2. Tematy
Skąd potrzeba bezpieczeństwa?
Jak go mierzyć?
Jak wybierać zabezpieczenia?
Bezpieczeństwo a regulacja
3. Źródła bezpieczeństwa
Zewnętrzne
Klienci – łańcuch odpowiedzialności, SLA
Przepisy prawa, konkurencja, reputacja
Wewnętrzne
Klienci wewnętrzni – SLA
Analiza ryzyka
„10% szansy, że zapłacimy 10 mln zł kary”
Redukcja ryzyka jako inwestycja
„unikniemy straty 1 mln zł za jedyne 100 tys. zł”
4. Racjonalne bezpieczeństwo (*)
Chroni przed zagrożeniami
Nie kosztuje więcej niż chronione dobra
Drogi do irracjonalności
Błędna ocena ryzyka
Błędny wybór zabezpieczeń
Skutki
Strata pewna zamiast prawdopodobnej
Chybione zabezpieczenia
Błędna alokacja zasobów
5. Przykład – wirusy 1000 użytkowników
Wirus Antywirus
6 godzin Strata 5 minut/dzień
przestoju/osobę 5000 min/dzień
3 roczne etaty
10 rocznych etatów
Naprawa
Koszt: 440 tys. zł
0,12 rocznego etatu
Rocznie
Koszt: 130 tys. zł
Za jeden incydent!
6. Przykład – szyfrowanie dysków 1000 użytkowników
60 kradzieży laptopów rocznie Full-Disk Encryption
Średnio 80 rekordów Roczna licencja 53 zł/laptop
osobowych/laptop
Koszt licencji
Koszt obsługi 1 rekordu
53 tys. zł
115 zł
Koszt wsparcia technicznego
Roczny koszt incydentów
12 tys. zł
552 tys. zł
7. Wskaźniki do oceny racjonalności ekonomicznej
• Zwrot z inwestycji
– ROI - Return on Investment
• Zwrot z inwestycji w bezpieczeństwo
– ROSI – Return on Security Investment
– Inne danych wejściowe, to samo znaczenie
• Wynik – mnożnik zainwestowanego kapitału
8. ROI vs ROSI
G – „jak bardzo ograniczymy E – koszt ingorowania ryzyka
straty?” [zł] [zł]
C – koszt zabezpieczenia [zł] Sm – skuteczność
zabezpieczenia [%]
Sc – koszt zabezpieczenia
[zł]
G C E Sm Sc
ROI ROSI
C Sc
10. Przykład – Logistyka (ROI)
Prognozowane
Zabezpieczenie straty roczne "Zysk" Koszt ROI
Żadne € 75,000.00 € 0.00 € 0.00 0.00
Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26
Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00
11. Wyzwania
• Skąd dane wejściowe?
– Własne dane historyczne, tablice aktuarialne, SLA
dostawców, statystyki branżowe
• Dane obarczone dużym poziomiem niepewności
– Średnia, mediana, odchylenie standardowe
– Przedziały minimum-maksimum (widełki)
– Rząd wielkości
• Co wpływa na jakość wskaźnika?
– Analiza ryzyka
– Koszty incydentów
– Koszty zabezpieczeń
12. Wyzwania – koszty incydentów
Utracone korzyści
Czas pracy, naruszenia SLA
Kary i odszkodowania
Monitoring, odszkodowanie, kary za zaniedbania, kary za
naruszenie SLA
Koszty naprawy i śledztwa
Personel wew/zew, narzędzia śledcze
14. Zalety
• Możliwość porównania racjonalności ekonomicznej
– Podobnych zabezpieczeń
• Antywirus A versus antywirus B
– Różnych zabezpieczeń
• Edukacja użytkowników versus system wykrywania wycieków danych
(DLP)
• Obiektywizacja kryteriów wyboru zabezpieczeń
• Fakty zamiast ogólników
– „zważywszy na niniejsze wydaje się iż pewne przesłanki
mogą wskazywać na zasadność, jednakże...”
• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
15. Bezpieczeństwo a regulacja (*)
Kilka rozpowszechnionych mitów
„Bezpieczeństwo jest najważniejsze”
Ale 100% bezpieczeństwa = 0% aktywności
Każde działanie stanowi kompromis bezpieczeństwa
„Więcej bezpieczeństwa to lepiej”
Ale to także większy koszt i mniejsza efektywność
„Tylko X zapewni wysoki poziom bezpieczeństwa”
Ale czy tutaj potrzebujemy wysokiego poziomu?
16. Internetowe usługi finansowe
Metoda Ilość Zalety i wady
autoryzacji
Sektor Sektor konsumencki Sektor korporacyjny
konsumencki
SMS 15 Łatwość użycia, Niska
bezpieczeństwo niezaprzeczalność
Sprzętowy 11 Wysokie koszty Ochrona przed
token OTP zarządzania phishingiem, średnia
niezaprzeczalność
Wydruk OTP 7 Podstawowa ochrona Niska
(TAN) przed phishingiem niezaprzeczalność
Podpis 2 Wysoka cena (QES), Wysoki poziom
elektroniczny kłopotliwe użycie niezaprzeczalności
17. Gwarancje na oprogramowanie
• Niezawodne oprogramowanie istnieje
– Formalne metody dowodzenia poprawności kodu
– ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”
– BNF, ASN.1
• Ale tworzenie go jest bardzo kosztowne
– Common Criteria EAL2 – od 50 tys. €, 12 miesięcy
– Common Criteria EAL4 – od 150 tys. €, 18 miesięcy
• Czy chcemy powszechnych gwarancji na
oprogramowanie?
– Ja nie chcę! Wolę program za 300 zł, który działa
wystarczająco dobrze
18. Dostęp do usług elektronicznych w Polsce
Sektor prywatny Sektor publiczny
• „Wystarczający poziom • „Wysoki poziom
bezpieczeństwa” bezpieczeństwa”
• 2010 – 8,4 mln • 2010 – 250 tys.
– 22% obywateli Dostęp do usług elektronicznych w Polsce
– 0,94% obywateli
10000
8000
Liczba użytkowników [tys]
6000
4000
2000
0
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
Rok
19. Podporządkowanie legislacji celom
strategicznym
• Deklarowany cel strategiczny
– „Wprowadzenie i upowszechnienie usług
administracji publicznej świadczonych
drogą elektroniczną w celu ułatwienia
obywatelom i firmom prowadzenia spraw
w urzędach bez konieczności osobistego
stawiania się w urzędzie” (PIP, 2006)
• Deklarowane cele taktyczne
– „Bardzo nam zależało, by w Polsce upowszechnić
stosowanie podpisu elektronicznego, zwłaszcza
bezpiecznego. Wierzę, że rozporządzenie
przyczyni się do tego, że wiele osób zacznie taki
podpis stosować” (MNiI, 2005, e-faktury)
20. Apel do ustawodawców
• Jakość i racjonalność legislacji
– Regulamin pracy Rady Ministrów
• Analiza kosztów i zysków (§9.1)
– Wytyczne do oceny skutków regulacji
• Ministerstwo Gospodarki
– Public ROI (PROI)
• Model oceny racjonalności ekonomicznej zamówień publicznych
• Interesariusze: obywatele (!), dostawcy, administracja
• Oddziaływania: finansowe, polityczne, społeczne, strategiczne,
ideologiczne, zaufanie do administracji