Как связаны Vulnerability Disclosure и падение курса акций?!

Тезис о том, что качественное и защищенное ПО лучше наколеночных и дырявых поделок мало у кого вызывает сомнение. Как минимум на уровне восприятия. А вот вопрос о раскрытии информации об уязвимостях в ПО (Vulnerability Disclosure) регулярно вызывает дискуссии на различных конференциях и страницах профессиональной прессы. Раскрывать или нет? Похвалить исследователя или наказать? Вопросов много. На один из них — «Как влияет раскрытие информации об уязвимостях на курс акций разработчика ПО? — дан ответ исследователями Института Карнеги Меллона.

В результате 5-тилетних исследований Рауль Теланг и Сунил Ваттал пришли к выводу, что в среднем вендор теряет около 0.6% от стоимости акций при опубликовании информации об уязвимости. При этом в зависимости от условий опубликования и типа уязвимости величина падения может меняться. Например, если патча к моменту опубликования информации об уязвимости нет, то величина падения будет выше. Также она будет выше, если уязвимость имеет отношение к нарушению конфиденциальности. Также рынок меньше наказывает вендора падением цены акций, если публикация уязвимости была сделана самим производителем, а не третьей стороной (независимым исследователем или конкурентом). И, наконец, падение курса акций выше, если опубликование факта наличия уязвимости произошло в популярной прессе, а не в специализированных СМИ. При этом влияние на курс акций имеет место быть только в первый день опубликования — во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает.

Не притянуто ли за уши данное исследование к стоимости акций? Исследователи говорят, что нет и в качестве доказательства приводят такую логику. Поставщик тратит время и деньги на устранение уязвимости, разработку патча и распространение его среди клиентов. Это повышает стоимость ПО и снижает прибыль. Довод 2. Установка патча снижает лояльность клиентов, которые меньше обращаются к поставщику ПО, а то и вовсе уходят к конкурентам. Опять уменьшение потока денежных средств.

Какие выводы можно сделать из этого исследования? Ускорять вывод продукта на рынок с целью обхода конкурентов может быть и надо, но не в ущерб тестированию качестве и защищенности ПО. Затраты на устранение уязвимости обойдутся дороже.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. dvvord

    Мне кажется, что эти падения чисто психологическая реакция рынка, без какой либо основы на объективных факторах.

    Необходимо повышать граммотность инвесторов в области ИБ — так раскрытая и исправленная уязвимость это всё таки плюс — ведь скрытых осталось меньше =)

    Ответить
  2. Алексей Лукацкий

    Ну авторы не на пустом месте делают выводы же

    Ответить
  3. Unknown

    В общем случае дело может быть в том, что сейчас за новостным фоном вокруг объекта инвестирования следят автоматизированные системы — роботы, строящие психоэмоциональную картину и составляющие прогноз ее развития. И естественно, любой негатив воспринимается ими как сигнал к "красной зоне". НО не зря исследователи говорят, что этот "просад" в 0,6% имеет место быть в течение одного дня. На теханализе, чему больше доверяют биржевики, он даже не будет заметен. Так что увы, но влияние ИБ на курс акций тобой сильно преувеличено. И я не раз тебе это говорил. Тем более, применительно к нашей стране.

    Ответить
  4. Алексей Лукацкий

    Ну в России это точно не сработает — даже спорить не буду 😉

    Ответить
  5. Unknown

    Точно. Но не потому что не сработало бы в принципе — а потому, что инфу об утечках не публикуют. А если бы публиковали то было бы те же -0,6% в течение одного дня. И точно такой же — "пшик", как и во всем остальном мире.

    Ответить
  6. Artem Ageev

    интересно, после утечки 8 тыщ смс насколько упали акции мегафона и яндекса?

    кажется, я знаю ответ =)

    Ответить
  7. Unknown

    Нисколько. http://anvolkov.blogspot.com/2011/07/blog-post_4146.html

    Ответить
  8. Алексей Лукацкий

    http://lukatsky.blogspot.com/2009/03/blog-post_26.html — вот тебе реальные примеры неоднодневной связи

    Ответить
  9. Unknown

    Этот комментарий был удален автором.

    Ответить
  10. Unknown

    Это еще раз подтверждает факт, что всем управляют роботы. Элементарный анализ графиков говорит о том, что в обоих случаях (во втором особенно) УЖЕ присутствовал негативный новостной фон, и акции катились по нисходящему тренду в ожидании обвала. Посмотри до точки утечки. Утечка — это своего рода катализатор, возможно, само руководство компании намеренно опубликовало эти утечки "с помпой", с целью обанкротить или прикупить акций себе.

    Ты видишь то что хочешь видеть, хотя на самом деле рынком акций правят другие законы. И все это — лишь инструмент, как показывают исследование — далеко не самый эффективный. Ну что такое 2% на два дня? Фигня. Вот информация о том что заключается контракт на 200 млрд (инсайд) в умелых руках куда эффективнее. ИБ в части утечек и взломов — мусор в финансовом мире. Хотя иногда, как видим, и им можно воспользоваться.

    Ответить