywatele (!), dostawcy, administracja
• Oddziaływania: finansowe, polityczne, społeczne, strategiczne,
ideologiczne, zaufanie do administracji