Тезис о том, что качественное и защищенное ПО лучше наколеночных и дырявых поделок мало у кого вызывает сомнение. Как минимум на уровне восприятия. А вот вопрос о раскрытии информации об уязвимостях в ПО (Vulnerability Disclosure) регулярно вызывает дискуссии на различных конференциях и страницах профессиональной прессы. Раскрывать или нет? Похвалить исследователя или наказать? Вопросов много. На один из них - "Как влияет раскрытие информации об уязвимостях на курс акций разработчика ПО? - дан ответ исследователями Института Карнеги Меллона.
В результате 5-тилетних исследований Рауль Теланг и Сунил Ваттал пришли к выводу, что в среднем вендор теряет около 0.6% от стоимости акций при опубликовании информации об уязвимости. При этом в зависимости от условий опубликования и типа уязвимости величина падения может меняться. Например, если патча к моменту опубликования информации об уязвимости нет, то величина падения будет выше. Также она будет выше, если уязвимость имеет отношение к нарушению конфиденциальности. Также рынок меньше наказывает вендора падением цены акций, если публикация уязвимости была сделана самим производителем, а не третьей стороной (независимым исследователем или конкурентом). И, наконец, падение курса акций выше, если опубликование факта наличия уязвимости произошло в популярной прессе, а не в специализированных СМИ. При этом влияние на курс акций имеет место быть только в первый день опубликования - во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает.
Не притянуто ли за уши данное исследование к стоимости акций? Исследователи говорят, что нет и в качестве доказательства приводят такую логику. Поставщик тратит время и деньги на устранение уязвимости, разработку патча и распространение его среди клиентов. Это повышает стоимость ПО и снижает прибыль. Довод 2. Установка патча снижает лояльность клиентов, которые меньше обращаются к поставщику ПО, а то и вовсе уходят к конкурентам. Опять уменьшение потока денежных средств.
Какие выводы можно сделать из этого исследования? Ускорять вывод продукта на рынок с целью обхода конкурентов может быть и надо, но не в ущерб тестированию качестве и защищенности ПО. Затраты на устранение уязвимости обойдутся дороже.
В результате 5-тилетних исследований Рауль Теланг и Сунил Ваттал пришли к выводу, что в среднем вендор теряет около 0.6% от стоимости акций при опубликовании информации об уязвимости. При этом в зависимости от условий опубликования и типа уязвимости величина падения может меняться. Например, если патча к моменту опубликования информации об уязвимости нет, то величина падения будет выше. Также она будет выше, если уязвимость имеет отношение к нарушению конфиденциальности. Также рынок меньше наказывает вендора падением цены акций, если публикация уязвимости была сделана самим производителем, а не третьей стороной (независимым исследователем или конкурентом). И, наконец, падение курса акций выше, если опубликование факта наличия уязвимости произошло в популярной прессе, а не в специализированных СМИ. При этом влияние на курс акций имеет место быть только в первый день опубликования - во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает.
Не притянуто ли за уши данное исследование к стоимости акций? Исследователи говорят, что нет и в качестве доказательства приводят такую логику. Поставщик тратит время и деньги на устранение уязвимости, разработку патча и распространение его среди клиентов. Это повышает стоимость ПО и снижает прибыль. Довод 2. Установка патча снижает лояльность клиентов, которые меньше обращаются к поставщику ПО, а то и вовсе уходят к конкурентам. Опять уменьшение потока денежных средств.
Какие выводы можно сделать из этого исследования? Ускорять вывод продукта на рынок с целью обхода конкурентов может быть и надо, но не в ущерб тестированию качестве и защищенности ПО. Затраты на устранение уязвимости обойдутся дороже.
Мне кажется, что эти падения чисто психологическая реакция рынка, без какой либо основы на объективных факторах.
ReplyDeleteНеобходимо повышать граммотность инвесторов в области ИБ - так раскрытая и исправленная уязвимость это всё таки плюс - ведь скрытых осталось меньше =)
Ну авторы не на пустом месте делают выводы же
ReplyDeleteВ общем случае дело может быть в том, что сейчас за новостным фоном вокруг объекта инвестирования следят автоматизированные системы - роботы, строящие психоэмоциональную картину и составляющие прогноз ее развития. И естественно, любой негатив воспринимается ими как сигнал к "красной зоне". НО не зря исследователи говорят, что этот "просад" в 0,6% имеет место быть в течение одного дня. На теханализе, чему больше доверяют биржевики, он даже не будет заметен. Так что увы, но влияние ИБ на курс акций тобой сильно преувеличено. И я не раз тебе это говорил. Тем более, применительно к нашей стране.
ReplyDeleteНу в России это точно не сработает - даже спорить не буду ;-)
ReplyDeleteТочно. Но не потому что не сработало бы в принципе - а потому, что инфу об утечках не публикуют. А если бы публиковали то было бы те же -0,6% в течение одного дня. И точно такой же - "пшик", как и во всем остальном мире.
ReplyDeleteинтересно, после утечки 8 тыщ смс насколько упали акции мегафона и яндекса?
ReplyDeleteкажется, я знаю ответ =)
Нисколько. http://anvolkov.blogspot.com/2011/07/blog-post_4146.html
ReplyDeletehttp://lukatsky.blogspot.com/2009/03/blog-post_26.html - вот тебе реальные примеры неоднодневной связи
ReplyDeleteThis comment has been removed by the author.
ReplyDeleteЭто еще раз подтверждает факт, что всем управляют роботы. Элементарный анализ графиков говорит о том, что в обоих случаях (во втором особенно) УЖЕ присутствовал негативный новостной фон, и акции катились по нисходящему тренду в ожидании обвала. Посмотри до точки утечки. Утечка - это своего рода катализатор, возможно, само руководство компании намеренно опубликовало эти утечки "с помпой", с целью обанкротить или прикупить акций себе.
ReplyDeleteТы видишь то что хочешь видеть, хотя на самом деле рынком акций правят другие законы. И все это - лишь инструмент, как показывают исследование - далеко не самый эффективный. Ну что такое 2% на два дня? Фигня. Вот информация о том что заключается контракт на 200 млрд (инсайд) в умелых руках куда эффективнее. ИБ в части утечек и взломов - мусор в финансовом мире. Хотя иногда, как видим, и им можно воспользоваться.