Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ЕКОНОМІКА КІБЕР-БЕЗПЕКИ

Vlad Styran
February 22, 2018

ЕКОНОМІКА КІБЕР-БЕЗПЕКИ

ЯК ГОВОРИТИ ПРО БЕЗПЕКУ ТАК, ЩОБ CFO СЛУХАВ,
CEO РОЗУМІВ, А ІНВЕСТОРИ ПОГОДЖУВАЛИСЯ

Vlad Styran

February 22, 2018
Tweet

More Decks by Vlad Styran

Other Decks in Technology

Transcript

  1. ЕКОНОМІКА КІБЕР-БЕЗПЕКИ
    ЯК ГОВОРИТИ ПРО БЕЗПЕКУ ТАК, ЩОБ CFO СЛУХАВ,
    CEO РОЗУМІВ, А ІНВЕСТОРИ ПОГОДЖУВАЛИСЯ
    Володимир Стиран
    CISSP CISA OSCP
    Co-founder & Director of Ops, Berezha Security

    View Slide

  2. ПИТАННЯ НА $1,000,000
    Скільки потрібно витрачати на безпеку?

    View Slide

  3. КЛЮЧОВІ КОРПОРАТИВНІ ГРАВЦІ
    Інвестори та засновники
    CEO, CFO
    COO, CMO, CCO… CxO
    CTO, CIO
    CSO, CISO

    View Slide

  4. ІНТУЇЦІЯ РИЗИКУ КІБЕРБЕЗПЕКИ
    0.00%
    10.00%
    20.00%
    30.00%
    40.00%
    50.00%
    60.00%
    70.00%
    80.00%
    90.00%
    100.00%
    CEO СISO
    прийнятний допустимий

    View Slide

  5. ТРАДИЦІЙНІ ЗАСОБИ
    «Срібні кулі»
    Контролі та «найкращі практики»
    Управління ризиками
    Комплаянс
    «Мова бізнесу»

    View Slide

  6. НАУКОВИЙ ПІДХІД

    View Slide

  7. ЕКОНОМІКА КІБЕРБЕЗПЕКИ
    Сучасна поведінкова, а не «класична» раціональна
    Вивчає природу та мотиви учасників ринку
    1) Споживачі 2) Постачальники 3) Індустрія кібербезпеки
    Визначає та намагається розв’язати основні проблеми
    Асиметричність інформації
    Монополії та олігополії на ринку
    Потребу в зовнішньому регулюванні
    Оптимальні інвестиції в безпеку

    View Slide

  8. ВИМІРЮВАННЯ БЕЗПЕКИ
    Cyber Security Economics, © Delft University of Technology

    View Slide

  9. СУЧАСНІ «НАЙКРАЩІ ПРАКТИКИ» БЕЗПЕКИ
    Cyber Security Economics, © Delft University of Technology

    View Slide

  10. ДЖЕРЕЛА ДАНИХ
    Контролі
    Аудит
    Регулятори
    Моніторинг
    Вразливості
    Vuln DBs
    Пентести
    Bug Bounty
    Інциденти
    CERTs
    Експерти
    Новини
    Втрати
    Розслідування
    Моделювання
    Новини

    View Slide

  11. (ПОПЕРЕДЖЕНІ) ВТРАТИ
    0.00%
    10.00%
    20.00%
    30.00%
    40.00%
    50.00%
    60.00%
    70.00%
    80.00%
    90.00%
    100.00%
    0 10 20 30 40 50 60 70 80 90 100
    Ймовірність
    Втрати

    View Slide

  12. ІНВЕСТИЦІЇ В БЕЗПЕКУ
    0.00%
    10.00%
    20.00%
    30.00%
    40.00%
    50.00%
    60.00%
    70.00%
    80.00%
    90.00%
    100.00%
    0 10 20 30 40 50 60 70 80 90 100
    Продуктивність
    Кошти

    View Slide

  13. ОПТИМАЛЬНИЙ РІВЕНЬ БЕЗПЕКИ
    0.00%
    10.00%
    20.00%
    30.00%
    40.00%
    50.00%
    60.00%
    70.00%
    80.00%
    90.00%
    100.00%
    0 10 20 30 40 50 60 70 80 90 100

    View Slide

  14. МОДЕЛЬ ГОРДОНА-ЛОБА
    Інвестиції в кібербезпеку
    не повинні складати більше,
    ніж 37% прогнозованих втрат.
    Дані вартістю $1,000,000,
    ймовірність атаки 7%,
    ймовірність успішності атаки 42%.
    Оптимальний захист:
    $1,000,000 х 0.07 х 0.42 х 0.37 =
    $10,878
    Cyber Security Economics, © Delft University of Technology
    Wikipedia, the free encyclopedia

    View Slide

  15. ХОЧЕТЕ ЗНАТИ БІЛЬШЕ?
    Secon101x
    https://www.edx.org/course/cyber-security-economics-delftx-secon101x-0
    Ross Anderson’s Economics and Security resource page
    http://www.cl.cam.ac.uk/%7Erja14/econsec.html
    Bruce Schneier on Economics of Security
    https://www.schneier.com/essays/economics/
    Vlad Styran - Security Economics @ OWASP Kyiv Winter 2017
    https://www.youtube.com/watch?v=vZAldeJ-_rw

    View Slide

  16. ДЯКУЮ ЗА УВАГУ!
    [email protected]
    fb.me/vstyran
    @c2FwcmFu

    View Slide