+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Bezpieczeństwo IT - oficjalny blog 4 IT SECURITY

20 maja 2016

Zwrot z inwestycji w bezpieczeństwo

Ryzyko w potocznym znaczeniu i codziennym zastosowaniu jest konglomeratem różnorodnych problemów, które rozpatrujemy w odniesieniu do indywidualnych zjawisk czy sytuacji. We współczesnym świecie przejawia się ono w wielu aspektach. Niewątpliwie jednak najwięcej starań podejmujemy, aby kontrolować ryzyko tam, gdzie od naszych ryzykownych decyzji zależą szeroko rozumiane kwestie finansowe. Wolumen oraz wartość danych przetwarzanych w systemach informatycznych są wyzwaniem dla współczesnej informatyki. Bezpieczeństwo tych danych decyduje nie tylko o efektywności funkcjonowania organizacji, lecz często wręcz o jej istnieniu.

Zarządzanie ryzykiem informatycznym stało się więc jednym z kluczowych elementów procesu zarządzania organizacją. Z cyklicznie prowadzonych badań przez podmioty zajmujące się problematyką bezpieczeństwa wynika, że nieustannie rośnie poziom ryzyka informatycznego. Pomimo tego, szukając oszczędności, wiele organizacji decyduje się na zmniejszenie wydatków na zapewnienie odpowiedniej ochrony swoich danych. Zazwyczaj organizacje, które padły ofiarą cyberataków, zdają sobie sprawę ze znaczenia i wartości zastosowanych rozwiązań dopiero po incydencie – co często oznacza dodatkowe koszty, których można było uniknąć. Ataki na systemy informatyczne nie są już przedmiotem zainteresowania wyłącznie specjalistów ds. bezpieczeństwa informacji i IT. Ich konsekwencje są odczuwalne dla zarządów organizacji i innych interesariuszy, w tym klientów. Porównanie skali wydatków na bezpieczeństwo z kosztami i szkodami związanymi z cyberatakiem powinno pokazać, czy inwestycja w wysokiej jakości i skuteczną ochronę IT jest opłacalna i zmniejsza koszty, które mogą zostać poniesione w następstwie incydentu. Ograniczone budżety i wzrost zagrożeń sprawiły, że menedżerowie ds. bezpieczeństwa koncentrując się na poprawie procesów zarządzania ryzykiem w organizacji poszukują odpowiedzi na pytania:

  • ile należy zainwestować w bezpieczeństwo sieciowe firmy/instytucji?
  • jaki budżet należy przedstawić zarządowi, aby z jednej strony nie był on nadmiarowy, a z drugiej – aby wykonać zadanie w przekonaniu, że CIO/CISO podjął wszelkie należne, uzasadnione środki w celu zapewnienia bezpieczeństwa firmie?

Organizacje często mają trudności w dokonaniu dokładnego pomiaru skuteczności i kosztów ich działalności w zakresie bezpieczeństwa informacji. Powodem tego jest to, że inwestycja w bezpieczeństwo nie ma bezpośredniego wpływu na poziom przychodów, za to minimalizuje poziom kosztów, które mogą powstać w wyniku ataków. Dlatego też, często mamy dylemat ile należy zainwestować w ochronę informacji. Dodatkowym utrudnieniem w wyliczeniu nakładów na bezpieczeństwo może być również fakt, że duża liczba organizacji nie zaczęła jeszcze analizować kosztów incydentów, a co za tym idzie, nie jest w stanie stwierdzić jak skuteczne są ich nakłady na obszar bezpieczeństwa. Wniosek taki jest uzasadniony szczególnie w świetle wyników przeprowadzonego badania przez PwC „Badanie przestępczości gospodarczej Polska 2014”, w którym 43% respondentów zadeklarowało brak wiedzy w zakresie strat i kosztów związanych z incydentami cyberbezpieczeństwa. W innym badaniu przeprowadzonym przez firmę doradczą EY, 37% firm uważa, że nie posiada aktualnych danych o cyberzagrożeniach.

Jednym z narzędzi mogących służyć do wyliczenia zwrotu z inwestycji w bezpieczeństwo jest metodyka ROSI (z ang. Return on Security Investment), przy pomocy której możemy uświadomić sobie, jakiej wielkości straty ponosimy – za pomocą prostych obliczeń możemy sprawdzić, ile zyskalibyśmy, a właściwie nie stracilibyśmy, implementując odpowiedni system zabezpieczeń.

Ocena możliwych przyszłych strat

Analiza przewidywanych strat, spowodowanych atakiem hakerskim jest ważnym krokiem w szacowaniu jego kosztów. W momencie jego wystąpienia z reguły powstają straty w realizowanych usługach biznesowych i w wynikach finansowych organizacji. Bez dokładnej wiedzy na temat rzeczywistej wyceny zakłóceń spowodowanych atakiem hakerskim niemożliwe jest opracowanie właściwego budżetu na realizację działań zapobiegawczych jego wystąpieniu. Z tego płynie wniosek, iż przed opracowaniem budżetu należy wykonać wycenę wszystkich możliwych strat i szkód, które mogą wystąpić w przyszłości. W organizacji procesy biznesowe prowadzą do osiągania obrotów handlowych i zysków ze sprzedaży produktów lub usług. Można je wycenić na podstawie informacji otrzymanych z kontrolingu. Zatrzymanie procesu biznesowego powoduje, że organizacja nie może zaoferować produktu lub usługi tego procesu. Zmniejszone obroty przenoszą się bezpośrednio na rachunek zysków i strat. Sytuacja kryzysowa, która będzie się utrzymywać przez dłuższy okres, może spowodować, że zostanie również utracony udział w rynku. Długo utrzymujące się zmniejszenie wolumenu sprzedaży prowadzi do tego, że popyt rynkowy jest zaspakajany przez innych dostawców. Utrata udziału w rynku ma charakter strategiczny. Straty mogą sięgnąć wysokości kilkudziesięciu mln zł, nie wliczając poniesionych kosztów z tytułu obsługi tysięcy reklamacji, odszkodowań, odpływu klientów (w literaturze wspomina się, że awaria 24h może doprowadzić w niektórych branżach do odejścia na stałe 5% klientów). Plany rozwoju organizacji mogą okazać się niemożliwe do zrealizowania, a co więcej ugruntowana pozycja na rynku może zostać zachwiana. Ponadto odzyskanie dotychczasowego udziału w rynku będzie wymagać dużych nakładów finansowych na wzmocnienie sprzedaży. Następstwem ataku cybernetycznego będzie prawdopodobnie również niedotrzymanie zobowiązań umownych podjętych wobec naszych odbiorców. Takie kwestie jak konieczność naprawienia szkody, zapłacenie kar umownych wynikną z wyroków sądowych.

Straty, które to są następstwem ataków hakerskich obejmują swoim zakresem wydatek poszkodowanego zawierający koszt reakcji na atak, przeprowadzenie oceny strat, odtworzenia danych, programu, systemu lub informacji do stanu sprzed ataku, a także każdą stratę dochodu i każdą inna stratę powstałą w wyniku przerwy w świadczeniu usług.

Straty mogą obejmować spadek przychodów, zakłócenia w działalności gospodarczej, kary od organów nadzoru i odpływ klientów. Skutki niefinansowe mogą obejmować utratę reputacji, kradzież projektów lub prototypów produktów, kradzież procesów gospodarczych lub produkcyjnych, a także utratę wrażliwych informacji. Koszt cyberprzestępczości jest niestety trudny do zweryfikowania, gdyż wiele ataków pozostaje niezgłoszonych, a wartość niektórych informacji, takich jak własność intelektualna, jest trudna do wyliczenia. Wpływ tego rodzaju strat można jedynie mierzyć wskaźnikami finansowymi i niefinansowymi.

Ilościowa ocena ryzyka - Metodyka ROSI

W każdej organizacji, każda inwestycja musi być uzasadniona, a jej skuteczność jest często oceniana później. W finansach, ocena ta jest nazywana pojęciem zwrotu z inwestycji lub stopy zwrotu (z ang. Return on Investment). ROI stosowany jest do pomiaru efektywności działania organizacji, informuje o tym jaki jest procentowy zwrot z zainwestowanych w organizację pieniędzy.

Wskaźnik ROI oblicza się według wzoru:

ROI = zysk z inwestycji – koszt inwestycji/ koszt inwestycji*100%

Z punktu widzenia finansowego inwestycja jest zaangażowaniem środków pieniężnych w celu osiągnięcia wpływów finansowych lub ograniczenia kosztów w przyszłości.W rachunkowości inwestycja jest wydatkiem ujmowanym w aktywach, który co do zasady ulega amortyzacji. Angażując pewien kapitał zakładamy, że istnieje duże prawdopodobieństwo odzyskania tych środków i osiągnięcia zysków w przyszłości. Aby przewidzieć, ile powinniśmy wydać na bezpieczeństwo, musimy oszacować, jak dużo kosztuje brak bezpieczeństwa i jakie są najbardziej racjonalne rozwiązania. Klasyczne podejście finansowe wskaźnika ROI nie jest jednak szczególnie odpowiednie do pomiaru efektywności wydatków związanych z bezpieczeństwem ponieważ bezpieczeństwo nie jest inwestycją, która prowadzi do przychodu. Bezpieczeństwo związane jest z zapobieganiem strat, czyli jest obniżaniem poziomu ewentualnych przyszłych kosztów. Innymi słowy inwestując w bezpieczeństwo nie spodziewamy się korzyści, a zmniejszamy ryzyko zagrażające wykorzystywanym aktywom. Dzięki takiemu podejściu, możemy dokonać obliczenia ile strat możemy uniknąć dzięki inwestycji w bezpieczeństwo, czyli to co było postrzegane tylko i wyłącznie jako koszt dla organizacji teraz staje się inwestycją. Ta zmiana nazewnictwa (koszt a inwestycja), będzie pociągać za sobą konsekwencje. Już nie tylko pomiar jak dużo wydaliśmy na bezpieczeństwo będzie istotny, ale również, jakie wymierne korzyści przynoszą te inwestycje dla organizacji. Wymierne oznacza tu przedstawione w wartościach finansowych i procentowych. Stąd koncepcja przesunięcia bezpieczeństwa z funkcji kosztowej na funkcję ograniczającą koszty.

Zwrot z inwestycji w bezpieczeństwo (ROSI)

Ocena inwestycji zabezpieczeń obejmuje wyliczenie jakie potencjalne straty moglibyśmy ponieść gdybyśmy takich inwestycji nie wykonali. W związku z tym, wartość finansowa inwestycji musi być odniesiona w stosunku do wartości finansowej redukcji ryzyka. Tą wartość finansową ryzyka możemy oszacować za pomocą ilościowej oceny ryzyka.

Ilościową ocenę ryzyka uzyskujemy przez określenie kilku elementów ryzyka. Następujące pojęcia muszą zostać określone:

Jednorazowa Oczekiwana strata (SLE – Single Loss Expectancy)

Każdy cyberatak może spowodować szkody. SLE jest to oczekiwana kwota pieniężna, która może zostać utracona w przypadku wystąpienia ryzyka. W tym podejściu, SLE może być uznana jako całkowity koszt przy założeniu jego jednorazowego wystąpienia.

Ze względu na specyficzny charakter incydentu cybernetycznego założeniem głównym jest, aby wziąć pod uwagę wszystkie aktywa na które ten incydent ma wpływ. Przykładem może być kradzież laptopa, gdzie kosztem będzie nie tylko koszt wymiany samego laptopa, ale również koszty związane z stratą wydajności pracy, utrata reputacji, wsparcia IT, czasu i kosztów utraty własności intelektualnej. Całkowity koszt incydentu powinien obejmować koszty strat bezpośrednich (przestoje, wymiana sprzętu, utrata danych) oraz koszty z tytułu strat pośrednich (czas pracy związany z wyjaśnieniem incydentu, utrata reputacji, wpływ na wizerunek). Wartości jakie zostaną uwzględnione w obliczeniach SLE szczególnego zagrożenia będą zależeć od celów biznesowych, wartości kulturowych oraz istniejących środków bezpieczeństwa. Wskaźnik ten może zostać oszacowany w różnych wartościach. SLE skradzionego laptopa może być jego wartością jako samego laptopa, natomiast gdy uwzględnimy iż znajdowały się w nim informacje wrażliwe wysokość jego straty będzie znacznie wyższa.

Średnia wartość strat dla pojedynczego incydentu związana jest z wartością aktywów, których incydent dotyczy, czasem trwania, sposobem oddziaływania na aktywa. W celu oszacowania średniej wartości strat dla pojedynczego incydentu również można się posłużyć wewnętrznymi statystykami strat wywoływanych przez incydenty zdarzające się stosunkowo często. Do oszacowania wartości strat w przypadku rzadko występujących zdarzeń należy przeprowadzić analizę scenariuszy różnych incydentów i ich wpływu na cele biznesowe.

Główne źródła szkód związane są  z:

  • utratą ciągłości produkcji i pracy pracowników,
  • kosztami procesowymi i sądowymi,
  • kosztami napraw skutków awarii,
  • utratą reputacji marki i wizerunku rynkowego.

Oszacowanie strat wymaga wcześniejszej wyceny aktywów narażonych na ryzyko. Na podstawie wyceny aktywów oraz danych dotyczących stopnia ich utraty można obliczyć wartość straty w wyniku incydentu. Podobnie jak wartość ryzyka, również wartość straty może być wyrażona na dwa sposoby:

  • za pomocą umownej, opisowej skali jakościowej lub
  • ilościowo, w kategoriach finansowych.

Roczny współczynnik wystąpienia (ARO - Annual Rate of Occurence)

Oszacowanie prawdopodobieństwa wystąpienia ataku danego rodzaju (lub ich liczby w ciągu jednostki czasu).

ARO jest miarą prawdopodobieństwa, że dane ryzyko występuje w ciągu roku. W praktyce dla określenia częstotliwości zagrożeń ustala się okres, w jakim będzie się rozpatrywać ich występowanie. Najczęściej przyjmuje się okres jednego roku. W przypadku gdy zagrożenie pojawia się rzadziej niż raz w ustalonym okresie, zamiast o częstotliwości mówi się o prawdopodobieństwie wystąpienia za­grożenia. Przykładowo, jeżeli atak cybernetyczny w danej organizacji pojawi się statystycznie raz na 5 lat, to prawdo­podobieństwo ataku w okresie jednego roku wynosi 0,2.

Prawdopodobieństwo incydentów spowodowanych określonym rodzajem ryzyka wynika z wzajemnego oddziaływania zagrożeń i podatności powodujących to ryzyko. W przypadku incydentów, które zdarzają się odpowiednio często – kilkadziesiąt lub kilkaset razy w roku – organizacja może wykorzystać statystyki wewnętrzne. W tym celu organizacja powinna systematycznie prowadzić ewidencję incydentów i strat operacyjnych.Natomiast w przypadku incydentów zachodzących rzadko, organizacja nie może opierać się na danych wewnętrznych. W tym przypadku konieczne jest korzystanie z wiarygodnych źródeł zewnętrznych.

Zakładana roczna strata (ALE z ang. Annual Loss Expentancy)

ALE to roczne straty finansowe, których możemy się spodziewać w zależności od określonego ryzyka dla konkretnych aktywów. Jest on obliczany następująco:

ALE = SLE * ARO

ALE pozwala oszacować wartość rocznej straty, jakiej spodziewa się organizacja w związku z potencjalnym wystąpieniem określonego incydentu lub zbioru incydentów.

Obliczenie ROSI

Obliczenie ROSI wynika z ilościowej oceny ryzyka i kosztów wdrożenia środków zaradczych bezpieczeństwa dla tego ryzyka.

Zgodnie z definicją ROI, ROSI jest zdefiniowane następująco:

ROSI = zmniejszenie strat finansowych – koszt rozwiązania/ koszt rozwiązania*100%

Wdrożenia skutecznego rozwiązania bezpieczeństwa obniża ALE gdyż im bardziej efektywne rozwiązanie, tym bardziej zredukowane jest ALE. Te zmniejszone straty finansowe mogą być zdefiniowane przez różnicę pomiędzy ALE bez zastosowanego rozwiązania bezpieczeństwa w stosunku do zmodyfikowanego ALE (mALE) z wdrożonym rozwiązaniem bezpieczeństwa.

ROSI = ALE – mALE – koszt rozwiązania / koszt rozwiązania*100%

Który odpowiada także stosunkowi zmniejszenia kosztów nałożonym zabezpieczeniem na ALE:

ROSI = ALE* ograniczone ryzyko – koszt rozwiązania/ koszt rozwiązania*100%

Przykład:

Organizacja dotknięta jest 4 atakami wirusów (Aro = 4).

Organizacja rozważa zainwestowanie w rozwiązanie antywirusowe, którego koszt wynosi 25 tys. zł (opłaty licencyjne 15 000 zł + 10 000 zł koszty instalacji). Szacuje się, że każdy atak powoduje koszty utraty danych i wydajności systemu w wysokości 20 000 zł (SLE = 20 000). Oczekuje się, że zakupione rozwiązanie antywirusowe będzie skutecznie blokować przynajmniej 3 z 4 wirusów (Ograniczenie = 75%).

  • koszt strat w wyniku jednego ataku wirusa (SLE) wynosi 20 tys. zł,
  • firma takie straty ponosi średnio 4 razy rocznie (ARO),
  • jest to jedyne rozważane zagrożenie,
  • inwestycja w rozwiązanie antywirusowe dla przedsiębiorstwa kosztuje 25 tys. zł,
  • skaner antywirusowy obniża prawdopodobieństwo skutecznego ataku (czyli poniesienia strat) czterokrotnie (X = ¾)

ROSI = (20 tys. zł * 4 rocznie * 0.75 * 3 lata – 25 tys. zł) / 25 tys. zł*100% = 38%

Według tych obliczeń rozwiązanie antywirusowe jest opłacalne. ROSI większe od zera jest równoznaczne z opłacalnością inwestycji w bezpieczeństwo.

Metodyka obliczenia ROSI jest oparta na 3 zmiennych: szacunek potencjalnych strat (ALE), ograniczanie (obniżenie) szacowanego ryzyka, koszt rozwiązania. Jeśli koszt rozwiązania jest łatwiejszy do przewidzenia - jeżeli wszystkie pośrednie koszty są uwzględnione tym wynik jest dokładniejszy.

Komentarze (0)

Dodaj

Popularne wpisy