04.05.2012

Мотиваторы и демотиваторы разных игроков рынка ИБ или почему регуляторам и потребителям сложно найти общий язык

30 апреля вышла интересная книжка - "Threats, Countermeasures, and Advances in Applied Information Security" Раджа Шармана, Маниша Гупты и Джона Валпа (все три работают в американских банках). И вот в 24-й главе представляют они динамическую экономическую модель кибербезопасности. Собственно не саму модель, а ее первый этап. Как они сами пишут: "Никто не может разработать эффективную экономическую модель для информационной безопасности, не имея представления и понимания о мотивах, препятствия и других факторов, влияющих на поведение нарушителей, защитников, законодателей, регуляторов, разработчиков продуктов и услуг, правоохранительных органов и других заинтересованных сторон". Правильный взгляд, о котором часто забывают при создании политик и стратегий ИБ. Об этом говорит, кстати, и ГОСТ 18045, который мотивацию нарушителя использует как один из элементов формулы, позволяющий оценить потенциал нападения на тот или иной объект защиты.

Авторы книжки пошли дальше - они оценивать мотивацию не только нарушителей, но и множества остальных участников рынка ИБ. Они справделиво считают, что прогнозирование действий тех или иных участников игры под названием "информационная безопасность" будет более эффективным, если знать о том, как участники будут реагировать на внутренние мотиваторы и внешние раздражители.

Самая первая и достаточно очевидная таблица - с мотиваторами злоумышленников. Тут все предсказуемо и понятно. Перечни хоть и отличаются от автора к автору (например, на слайде 37 немного другой список), но суть не меняется - известность, деньги, шпионаж...


Вторая табличка гораздо интереснее. Она показывает мотивацию защитников. И вот тут, кстати, становится понятно, почему коммерческому сектору так трудно договориться с ФСБ и ФСТЭК. Не потому, что одни хорошие, а другие плохие. Просто мотивация разная. Одним важна национальная безопасность (о чем они, кстати, постоянно говорят и во всех нормативных актах пишут, но мало кто это слышит и читает), другим важны совершенно иные причины. И компромисс найти сложно. Отсюда и все проблемы.


Следующая таблица только подтверждает этот факт. В ней показаны факторы успеха, которыми измеряют свою деятельность те или иные "стороны защиты". Мы видим, что для корпоративных служб ИБ на первом месте - сохранить работоспособность объекта защиты. Для госорганов эта метрика даже не вторична; она в конце списка. Зато устранение угрозы для них первично, в отличие от коммерческого сектора. Это, кстати, хорошо иллюстрируется требованиями к средствам защиты в системах сертификации. В них нигде не говорится, что сертифицируемая система должна работать ;-)


Препятствия (демотиваторы) для нарушителей выглядт так:


а для защитников так. Тут тоже проявляется то, что давно можно наблюдать на рынке. Корпоративным службам ИБ наплевать на штрафы и претензии со стороны регуляторов. Поэтому этот кнут в нынешнем виде не работает - суммы слишком малы. Для вендоров и консультантов претензии со стороны регуляторов несут больший риск (лицензию аннулируют, сертификат отзовут, перестанут "дружить").


Вот такая интересная картина. Не то, чтобы авторы открыли совсем что-то новое. Но сбор, анализ и систематизация такой информации - это всегда полезно. Полезно именно для понимания того, почему наш (да и не только наш) рынок развивается по тому сценарию, который мы сейчас наблюдаем.

9 коммент.:

ZZubra комментирует...

Значит у них тоже так? А что тогда возмущаться требованиями по сертификации и аттестации :)

Алексей Лукацкий комментирует...

Мотивация такая же. А реализация требований другая. Сертификация иная и только для госов, аттестация тоже другая. И т.д.

ZZubra комментирует...

Сертификация есть, требования есть, наказания есть, проблемы для бизнеса с ИБ тоже есть. Разницы с нами нет! )))))

Алексей Лукацкий комментирует...

Сертификация только серии и только для госов, а не экземпляра и для всех. Требования актуальные и регулярно обновляемые. Наказаний почти нет (в нашем смысле слова).

Родион Попков комментирует...

Почему мы в этом контексте не подымаем вопрос о чисто российской специфике? У нас мотивация надзора - заставить купить тебя либо бесполезное, либо вредное, но сертифицированное оборудование у аффилированных с этим же надзором структур. Чисто коррупционные мотивы преобладают над всем остальным.

Алексей Лукацкий комментирует...

Это не всегда правильная трактовка. Есть конечно примеры коррупционной составляющей, но они везде есть. Это менталитет такой в первую очередь.

Nikita Rrrr комментирует...

Алексей,
На амазоне книжка стоит 195$. Вы по какому каналу их получаете? Или покупаете в розницу?

Алексей Лукацкий комментирует...

У меня корпоративный доступ ко всем публикуемым или планируемым к публикации книгам, издаваемым в США.

Nikita Rrrr комментирует...

Типа Redbooks 24?