25.02.2014

Уральский форум. Часть 2. Экономика ИБ или торговля страхом

Про новости со стороны ФСБ я расскажу чуть позже, а пока обращусь к теме, упомянутой  мной в прошлом году. Речь идет о непонимании интеграторами и вендорами специфики отрасли, для которой представляются решения. Спектр причин может быть очень широкий - от реального непонимания специфики и до простой лени, от неумения считать экономику предлагаемого решения, которое может обойтись дороже предотвращаемого ущерба, до требования рекламного отдела читать именно "эту" презентацию. Какой бы ни была причина, страдают все. Участники устают слушать булшит, а вендор/интегратор получает отторжение целевой аудитории и цель презентации (продать) не достигается. Собственно эту банальную мысль - про учет специфики аудитории и экономики решения я бы и хотел продемонстрировать на примере двух докладов Уральского форума.

Первый прочитал Павел Головлев, член комитета по банковской безопасности АРБ. Он рассказывал про модели угроз для систем ДБО и систем платежных карт. Взяв за основу статистику Банка России по совокупному объему платежей, числу инцидентов и их сумме, была определена удельная величина риска в системах ДБО. Она составила 1 копейку на 1000 рублей. Иными словами банк теряет 1 копейку на 1000 рублей, пропущенных через ДБО. Для индустрии платежных карт (PCI) эта величина вырастает до 15 копеек на 1000 рублей.


Дальше все просто - достаточно определить сумму транзакций для конкретного банка и вычислить величину риска для него. Сумму транзакций можно примерно определить по той же статистике ЦБ. Вспоминаем цифры, приведенные мной год назад в теме про бессмысленность использования хакерами дыр в приложениях для мобильного банкинга. У Паши в презентации фигурирует валовый объем платежей в 1 триллион рублей. Для такого объема величина риска составит всего 10 миллионов рублей. А если взять только цифры мобильного банкинга (8 миллиардов рублей), то величина риска составляет всего... 80 тысяч рублей. И это на всю отрасль мобильного банкинга. Смешные цифры. И в обозримом будущем ситуация останется такой, что эта тема будет интересна только тем, кто занимается сугубо технической работой, не понимая экономики процесса.



Значит ли это, что хакерам совсем неинтересен мобильный банкинг? Разумеется, нет. На эту тему выступал Дмитрий Волков из Group-IB. Его мастер-класс был посвящен мобильным бот-сетям и нарастающим тенденциям "по ту сторону баррикад". Но Group-IB, не занимаясь непривязанными к реальной безопасности исследованиями, имеет дело с практикой, которую Дмитрий и демонстрировал. По версии Group-IB гораздо проще, чем искать дырки в банковских приложениях, написать троянца для мобильного устройства, который будет просто перехватывать SMS-подтверждения, приходящие на мобильное устройство, скрывать их от владельца смартфона, и передавать владельцу бот-сети, который вручную или в автоматическом режиме сможет давать распоряжения на перевод денежных средств от имени владельца мобильного устройства. Пока такие бот-сети насчитывают не так уж и много устройств, но Group-IB предсказывает рост их числа в ближайшее время.

Собственно тема экономики звучала и на круглом столе, посвященном взаимоотношениям поставщиков и потребителей продуктов и услуг, который проходил во второй день. Банки упрекали поставщиков в том, что те пытаются "впарить" свою продукцию, даже не задумываясь о реальных потребностях своей целевой аудитории. Кстати, в докладе Павла Головлева говорилось не только о том, как считать общую экономическую эффективность средств противодействия угрозам ДБО, но приводилась и реальная статистика по эффективности отдельных защитных мер:


Для ДБО приводилась статистика по 29 мерам, а для индустрии карточных платежей - по 51 защитной мере. Как видно из первой шестерки наиболее эффективными в настоящий момент являются средства борьбы с мошенничеством и обычная оргмера по временной приостановке платежа. Остальные три меры из первой пятерки вообще можно отнести либо к организационным, либо к техническим, но не относящимся к классическим средствам защиты. Как говорится, цифры говорят сами за себя.

Еще один, не самый удачный на мой взгляд, пример приводился в докладе компании Fortinet. Они, по неведомой мне причине, решили представить для банков свои услуги Managed Security Services. Причем совершенно неадаптированные под российский рынок - неаттестованый ЦОД, деятельность без лицензии, ЦОД за пределами России... И это для консервативных банков :-) На вопрос о финансовых гарантиях за взлом подзащитной организации ответа от Fortinet не последовало. И его, наверное, и не могло последовать - массовых случаев финансовых гарантий по облачным услугам и услугам аутсорсинга я что-то не припомню в мировой практике. Без четкого ответа остался вопрос Fprtinet'у и про SLA. Правда, SLA - это не нечто универсальное и для каждого заказчика его показатели могут меняться. Кстати, с SLA возникла интересная ситуация на мастер-классе Лаборатории Касперского. В процессе блиц-сессии вопросов и ответов, выступающие ЛК проговорились, что позиционируют они свой AntiDDoS продукт как сервис, а продают как программное обеспечение, т.е. по модели "as is". Иными словами, никакого SLA у данного "сервиса" нет :-(

Закончить мне бы хотелось слайдом из курса по измерению эффективности, на котором сведены воедино ключевые причины, почему мало кто считает реальную эффективность/экономику средств или проектов по информационной безопасности.

Вывод простой - дело не в отсутствии механизмов расчета эффективности, а в нежелании или неумении ими пользоваться. Аналогичная ситуация и с обоснованием и показом понимания отраслевой специфики. Просто нет квалификации и опыта в этом вопросе или тупо лень напрягаться. Отсюда и классический вывод о том, что безопасность - это всегда торговля страхом и никаких альтернатив нет. Они есть - надо просто иметь желание их искать, находить и использовать.

14 коммент.:

doom комментирует...

Надо еще делать скидку на то, что в российских реалиях расчет экономической эффективности упирается в достаточно дешевую рабочую силу.

Реально может получится выгоднее нанять сколько-то человек для ручного антифрод-анализа, чем купить дорогостоящее решение от западного вендора :)

Алексей Лукацкий комментирует...

Да, именно этим ограничивается применение западных калькуляторов ROI в России :-) Разница в зарплатах может быть в порядок или в разы

Сергей Борисов комментирует...

Не могу согласится с расчетами Павла Головлева по мобильному банкингу.

Мобильный банкинг - это в основном физики. Большинство физиков не сообщает о мелких потерях. Банки не сообщают в ЦБ о таких инцидентах. Сейчас идет экспоненциальный рост и статистика текущего и прошлогоднего объема может различаться в разы.

Я бы использовал такую формулу расчета:
1. Если пользователь не использует средств защиты на мобильном устройстве, то вероятность его заражения = 1 раз в течении года
2. Средний ущерб равен не % от транзакций пользователя (может он 200 р на телефон положил) а всей доступной на счету банка сумме (или на карте). Я в блоге писал о том что можно быстро снять всю сумму и даже уйти в минус. Предположим у него там 30 тыс. руб.
3. Предположим что сейчас 1 млн. пользователей мобильного банка (только у сбербанка клиент скачан более 1 млн раз) Но в течении года их количество может вырости до 10 млн. Это ведь как BYOD - мобильно и удобно
4. 1*30 000*10 000 000 = 300 000 000 000 руб.
У меня такая вот арифметика потерь по мобильному банкингу, если срочно не принимать меры защиты.

Алексей Лукацкий комментирует...

А у Павла статистика по всем инцидентам, а не по мобильному банкингу. К мобильному банкингу я свел, т.к. бытует у некоторых "экспертов" мнение, что это большая проблема и банки должны ломануться ее решать.

Разумеется, к используемой статистики ЦБ по инцидентам есть вопросы. Туда попадает далеко не все. Но гораздо более показательна статистика по величине риска для кредитных карт. 15 копеек на 1000 рублей - это тоже немного. А число транзакций по картам и сумма ущерба там повыше будет, чем в обычных ДБО.

Сергей, твои расчеты имеют право на жизнь, но, имхо, они сильно притянуты. Павел оперирует реальными статистическими показателями, а ты предположениями. Вот у меня на телефоне средств защиты нет, но за все годы его использования ни одной попытки заражения и снятие денег.

Всей доступной сумме равен не средний, а максимальный ущерб.

Дальше у тебя очередной предположение о росте числа пользователей. Но цифры J'Son & Partners опровергают это предположение :-) Нет в России такого количества пользователей мобильного банкинга.

И, наконец, преимущество подхода Павла в том, что он сам работает в банке :-) Поэтому считай, что такова позиция банка. Именно из нее он исходит при расчете рисков мошенничества в ДБО :-)

Сергей Борисов комментирует...

Ситуация такая, что 2 года наза мобильных тройнов вообще не было, в прошлом году прошли так сказать "испытания":
- во первых на создание ботнет сетей мобильных устройств (то есть уже заражены, но пока ничего вредного не делают, но уже продаются)
- во вторых создание троянов, которые могут выводить деньги из интернет-банка и делают это, но для конкретного банка и в конкретной стране (очень ограниченная область действия)
Теперь эти технологии обкатаны и уже завтра можно ожидать вредоносное ПО которое будет выводить деньги из большинства банков и разных стран. Для распространения будут использовать устройства из существующих ботнетов либо через новые заражения (с телефоном это провернуть гораздо)


Tomas комментирует...

Поддерживаю Сергея, почему % от транзакций, если мобильное устройство "во власти" злоумышленника, то он сможет снять все, что есть на балансе, а если есть еще и кредитная карта, то и в минус уйти (тогда 30 тыс. на балансе и 300 000 руб. на кредитке). Ведь вроде речь не о закладках в коде АБС ее же программистом, чтобы считать, что на 1000руб. риск = 01 коп., а о мошенничестве в самом приложении у пользователя. там цифры будут другими.

Алексей Лукацкий комментирует...

Потому что речь идет о реальных и измеренных рисках, а не о потенциальных проблемах, которые могут произойти. Банки консервативны и оценивают то, с чем сталкиваются. Поэтому они оперируют числом ПРОИЗОШЕДШИХ инцидентов и объемом ОСУЩЕСТВЛЕННЫХ транзакций. Обе цифры конкретные и измеримые.

А вы оба торгуете страхом и говорите "А вот если" :-) Об этом на форуме и говорилось. Одни торгуют тем, что умеют, а банки в ответ просят экономику. Павел ее показал - они опирается на факты. А вы показываете предположения :-)

Tomas комментирует...

Алексей, я про то, что % нужно предполагать зараженных компов, пользующихся банк-клиентом. Не закладки в коде АБС подразумеваются, когда программист заложил, что с каждой транзакции похищать 1 копейку, чтобы никто не заметил. Подразумеваются в Вашей статье (может у Павла по-другому было, я не был в Магнитогорске), что моб.устройство заражено, и вредоносное ПО имеет возможность украсть все с баланса владельца устройства, а не копейку.
Защита от волн в Японии была рассчитана на 2х метровые волны на основе 100-летних наблюдений, пришла 3х метровая и получилась Фукусима.
Если банкам нравится считать на основе собственной статистики (т.е. если со мной не произошло, то и не считаю), то да, 1 копейка на 1000 руб.

Алексей Лукацкий комментирует...

Tomas, а вы предлагаете считать по верхней планке? Ни один человек в здравом уме этого делать не будет (кроме интеграторов :-)

Сергей Борисов комментирует...

Алексей - а вы предлагаете определять ущерб (количество нарушений) в условиях когда у банков нет инструментов для выявления нарушений (адекватного определения ущерба)

Это то же самое что не использовать IPS и говорить что у меня в сети не происходит вторжений.
Или не использовать антивирус и говорить что вирусов за год не обнаружено.

Сергей Борисов комментирует...
Этот комментарий был удален автором.
Tomas комментирует...

Алексей, ни в коем случае.
Пусть 1 млн. устройств, не все же они будут заражены вредоносом. Скажем min. 2%, а max 50%
У каждого на счету разные суммы, но банки то могут посчитать среднее на счете на одного клиента....
Предполагаю, что это не 1000 руб., а тысяч 30.

Алексей Лукацкий комментирует...

Сергей: банки имеют инструментарий (какой есть) и оценивают инциденты и отдают статистику в ЦБ. На нее и опираются. Другой нет. Не с потолка же брать...

Tomas: Так банки и посчитали :-)

Александр Бодрик комментирует...

Алексей, с каких пор рассчет по верхней планке стал сугубо вотчиной интеграторов?:) Worst case является стандартной рекомендацией для управления рисками, считают так многие заказчики и вендоры

Касательно банков - будем честны, при нынешней чистке банков и новом Базеле им просто не до ИБ. Киберпреступникам обанкротить банк будет сложновато, а потерять лицензию из-за недостаточности капитала можно уже сейчас