Я уже обращался к теме экономики безопасности не один раз (последний — пару недель назад), но тема эта безгранична и поэтому я вновь вернуться к ней. Тем более и повод есть. Росс Андерсон пишет третье издание своего классического труда «Security Engineering» и постепенно выкладывает написанные главы на своем сайте. Последнюю главу, посвященную информационной экономике, он выложил 29-го июня. Я позволю себе поделиться некоторыми выводами (тезисно) из этой главы и некоторыми моими добавлениями к ним:
- Люди не меняют своего поведения, если у них нет к этому стимула. Человек, выставляющий в Интернет небезопасную машину, не несет никаких последствий, в то время как человек, который пытается делать все правильно, страдает от побочных эффектов. Тоже самое касается и компаний.
- Асимметричная информация, о которой я впервые написал 10 лет назад (и еще 6 лет назад), управляет рынком ИБ. Если у вас нет полной информации об интересующих вас средствах защиты, их качестве и функционале, то для вас основным критерием покупки будет стоимость. А если транслировать отсутствие информации при покупке в даркнете, то вы будете заложником знакомого вам продавца или площадки и будете торговаться по его ценам и условиям. И так по многим направлениям, в которых тот, кто обладает большей информацией, манипулирует теми, у кого ее нет. В условиях же цифровой симметрии, когда у всех информация одна и та же, наступает конкурентное равновесие. Например, если бы где-то был сайт (или сайты), который, как агрегатор стоимости авиабилетов или отелей, отображал бы стоимость разных МСЭ, соответствующих заданному функционалу, то их цена бы поползла вниз, так как у всех потребителей была бы одинаковая информация и ею нельзя было бы манипулировать.
- Люди до сих пор покупают антивирусы, хотя это совершенно бессмысленная трата денег. Вирусописатели ведь проверяют свои творения на всех известных средствах защиты до того, как выпустить свой код «в свет». То есть на момент своего победоносного шествия по миру вредоносная программа не детектируется антивирусами. Но об этом производители не говорят, а потребитель просто не задумывается об этом. Еще бы — последние 25 лет на всех углах говорят о важности антивируса и 100% потребителей их использующих (тут вступает в игру одна из предыдущих заметок про страшилки и необходимость демонстрации прогресса и равнения на лучших) поэтому не знает об этом. Налицо цифровая асимметрия.
- Интересно, что асимметричность информации объясняет очень многое в мире ИБ. Многие заинтересованные лица не заинтересованы говорить правду. Спецслужбы и ИБ-компании преувеличивают угрозы; компании электронной коммерции и банки — преуменьшают их. Американские спецслужбы обвиняли в кибератаках на США Россию, не предоставив никаких доказательств. И снова проявление асимметрии информации.
- Ввиду коммерциализации рынка киберпреступности, он также начинает активно жить по экономическим законам. Цена многих услуг падает до нуля и мелкие игроки киберпреступности постепенно уходят с рынка, уступаю место крупняку, который консолидирует усилия и может вышибать нишевых игроков с рынка продавая услуги «в минус», компенсируя потери в других сегментах. Такое происходит на рынке услуг спама, или DDoS. Кстати той же стратегии придерживаются и многие интеграторы, которые торгуют пентестами задешево, выбивая мелкие нишевые конторы с этого рынка. Правда, при этом страдает и качество услуг, но в условиях асимметрии информации потребитель об этом не узнает, а интеграторы не спешат делиться этим откровением.
- Цена информации равна стоимости ее производства, что во многих случаях означает, что она равна стоимость копирования, то есть нулю. Отсюда вытекает отсутствие нормальных аналитических ресурсов, которые не могут жить только за счет информации (ее легко копируют и распространяют) и вынуждены прибегать к рекламе.
- Есть всего два способа получить то, что вам хочется, если вы не можете создать это сами или найти где-то. Вы либо делаете что-то полезное другим и торгуете этим (обмениваетесь или на вырученные деньги покупаете нужное), либо берете то, что вам нужно, силой. Выборе между сотрудничеством и конфликтом ведется каждый день на уровне людей и на уровне компаний. Основным инструментом, который изучает сотрудничество и конфликты, является теория игр.
- Люди, которые занимаются ИБ систем, не являются людьми, которые несут потери от атак на эти системы.
- Иногда механизмы безопасности используются, чтобы свалить вину на других. И если вы один из этих «других», то вам было бы лучше, если бы система была небезопасной.
- Безопасность часть используют для продвижения своих интересов, а не для достижения общего блага.
- Безопасность мешает развитию и рациональным поведением для компании будет пренебрегать ею пока не будет защищена его позиция на рынке. И только после этого можно начать думать о защищенности. Именно поэтому у многих стартапов и начинающих разработчиков ПО проблемы с безопасностью.
- «Сделка — потом грабеж» — так называется ситуация, когда поставщик средств ИБ продает свои решения задешево, но потом начинает «стричь» заказчика на ежегодном продлении, цена которого может составлять 70 и даже 100 процентов от первоначальной стоимости решения. Это тоже объясняется простой экономикой.
- Если вы используете какое-то сложное ПО (Microsoft или Splunk), то вы начинаете использовать его по максимуму, все его хитрости и трюки. Это существенно осложняет процесс миграции на другое ПО.
- Правоохранительные органы очень мало занимаются киберпреступностью, так как им проще не замечать ее, игнорировать проблему и удерживать жертв от заявлений о преступлениях.
- Обнаружение мошенничества с кликами в рекламных сетях означает, что рекламная сеть не может брать денег с рекламодателей за эти клики. Значит, если владелец рекламной сети очень хорошо борется с мошенничеством, то он меньше зарабатывает. Тоже самое с борьбой с DDoS в условиях, когда оператор связи получает деньги за объем трафика.
- Поиск ошибок и уязвимостей в разработанном вами коде приводит к потере конкурентных преимуществ. Чем больше вы ищете, тем больше вы находите, и тем дальше вы отдаляете срок выхода своего ПО. Менее щепитильные компании или команды в результате выигрывают. Поэтому большого стимула внедрять анализ кода нет, если только об этом не просят клиенты или не введена ответственность за отсутствие анализа.
Вот такой короткий пересказ интересной главы. Вроде многие тезисы не новы и мы с ним сталкиваемся регулярно по работе. Но часто мы думаем, что это нечто выдающееся или наоборот исключительное событие и что у других-то такого нет. Но дело в том, что углубляясь в тему информационной экономики, начинаешь понимать, что все, что происходит в ИБ, подчиняется вполне определенным законам. ИБ не является каким-то черным ящиком, живущим по своим правилам, отличным от того, что происходит вокруг. И поэтому такие законы неплохо бы знать, чтобы можно было быть готовым к каким-то событиям, которые все равно произойдут.
ЗЫ. В книге наткнулся на упоминание интересного кейса. В 2012-м году один из волонтеров внес в открытое ПО (WebKit) уязвимость, чтобы потом через программу bug bounty получить вознаграждение. Деталей в Интернете что-то не смог найти, но на интересные мысли этот кейс наводит. Включены ли ваши разработчики или разработчики ПО, которое пишется для вас, в вашу модель угроз/нарушителя?
ЗЗЫ. Кого интересует тема информационной экономики могу посоветовать материалы ежегодной конференции WEIS (The Workshop on the Economics of Information Security), где эту тему активно обсуждают с 2002-го года.
Росс Андерсон может и профессор, но про антивирусы он написал бред. Как будто вирусы перестают нести опасность как только попадают в базы сигнатур антивирусников, и как будто в антивирусах нет эвристики и поведенческого анализа… Он предлагает всем продолжать невмешательство в победное шествие вирусни?
Некоторые другие тезисы профессора также наталкивают на мысли о манипулировании сознанием. Коллеги, будьте бдительнее 🙂
И про антивирус лихо! То же самое можно сказать и об остальных СЗИ.
Почему-то на западе очень модно писать книжки, набитые банальностями и абстрактными советами, да еще и выдавать все это за результат исследований.
"Безопасность часто используют для продвижения своих интересов, а не для достижения общего блага". Очень свежая и полезная информация для безопасника!
Возможно, авторам не дают покоя лавры Тони Роббинса сего "гениальными" советами вроде "надо писать грамотно, а неграмотно писать не надо".
Впрочем, если люди платят за это деньги, то почему бы и не впарить им сии перлы?
Вообще Росс очень известный специалист по ИБ, занимающийся ею уже лет 30-40. И пишет он далеко не банальности, просто в масштабах одной главы раскрывать все и в глубину он не планировал. Для этого у него другие каналы используются