Архив метки: экономическая безопасность

Любите обзоры из серии «3 года спустя»?..

…Как люблю их я? Вообще, в литературных жанрах и публицистике, у меня не много фаворитов. Например, я крайне редко читаю обзоры, особенно после премьеры/релиза. Там два варианта, либо все херня, либо понравилось так, что второй куплю. При том, что и те, и другие могут быть проплачены для пиару.

infosek_2В журналистике мне очень нравятся материалы из серии «N лет спустя», особенно, когда автор рассказывает о своих ожиданиях и их реализации. Именно поэтому, всякие модные штуки, должны пройти проверку временем. Вот, был BYOD, и где он сейчас? Можно с чистой совестью сказать, что проверка временем не пройдена.

А тут и мне представился шанс, поучаствовать в таком формате. 21 сентября, в среду, с 15-05 в зале K1 на Infosec – буду делиться своими горестями и радостями по экономической оценке. Три года назад, на круглом столе, я представлял нашу методику, которая добралась до релиза.

Три года, мы были в свободном плавании. За это время улучшилась концепция и методика, реализованы проекты, вскрылись концептуальные проблемы. Понятно, за 20 минут не сделаешь даже введения в проблематику, а о чем-то и не буду рассказывать, ибо коммерческая тайна. :) А то три года назад, наши гуру раскритиковали все и вся, т.к. не было показано главной формулы. :)

Так, что приглашаю всех желающих, окунуться в мир цифр рисков информационной безопасности.

P.S. А в конце неделе, 23 сентября, буду на BISS-саммите. Туда я все-таки пролез, как участник кибербаталий. Буду заниматься дегустацией еды :)

biss

Темы битвы: почему не растут угрозы?

Эх, давно не писал. Сильно скучал я по этому делу. Как вы знаете, меня рекрутировали за корзину печенья и банку варенья участвовать в Кибербитве. Неожиданно, я даже победил. Говорят, все любят андердогов и сравнивали меня с Исландией :)

before

Пара слов о мероприятии, в целом довольно интересно, но были свои минусы:

  1. Крайне мало времени на вопрос. Что является следствием большого количества вопросов, достаточно 3-4.
  2. Олег, не стоит менять тему за день до битвы. Уж не знаю, откуда там взялись роботы.
  3. Общее голосование, вместо раундового.
  4. крайне неудобно смотреть, нет чатика, не работает капча (!!) в форме вопросов.

Т.к. времени было не много, а позиция моя по многим вопросам была крайне неортодоксальной, я решил полнее раскрыть тему. И сегодня про угрозы.

Кстати, кто пропустил — полная версия:

Тема 1. Какой будет динамика роста внутренних угроз в ближайшее время?

Динамика будет нулевая. За всю новейшую историю информационной безопасности, мы создали огромный и страшный маркетинговый пузырь угроз. Чем было страшнее, тем проще нам было выбивать бюджеты (внутренние и внешние), и вообще обосновывать свою нужность (хотя с этим у нас до сих пор серьезные проблемы). Но уже пару лет это не работает.

По сути, роста внутренних угроз не происходит. Если взять классическую формулу риска, то в ней вообще нет угроз (и тем более уязвимостей), которыми мы так привыкли пугать директоров в СМИ и на конференциях. Классическая формула из ISO:

Величина риска = вероятность события * размер ущерба

где

Вероятность события = вероятность угрозы * величина уязвимости

сделав подстановку, получаем

Величина риска = вероятность угрозы *величина уязвимости* размер ущерба

Классическая схема рисков ИБ

Классическая схема рисков ИБ

Как видим угрозы и уязвимости это переменные второго порядка. Это такие переменные, которые могут быть неважны, если известна величина первого порядка. Например, вероятность попасть в авиакатастрофу составляет 0.00001% (вероятность события). И уже не важно, вследствие каких угроз или уязвимостей это произошло – теракты, ошибки и т.п. Все отрасли работают с вероятностью события, мы же зарываемся все глубже и глубже. Например, страховщики уже давно все посчитали и создали даже свой раздел математики (актуарная математика).

При том, что под «вероятностью угрозы» здесь понимается likelihood (а не классическое probability), что тоже переводиться как вероятность, но характеризуется частотой реализации угрозы за определенный период времени. Крайне не надежная величина.

Величина уязвимости – вероятность того, что угроза будет реализована с помощью данной конкретной уязвимости. Т.е. вполне может быть, что супер-пупер критичная уязвимость может никогда не реализовать.

Неутешительный краткий вывод можно сделать следующий. Мы сами сильно преувеличиваем значение уязвимостей (как причину реализации конкретных угроз). На этом преувеличении мы пытаемся породить множество страхов в своих умах, и умах бюджетопридержащих. И, это подвело нас к пропасти, к которой мы делаем гигантские шаги вперед.

 

Говоря, нас – я говорю о группе под самоназванием «поИБэ». Это вендоры, интеграторы, заказчики, множество специалистов разных направлений. К коей я тоже себя отношу. Осознать, и открыто выразить свою принадлежность к некоей группе, неизбежно отрекаясь при этом от принадлежности ко многим другим группам, — не шутка. Мы (современные люди) принимаем такие решения ежеминутно.

Например, можно заметить, что в основе этих решений часто лежат не логические умозаключения, а эмоции. «Мы животные» звучит обидно. Многие готовы долго и яростно доказывать, что это не так, что люди не животные. «Мы обезьяны» — совсем уж вызывающее заявление, от которого попахивает нигилизмом и общественным вызовом. При этом фразы «мы млекопитающие», «мы позвоночные», «мы многоклеточные» воспринимаются спокойно.

Между тем с биологической точки зрения все эти утверждения одинаково верны. Вот несколько разных «мы», узаконенных современной биологической наукой. Мы многоклеточные. Мы эукариоты. Мы жгутиковые. Мы животные. Мы вторичноротые. Мы хордовые. Мы позвоночные. Мы челюстноротые. Мы четвероногие. Мы амниоты. Мы синапсиды. Мы млекопитающие. Мы плацентарные. Мы приматы. Мы обезьяны (или, что то же самое, антропоиды). Мы узконосые обезьяны. Мы человекообразные обезьяны, или гоминоиды (по-английски apes). Мы большие человекообразные обезьяны (great apes). Мы большие африканские человекообразные обезьяны (african great apes). Наконец, мы люди.

В наследство от наших предков и родичей, нам досталось три основные доминанты поведения (мотивов) (в порядке убывания):

  • еда
  • размножение
  • доминантность

(кстати, если вы адепт Пирамиды Маслоу – вам надо пересмотреть свои взгляды).

И именно это мы упустили, когда кинулись надувать наш пузырь страха. А теперь не понимаем, почему нас задвигают подальше. Посмотрим, как в связи с этим меняется наша картина ИБ рисков, на реальные риски.

Классическая схема риска

Классическая схема риска

Упс. Оказалось, что субъект, воздействуя через свои доминанты на объект (защищаемую информацию, активы, любую ценность), уже имеет полное множество (или пространство) причин. Которое может реализовать огромным числом способов. И наши уязвимости поИБэ, всего лишь капля в море (переменная второго порядка). У нас ведь как? Придумают новую технологию, и давай в ней уязвимости новые перечислять. По сути этот взбалтывание крайне незначительных (бесконечномалых) факторов в глобальной сфере рисков (помните про авиакатастрофы?).

Через данные доминанты можно выразить любое поведение человека от альтруизма до похуизма. И это мы еще не затронули наш великий разум (большие лобные доли), который еще меньше оставляет места для наших угроз.

Например, на данной битве было два мотивированных человека: Олег с точки зрения доминирования, и Дима с мотивом еды (победителя покормят на BISA Summit). Понятно, что при прочих равных Олег не будет тыкать Диме ручкой в глаз. В то время, как Диме отступать некуда.

Например, в нашей отрасли сейчас кризис. Увольнения, задержки зарплаты и т.п. Из наших вендоров и интеграторов уже вынесли все более-менее ценное. От клиентов, до листов рассылки для спама. Голодный человек обойдет наши CPB и глазом не моргнет. Тогда зачем мы?

В поИБэ мы ставим способ реализации во главу угла. Все наши ЧМУ пестрят действиями (например, Кража носителей информации или Установка ПО не связанного с исполнением служебных обязанностей), а субъектам уделяем 3 абзаца в модели нарушителей. Мы ставим DLP и не знаем, что ответить на вопрос заказчика – а от фотографирования экрана защищает?

Не даром, ни одно внедрение СЗИ не может обойтись без оргмер. Зачем ломать сложный пароль, если можно подсмотреть?

Вывод напрашивается неутешительный. В маркетинговой погоне за страхом (не только со стороны вендоров, но и внутри заказчиков), мы так давили на эти страхи, что нас раскусили и больше не бояться (читай, дают все меньше денег). Т.к. не удается доказать бизнесу значимость этих бесконечномалых величин. Надо отпрыгивать от пропасти.

 

P.S. Уже стал известен мой оппонент по полуфиналу Эльман Бейбутов из Solar. Мой прогноз: мне надерут задницу. Ведь в Solar работает больше 100 человек. Но я буду биться.

Хотите это видеть? Поставьте напоминалку.

Искусство задавать вопросы, или ключ к экономической оценке

БухгалтерВы спросите: «Дима, что ты втираешь нам какую-то дичь про Чингисхана и бани? Давай ближе к делу!». «Не все сразу», отвечу я. Вообще, удивительно, как люди относятся к финансовой оценке чего-либо, не говоря уже об оценке информационной безопасности. Будто это что-то сакральное.

Помнится, в 2013 году, на круглом столе у Алексея Лукацкого, когда я представлял метод оценки эффективности проектов по информационной безопасности, все вокруг говорили, что оценивать ИБ в деньгах — это очень сложно. Это просто неподъемная задача, и т.д. и т.п. Вообще, вся та выставка (а был это Infosec) была просто помешана на экономических показателях. К сожалению, дальше ROI (возврат инвестиций, который вообще к безопасности не применим) никто не ушел. На стенде у StoneSoft на слайде увидел NPV (чистая приведенная стоимость). До сих пор популярно мнение, что все пусть оценивают, что хотят, а нашу родную безопасность будем оценивать качественно и только так. Да и закончим с лирическим вступлением.

Как вы поняли по вступлениям (это которые про монголов и бани, а не про Лукацкого), ключевым понятием в оценке является корректность постановки вопроса. Помните, как в институте говорили? Вопрос — это половина ответа. Так и у нас.

Разберем пример. Пример будет на общую тематику. Как и в любом пособии, сначала надо понимать общую концепцию (оценка), а потом уже переходить к специализации (оценка безопасности).

Аккурат 30 ноября обратился ко мне хороший человек. Этот человек был инвестором, и хотел он вложиться в один старт-ап. У него были деньги, но он не мог определить, стоящее ли дело или нет? Обсудив условия работы и цену (как всегда надо быстро и просто), мы договорились об экспресс-анализе, и я стал общаться с разработчиком. Тема не шибко мне близкая – ресторанный бизнес, поэтому я мог сделать лишь негативный расчет.

В оценке чего угодно есть три варианта:

  • оптимистичный (или позитивный) – это когда нам прет не по-детски и все складывается самым удачным образом. Это наш потолок. Все, чего хотелось желать. Такого практически никогда не бывает. Если вы развиваетесь по оптимистичному варианту, значит вы упустили перспективные возможности развития.
  • пессимистический (или негативный) – это когда мы прикупаем два туза на мизере. Это наше дно. Катастрофа, мы просчитались, где могли, и балансируем на грани пропасти. Такое тоже редко бывает.
  • реалистичный — какая-то середина между позитивом и негативом. 95% всех оценок попадают сюда. Для простоты будем считать реалистичный вариант арифметическим средним между крайними вариантами (лишняя математика нам сейчас ни к чему).

Отдельно я выделяю понятие форс-мажора — это когда все не задалось настолько, что уже проще закрыться, чем мучиться. Некоторые смешивают это понятие с пессимистичным сценарием.

Поговорив с разработчиком и посидев 3 часа, выдал результат (обезличил, убрал расчеты и всякое конфиденциальное):

Экспресс_анализ_бизнес-плана

Как видите, все вопросы стандартные – посчитать инвестиции, TOS, точку безубыточности, пара шаманств — и готово. «Что за дичь?», – спросите вы – «Где конкретика?». Дьявол, в деталях. Конкретно здесь было сложно учесть специфику ресторанного бизнеса (а, говоря по-нашему, риски. Забегая вперед, скажу, что вся оценка информационной безопасности — это и есть специфика конкретного бизнеса):

  • расположение и проходимость;
  • средний чек;
  • меню и логистику.

Но все это просто делается даже просто в гугле, а если уж есть доступ к спецданным, то вообще легко. Главное что? Правильно, грамотно ставить вопросы. Расскажу только об одном, иначе это затянется.

Меню. Все накладные расходы (аренда, люди, коммуналка и т.п.) – это простые (линейные) параметры. Бери и умножай. А вот меню зависит от кучи параметров, которые мало того, что надо купить, так еще и привезти. Меню — вещь довольно сложная, там блюдо может состоять на 90% из овощей стоимостью 10 рублей, и 10% мяса стоимостью 900 рублей. Тут уже без разработчика (или говоря обще – владельца ресурса или информации) не обойтись. Получив от него данные, задача из нелинейной превратилась в линейную (бери и умножай).

Счетовод

И в заключении. Вы всегда сможете посчитать негативный вариант, и именно в этом ваша цель. Берите самые высокие расценки, самые плохие условия, годы вместо дней. Если вы будете понимать дно, то легче найдете потолок.

И тогда вы сможете уже переходить к сложным вопросам. Например, есть средство защиты от DDOS, годовая стоимость обслуживания 30 миллионов долларов. Надо ли оно нам? :)

Вот такая работка была у меня в начале месяца. Всего вам доброго.

Введение в экономику безопасности (пример)

В прошлый раз я рассказывал о вопросах, волнующих меня по поводу татаро-монгольского Ига. А сегодня поговорим о другом вопросе.

Счетовод

Поехали

Собственно, вопрос я поставил так — Как часто мылись в банях русские крестьяне?

Причиной этому послужил огромный спектр свидетельств и мнений — от того, что крестьяне вообще не мылись, до того, что русские были чистоплотней всех просвещенных европейцев вмести взятых.

Будем считать, что в банях моются лишь в холодный период времени. Летом можно и в речке помыться или под дождичком поскрестись. С поправкой на суровость климата в средней полосе России в то время примем холодный период, равный шести месяцам. Т.е. 6 месяцев мылись в банях, а в остальное время как-то по-другому.

Что такое баня? Традиционные русские бани (деревенские) делятся на:

  •  Бани, отапливаемые «по-чёрному», имеют открытый очаг, который прогревает не только камни, но и стены бани. Дым от очага выходит через дверь или отдушину в потолке. Обычно в ней есть каменка из валунов-окатышей и котёл для горячей воды. Протапливается дровами, предпочтительно лиственных пород (например, берёзовыми). При неправильной топке баня «горчит». Древесина внутри бани сильно коптится, в результате стены бани — тёмного цвета, но это также служит целям дезинфекции помещения бани.
  • Бани, отапливаемые «по-белому», бывают различных конструкций. В такой бане обязательно имеется каменная, кирпичная или металлическая печь с баком для нагревания воды. Такая баня требует для натапливания больше дров, однако намного проще и приятнее в эксплуатации. Такую конструкцию имеют и современные индивидуальные бани.
  • Баня внутри русской печи. Печь протапливается, в чугунах нагревается вода. После топки с пода печи убирается зола и насыпается солома. Жар сгребается в угол печи. После этого можно мыться, забравшись в печь и даже осторожно париться веником, чтобы не натаскать на себя сажи. Вероятно, отсюда происходит украинское название бани — «ла́зня»

Усредним эти данные, и будем представлять баню как помещение с источником тепла (печкой), нагретое до 80-100 градусов для пара (и до 40 градусов для воды), и где, кроме всего прочего, греют воду.

Сколько же потребуется дров, чтобы попариться в бане? Так, как это представляется в обществе — с троекратным заходом в парилку, с купанием в снегу (или обливанием холодной водой)?

На даче у меня есть печка-буржуйка. Чтобы в течение 4 часов там поддерживать приемлемую температуру (от 28 до 18 градусов), ее необходимо растопить приблизительно 10 паленьями (2 кг дров), и затратить на это около двух часов. Т.е. мы получаем 6 часов тепла.

Чтобы на моей буржуйке добиться искомых 80-100 градусов, потребуется в 3 раза больше времени и дров (будем считать зависимость линейной). Итого 6 часов и 6 кг дров, чтобы подготовить баню. Собственно, время не расходится с нашими представлениями. Нам известно, что баню надо предварительно протопить, это занимает определенное время. Скорректируем для простоты счета — уменьшим время до реального (2 часа), а количество дров увеличим до 10 кг. Расход современных печек подтверждает наш расчет (аналитический расчет сошелся с фактическим).

В итоге, чтобы вся деревня в 100 человек могла помыться в бане хотя бы раз в месяц (по 5 человек в бане), в год потребуется:

20партий*6месяцев*10 кг= 1200 кг дров

Могли ли крестьяне позволить себе потратить 1200 кг дров суровой русской зимой на помывку? Это с учетом, что надо еще и свои избы отапливать? Могла ли помывка в банях носить повсеместный характер? На мой взгляд, не могла. Помывка в банях носила скорее характер лоскутный.

P.S.: Есть мнение, что тонна дров — это приемлемая величина для заготовки на зиму на помывку. Если так рассматривать (люди ведь разные, силы у всех разные), то да – могли мыться и раз в неделю (тогда число дров увеличивается всего до нескольких тонн – 4-5).

P.S.S.: Если исходить из моих расчетов, то в деревнях могли мыться и каждую неделю. Заковырка оказалась в интерпретации результатов. Благодарность всем, кто топит бани, заготавливает дрова и поделился со мной знаниями по этому поводу.

Введение в экономику безопасности

Тяга к знаниямОт природы я человек любопытный. Любопытство мое неактивное, носит созерцательный характер. Не, я тоже любил разбирать все и смотреть, как оно устроено. Но не более, пальцы в розетку не совал. Один раз только попробовал запитать тетрис, намотав проволоку на контакты и сунув в розетку :)

Мой метод исследования — это «оказаться в нужном месте в нужное время». Посмотреть, как оно работает, увидеть какое-то редкое явление, завалить вопросами по предмету. Т.е. для меня первичен объект. Как разберемся с внешним объектом, так можно уже лезть внутрь — разбираться. А кто-то действует по-другому, например, разнообразные вивисекторы (это которые режут по живому, а потом исследуют как оно там).

Основой в моем любопытстве является простое соображение — вокруг полно информации. Если ее уметь обрабатывать, можно приблизиться к пониманию и уже делать какие-то выводы. На этом, кстати, и строится измерение безопасности.

Если учесть, что каждый объект обладает всей информацией о самом себе, информационный поток походит на шквал — утонешь и не всплывешь. С какого краю браться? Чего искать? Потому и ценится так искусство исследователя.

В чем залог успеха хорошего исследования? В умении правильно задавать вопросы. В основном себе, и уже на это рыть информацию.

Когда-то давно я ознакомился со знатной книжкой «Фрикономика. Мнение экономиста-диссидента о неожиданных связях между событиями и явлениями» (вторая часть не очень), за авторством Стивена Д. Левитта и Стивена Дж. Дабнера. Авторы доступным языком показывают необходимость вопроса при исследовании и обработке больших объемов данных на простейших бытовых примерах. Учат смотреть на вопросы с экономической точки зрения. Например, почему торговцы наркотиками продолжают жить со своими родителями? Всем рекомендую.

И вот я задался двумя новыми вопросами. Оба связаны с историей нашего народа.

Первый вопрос

Первый вопрос у меня связан с татаро-монгольским игом. Как много татаро-монгол могло прийти на Русь?

ЧингизханОбычный воин Орды — это всадник, с пикой и луком. Одна лошадь должна съедать в день до 14 кг корма (для легкой нагрузки зимой), уменьшим это количество до 10 кг для простоты счета (и скинем на мелкокостность монгольских лошадей).

Поэтому я не думаю, что монголы смогли бы собрать миллион воинов (или сколько там в учебниках пишут?). Что более вероятно? Чингизхан мог собрать под свои знамена примерно до 95 тыс. воинов. С поправками будем считать, что для похода на Русь и Европу (которую мы героически защитили от этой угрозы) монголы собрали 200 тыс. человек (150 тыс. всадников + 50 тыс. пеших с обозом и обслуживающим персоналом).

150 тыс. всадников — это минимум 150 тыс. лошадей, не считая запасных, которых надо минимум еще по одной. Таким образом, имеем 300 тысяч лошадей (это по минимуму), которые должны съедать до 3 миллионов кг корма в день или 300 тонн в день.

Здесь бы хорошо прикинуть, сколько корма произрастает на одном гектаре. Но тут у нас хуже всего, поэтому будем оценивать по траве Кинельская 100: урожай зеленой массы 30 т/га, семян 1,5 т/га. Уменьшим до 10 т/га исходя из следующих соображений: 1) это культивируемая трава, и в реальности растет не так бурно; 2) трава в степях немного не такая, как в полях, а в лесах ее совсем нет. Так что примем это как нашу экспертную оценку.

Т.е. весь этот огромный табун должен был пастись на 30 гектарах каждый день – не так плохо. Если монгол было миллион — то это 150 га в день. Много это или мало? Сложно сказать, для одного дня не особо много (100 га равно 1 квадратному километру). А если считать все стоянки? Обоз опять же не самый мобильный юнит – не однозначно все как-то. А еще зима в Сибири бывает, тогда уж травы не особо много.

Кто подскажет, сколько официально в летописях пишут численность Орды? Могли ли монголы дойти до Европы? А доходили ли они до Руси? Ведь война – это прежде всего обеспечение, фураж и походы, в иных войнах до прямых боев может и не доходить.

Во такой вопрос у меня возник :)  А про второй вопрос расскажу как-нибудь в другой раз.

Пролез: Оценка эффективности проектов по информационной безопасности в компании.

Пролез: Открытая безопасностьВ этой программе мы поговорим с Дмитрием Дудко на тему Оценки эффективности проводимых проектов ИБ в компании.

Зачем нужна оценка эффективности реализуемых проектов ИБ в компании?

Как посчитать эффективность работы отдела ИБ в компании?

Как сформировать правильные KPI?

Почему не рассчитывают в деньгах эффект от внедрения СЗИ?

Примеры необходимости количественной оценки.

Как лучше проводить оценку? Своими силами или внешними аудиторами?

Какие отрасли могут опираться на риски при планировании своих векторов развития в ИБ?

0-day запись

Приветствую.

Меня зовут Дудко Дмитрий, и я занимаюсь безопасностью. А если быть точнее, то информационной безопасностью. Делаю я это давно и в ближайшее время не собираюсь останавливаться. А уж в последнее время, как стал оценивать риски и факторы безопасности с точки зрения эффективности и денег, то «туши свет, кидай гранату» — с этого мне уже не свернуть. :)

Как что бывает у специалистов, со временем накапливается объем знаний, требующий систематизации. И уже на базе данных знаний производить синтез нового. Именно для этого и будет данный сайт. Думаю, это сможет помочь молодым людям, которые решили выбрать информационную безопасность своей специальностью.

Здесь вы не найдете самых последних новостей. Здесь не об этом, новости выходят каждый день, и есть специальные люди, которым платят за их ретрансляцию.

Этот сайт обо мне, информационной безопасности и персональных данных, экономической оценки и операционных рисках.

Надеюсь, мы станем добрыми друзьями.