Kdo to řekne?

Pavel Houser , 19. říjen 2016 13:00 1 komentářů

Nemůže být to, co vypadá jako zanedbávání bezpečnosti IT, ve skutečnosti racionální strategií? Pokud se stále opakuje, že firmy působící v tržní ekonomice dělají něco špatně (míněno ve smyslu „ekonomicky si samy škodí“), nabízí se otázka, zda to nemůže být jinak. A to i když jde o věc zdánlivě tak jasnou, jako je bezpečnost.

Studie RAND Corporation, která vyšla v Journal of Cybersecurity, píchla do vosího hnízda. Má ukazovat, že náklady na úniky dat z firem jsou mnohem menší, než by se zdálo – v průměru kolem 200 000 dolarů. Na rozdíl od prakticky všech dalších analýz (samozřejmě včetně těch, které provádějí samotné bezpečnostní firmy, ale i jiných) se Sasha Romanosky z RAND odvážil pro The Register uvést, že pokud organizace zanedbávají účinnější bezpečnostní opatření, možná se ve skutečnosti chovají racionálně/efektivně.

Několik čísel: 12 000 analyzovaných incidentů v průměru znamenalo škodu ve výši 0,4 % ročního obratu společnosti, o dost méně než třeba účetní podvody. Co se týče poškození pověsti, dle Romanoského je prakticky nemožné škodu vyčíslit, neexistují (respektive – zkoumané firmy neměly) metriky, které by dokázaly odhadnout např. dopad incidentu na PR. Navíc události z oblasti kybernetické bezpečnosti v dlouhodobém horizontu prakticky nemají dopad na cenu akcií firmy, má jít tedy spíše o dočasnou nepříjemnost, která odezní málem sama.

Samozřejmě zde stojíme před problémem, že kauzality tohoto typu jsou do značné míry spekulativní. Yahoo na tom není dobře, firma přiznala gigantický bezpečnostní incident, jak jeho dopad dále kvantifikovat? Nicméně tuhle potíž snad lze obejít tím, že do průzkumu zahrneme dostatek firem na to, aby se dopad úniku dat dal nějak „zprůměrovat“.

Situaci by dle příslušné analýzy mohla změnit rostoucí nabídka pojištění v oblasti kybernetické bezpečnosti. Do určitého stupně zabezpečení např. firmu nikdo nepojistí, čili se vyplatí investovat alespoň (nebo právě?) tolik, aby se dosáhlo potřebných parametrů. Budou přibývat i legislativní tlaky a další regulace, které můžeme hodnotit různě.

Pokud si ale uvědomíme, že 100% bezpečnost je iluzí a bezpečnostní rozpočet by šlo nafukovat do nekonečna, potom existence úniků dat prostě ukazuje na určitou rovnováhu mezi náklady a očekávanými škodami.

Jistěže dochází k technickým i manažerským chybám, jejich eliminace by ale asi (celkově a v průměru – nikoliv v rámci jediné konkrétní firmy) byla dražší. Nemusí to tak samozřejmě být, ale přesto mi přijde s podivem, že pohled z RAND Corp. je celkem ojedinělý a nepředstavuje spíše mainstream.


Komentáře

C #0
C 27. říjen 2016 20:15

Aha, takze idealnym stavom kam toto konverguje je, ze sa nebude davat do bezpecnosti nic, lebo to je najlacnejsie? Zo vsetkych firiem nech unikaju vsetky data a zakaznik tak nebude mat kam prejst, takze ziadny postih za to nebude. To ma byt pozitivne?

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

YouTube dál ztrácí inzerenty kvůli obavám z kontroverzních videí

ČTK , 26. březen 2017 09:00

Internetový portál pro sdílení videí YouTube dál ztrácí inzerenty kvůli obavám, že jejich reklamy bu...

Více 0 komentářů

Čínská ZTE přiznala nelegální zasílání zboží z USA do Íránu

ČTK , 25. březen 2017 09:00

Čínský výrobce telekomunikačního zařízení ZTE Corp. přiznal před soudem v Texasu vinu, že nelegálně ...

Více 1 komentářů

Bosch a IBM začaly spolupracovat na IoT pro průmysl

Pavel Houser , 24. březen 2017 13:08

Výrobci aut mohou nyní plánovat a organizovat aktualizaci softwaru u milionů vozů....

Více 0 komentářů

Starší zprávičky

Apple čeká na Novém Zélandu vyšetřování kvůli daním

ČTK , 24. březen 2017 13:00

Americkou společnost Apple čeká na Novém Zélandu vyšetřování, navzdory miliardovému obratu tam totiž...

Více 0 komentářů

Huawei a SUSE spolupracují na platformě pro kritické úlohy

Pavel Houser , 24. březen 2017 11:42

SUSE Linux Enterprise Server jako preferovaný standardní OS pro KunLu umožňuje výměnu procesorů a pa...

Více 0 komentářů

Novela zavádí lepší užití informačních systémů veřejné správy

ČTK , 24. březen 2017 08:00

Zákon má mj. zabránit duplicitě informačních systémů a plýtvání penězi při jejich nákupu....

Více 0 komentářů

Workplace Hub pro optimalizaci systémů i procesů

Pavel Houser , 23. březen 2017 16:09

Konica Minolta v partnerství se společnostmi Microsoft, HPE, Sophos, Canonical a BrainTribe přichází...

Více 0 komentářů