Security Lab

Уральский форум. Часть 2. Экономика ИБ или торговля страхом

Уральский форум. Часть 2. Экономика ИБ или торговля страхом
Про новости со стороны ФСБ я расскажу чуть позже, а пока обращусь к теме, упомянутой  мной в прошлом году. Речь идет о непонимании интеграторами и вендорами специфики отрасли, для которой представляются решения. Спектр причин может быть очень широкий - от реального непонимания специфики и до простой лени, от неумения считать экономику предлагаемого решения, которое может обойтись дороже предотвращаемого ущерба, до требования рекламного отдела читать именно "эту" презентацию. Какой бы ни была причина, страдают все. Участники устают слушать булшит, а вендор/интегратор получает отторжение целевой аудитории и цель презентации (продать) не достигается. Собственно эту банальную мысль - про учет специфики аудитории и экономики решения я бы и хотел продемонстрировать на примере двух докладов Уральского форума.

Первый прочитал Павел Головлев, член комитета по банковской безопасности АРБ. Он рассказывал про модели угроз для систем ДБО и систем платежных карт. Взяв за основу статистику Банка России по совокупному объему платежей, числу инцидентов и их сумме, была определена удельная величина риска в системах ДБО. Она составила 1 копейку на 1000 рублей. Иными словами банк теряет 1 копейку на 1000 рублей, пропущенных через ДБО. Для индустрии платежных карт (PCI) эта величина вырастает до 15 копеек на 1000 рублей.


Дальше все просто - достаточно определить сумму транзакций для конкретного банка и вычислить величину риска для него. Сумму транзакций можно примерно определить по той же статистике ЦБ. Вспоминаем цифры,  приведенные  мной год назад в теме про бессмысленность использования хакерами дыр в приложениях для мобильного банкинга. У Паши в презентации фигурирует валовый объем платежей в 1 триллион рублей. Для такого объема величина риска составит всего 10 миллионов рублей. А если взять только цифры мобильного банкинга (8 миллиардов рублей), то величина риска составляет всего... 80 тысяч рублей. И это на всю отрасль мобильного банкинга. Смешные цифры. И в обозримом будущем ситуация останется такой, что эта тема будет интересна только тем, кто занимается сугубо технической работой, не понимая экономики процесса.



Значит ли это, что хакерам совсем неинтересен мобильный банкинг? Разумеется, нет. На эту тему выступал Дмитрий Волков из Group-IB. Его мастер-класс был посвящен мобильным бот-сетям и нарастающим тенденциям "по ту сторону баррикад". Но Group-IB, не занимаясь непривязанными к реальной безопасности исследованиями, имеет дело с практикой, которую Дмитрий и демонстрировал. По версии Group-IB гораздо проще, чем искать дырки в банковских приложениях, написать троянца для мобильного устройства, который будет просто перехватывать SMS-подтверждения, приходящие на мобильное устройство, скрывать их от владельца смартфона, и передавать владельцу бот-сети, который вручную или в автоматическом режиме сможет давать распоряжения на перевод денежных средств от имени владельца мобильного устройства. Пока такие бот-сети насчитывают не так уж и много устройств, но Group-IB предсказывает рост их числа в ближайшее время.

Собственно тема экономики звучала и на круглом столе, посвященном взаимоотношениям поставщиков и потребителей продуктов и услуг, который проходил во второй день. Банки упрекали поставщиков в том, что те пытаются "впарить" свою продукцию, даже не задумываясь о реальных потребностях своей целевой аудитории. Кстати, в докладе Павла Головлева говорилось не только о том, как считать общую экономическую эффективность средств противодействия угрозам ДБО, но приводилась и реальная статистика по эффективности отдельных защитных мер:


Для ДБО приводилась статистика по 29 мерам, а для индустрии карточных платежей - по 51 защитной мере. Как видно из первой шестерки наиболее эффективными в настоящий момент являются средства борьбы с мошенничеством и обычная оргмера по временной приостановке платежа. Остальные три меры из первой пятерки вообще можно отнести либо к организационным, либо к техническим, но не относящимся к классическим средствам защиты. Как говорится, цифры говорят сами за себя.

Еще один, не самый удачный на мой взгляд, пример приводился в докладе компании Fortinet. Они, по неведомой мне причине, решили представить для банков свои услуги Managed Security Services. Причем совершенно неадаптированные под российский рынок - неаттестованый ЦОД, деятельность без лицензии, ЦОД за пределами России... И это для консервативных банков :-) На вопрос о финансовых гарантиях за взлом подзащитной организации ответа от Fortinet не последовало. И его, наверное, и не могло последовать - массовых случаев финансовых гарантий по облачным услугам и услугам аутсорсинга я что-то не припомню в мировой практике. Без четкого ответа остался вопрос Fprtinet'у и про SLA. Правда, SLA - это не нечто универсальное и для каждого заказчика его показатели могут меняться. Кстати, с SLA возникла интересная ситуация на мастер-классе Лаборатории Касперского. В процессе блиц-сессии вопросов и ответов, выступающие ЛК проговорились, что позиционируют они свой AntiDDoS продукт как сервис, а продают как программное обеспечение, т.е. по модели "as is". Иными словами, никакого SLA у данного "сервиса" нет :-(

Закончить мне бы хотелось слайдом из курса  по измерению эффективности, на котором сведены воедино ключевые причины, почему мало кто считает реальную эффективность/экономику средств или проектов по информационной безопасности.

Вывод простой - дело не в отсутствии механизмов расчета эффективности, а в нежелании или неумении ими пользоваться. Аналогичная ситуация и с обоснованием и показом понимания отраслевой специфики. Просто нет квалификации и опыта в этом вопросе или тупо лень напрягаться. Отсюда и классический вывод о том, что безопасность - это всегда торговля страхом и никаких альтернатив нет. Они есть - надо просто иметь желание их искать, находить и использовать.
PCI DSS ДБО метрики экономика цена безопасности
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!