Security Lab

Писателям сплойтов посвящается...

Писателям сплойтов посвящается...
В последнее время очень много говорится об ответственности бизнеса за надежность своей ИТ-инфраструктуры и ее безопасность. Мол, найдена уязвимость на сайте, надо срочно устранять, а то ай-яй-яй, какие последствия наступят! КАКИЕ? Это первый вопрос, который задает бизнес. При это любые глубокомысленные заявления о репутации, о серьезности ущерба, о важности последствий, фразы "ну вы же все понимаете" ни к чему не приводят. Бизнес не понимает. Не потому, что он дурак, а потому что он понимает только вопрос денег (утрирую немножко, конечно). Покажите, во сколько выльется мне наличие дыры на сайте? В деньгах покажите! Нет прямого ущерба? Покажите косвенный. Не можете посчитать? Тогда идите и учите, как считать, не отнимайте время. Но как же?.. А риски... Риски? Какие риски? У бизнеса есть более значимые риски, чем уязвимость на сайте с отсутствующим ущербом (если не посчитан, значит отсутствует). Валютные риски, риски ликвидности, рычночные риски, страновые риски, инфляционные риски, процентные риски, кредитные и оборотные риски... Операционные риски и их подмножество - риски информационной безопасности - в бизнесе занимают не такое важное место, как об этом думают (если вообще думают) безопасники.

Потом искатели дыр на сайте начинают ныть о том, что их не ценят и они никому не нужны. Выходов отсюда два. Либо безопасник-технарь понимает ограниченность своего взгляда на мир и меняет его, начиная воспринимать гораздо большую палитру красок в мире ИБ. Либо безопасник-технарь решается продемонстрировать на практике реальность своих заявлений о серьезности последствий от использования уязвимости на сайте. В лучшем случае его прогоняют вон; в худшем - он идет по этапу (и возможно даже не по 272-й статье). Отдельные феномены умудряются всю жизнь прожить с мнением, что их никто не понимает и не ценит, а уж они-то самые крутые в мире безопасники. Правда, с этим своим мнением они никому не нужны - семьи у них обычно не бывает, работу они либо не имеют, либо меняют слишком часто из-за своей неуживчивости. В России это может закончиться традиционно - алкоголизм или наркомания. Но вернемся к ответственности бизнеса.

Допустим безопасник-технарь совершил чудо и смог продемонстрировать ущерб от дыры на сайте в деньгах. Допустим он выбрал правильную методику, понятную бизнесу и принятую им. Допустим. Но возникает вторая часть утверждения "ай-яй-яй, какие последствия наступят". Речь идет о слове "наступят". Коль скоро мы говорим об угрозах или рисках, то одним из элементов этих понятий (помимо последствий или ущерба) является вероятность. Бизнес хочет видеть вероятность реализации риска использования уязвимости на сайте. А ее нет! В принципе нет! Точнее есть какие-нибудь отчеты E&Y, KPMG, CSI, OWASP; в них приводится статистика по использованию уязвимостей. Но это как средняя температура по больнице. Любой бизнес спросит: "А я-то тут причем? Почему у меня должна быть такая же вероятность? Может быть у меня и вовсе такого риска не наступит?" И ответить тут будет нечего - потому что мало кто тратит время на нормальный подсчет значения вероятности. Хотя методов немало .

К счастью, вероятность наступления негативного события хоть и важна, но не так, как размер ущерба, т.е. то, с чего я начал пост. И хотя в теории считается, что знать вероятность и размер ущерба одинаково важно, на практике это не так. Даниил Бернулли в 1738 году опубликовал в "Комментариях Санкт-Петербургской Академии" описание так называемого метода полезности денег (он же Санкт-Петербургский парадокс) согласно которому в процессе принятия решения люди уделяют больше внимания размеру последствий разных исходов, нежели их вероятности. Т.е. мы вновь возвращаемся к оценке последствий в терминах, понятных бизнесу, т.е. деньгах.

Кто-то говорит, что управление рисками - это фуфло. Кто-то активно продвигает эту тему. Я уже не раз высказывал свое мнение по этому вопросу ( интересная дискуссия  от 2008-го года на эту тему). Если при оценке рисков эксперты оперируют качественным показателями, то это профанация. Если применяются соответствующие методы , основанные на правильных моделях и исходных данных, то оценка рисков имеет право на жизнь. Правда, для этого, как говорил Эйнштейн, надо подняться над уровнем, на котором возникла проблема. Надо оперировать финансовыми показателями и финансовыми моделями - тогда и оценка рисков будет адекватной.

Резюмировать можно просто: ПОКАЖИ ДЕНЬГИ, прежде чем обвинять бизнес в тупости и непонимании безопасности. Бизнес также считает тупым безопасника, который не понимает потребностей бизнес и не умеет с ним разговаривать на понятном бизнесу языке. В конце концов, именно бизнес платит зарплату или оплачивает договора. Стоит иногда прислушиваться к мнению бизнеса, а не тупо навязывать свое.

ЗЫ. Как показывает дискуссия в Twitter демонстрация value (в деньгах) пока не находит понимания у безопасников-технарей. Разрыв сохраняется. Безопасность остается в загоне.

ЗЗЫ. Вот еще одно доказательство  тем, кто считает, что взлом компании (очень громкий взлом) как-то влияет на бизнес. Кстати, руководитель безопасности этой компании был назван CSO года ;-)
экономика цена безопасности риски
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!