אודי אהרוני כתב רשימה בנושא ומכיוון שכדי להגיב ב-cafe themarker צריך להירשם החלטתי להעשיר את הבלוג שלי במקום את האכסניה שלהם (לא ברור מי חשב על הרעיון האווילי הזה). מעז יצא מתוק - זו הזדמנות טובה לדון באחד הנושאים המורכבים העומדים בפני מנהל אבטחת מידע בארגון - הערכת כדאיות של עלויות.
אודי כותב ובצדק שהעובדה שקשה להעריך עלויות ישירות ועקיפות אינה מהווה הצדקה להתעלמות מהסוגיה. בהקשר זה עולות שתי שאלות מרכזיות - מדוע כה קשה להצדיק עלויות של אבטחת מידע וכיצד בכל זאת מומלץ להתמודד עם סוגיה זו.
מדוע קשה להצדיק עלויות אבטחה
ארגונים נוטים שלא לדווח על בעיות אבטחה. מחקרים מראים כי בטווח הזמן הקצר (קשה למדוד לאורך זמן) חשיפות אבטחת מידע מורידה את ערך השוק של החברה הנתקפת. הנתונים משתנים בהתאם לסוג הפגיעה, כאשר מבחינת ההשפעה ניתן להבחין בעיקר בין חשיפת מידע של לקוחות (שמשפיע על תדמית ויוצר חשיפה משפטית) לשאר המפגעים. הראשון מוריד את ערך החברה בממוצע ב-3% בעוד שהאחרון באיזור ה-10%. חשוב להדגיש כי כמות המחקרים בנושא קטנה מאוד ונתונים אלה מתבססים על כשני מחקרים בלבד (אם זכרוני אינו מטעני). לפיכך, הערכות הן כי חברות לא מדווחות על פריצות לרשויות אלא מעדיפות לספוג את הנזק, על מנת שלא ליצור נזק נוסף על הנזק שכבר נגרם. זו אגב אחת הסיבות שבארצות הברית מתפתחת חקיקה (שהשפעותיה ניכרות גם כאן) המחייבת ארגונים לחשוף פריצות הנוגעות לחשיפת מידע על לקוחות. השוואת הדיווחים העצמיים של חברות בסקר CSI/FBI לאופן שבו מתמחר השוק חשיפות אבטחה (דרך ערך המניה כמובן) מראה כי ארגונים נוקטים במדיניות של הערכת חסר (ועל זה יש להוסיף את האירועים שלא הגיעו לידיעת ציבור המשקיעים).
כאשר בוחנים בצורה השוואתית נתונים של גופים שונים הבוחנים את עלויות אבטחת המידע מגלים כי הפערים בהערכות על נזקי וירוסים עשויים להיות עד פי 100 בין ההערכה הנמוכה ביותר לגבוהה ביותר. ואלו עוד נתונים "אובייטקיביים". כך שברור שהיעדר נתונים הוא הבסיס הראשון להיעדר יכולת להצדיק עלויות אבטחה.
הבסיס השני הוא חוסר הנכונות של ארגונים לבצע הערכת סיכונים שיטתית המנסה לתמחר שירותים, ידע ונזקים. ידוע כי רוב הנזקים בתחום אבטחת המידע הם נזקים פנימיים, בעוד שרוב המתקפות הן חיצוניות (המונח "ידוע כי" בא לרוב לציין כי לכותב אין שום ביסוס עובדתי לטענה. ראו גם "מן המפורסמות", "לאחרונה נטען", "הערכות השוק" וכדומה). אלא שבלי קשר לטענה מהיכן מגיעים רוב הנזקים, מנהלי אבטחת מידע רבים אינם מסוגלים להעריך היכן ממוקמים הנכסים המרכזיים של הארגון, מה הם בכלל ומה יגרם להם בתרחישים השונים (אם יש תרחישים שונים). כך שהיעדר הערכה על מה יש להגן, במשולב עם היעדר נתונים על נזק כלכלי פוטנציאלי יוצרים מצב בו קשה להצדיק את הוצאות אבטחת המידע.
אלא שזה לא הכל. בסיס נוסף בבעיה הוא העובדה ה"מצערת" שתחום אבטחת מידע אינו מכניס כסף לחברה. עם כל האהדה שלי לטיעון שאבטחת מידע צריך לראות דרך הזווית העסקית (וזה אחד הטיעונים החזקים שאני מנסה לקדם מול לקוחות), אין תזרים מזומנים חיובי בקצה של השקעת אבטחת המידע. לכל היותר ניתן לבחון את ההשקעה העסקית ותזרים המזומנים שלה ולנסות להעריך כיצד סיכוני האבטחה ישפיעו על תזרים המזומנים הזה. אך זה מחזיר אותנו לנקודה הראשונה.
על כל זה אוסיף בקינוח. אין מודלים טובים לכלכלת אבטחת מידע. ישנו מודל של Annual Loss Expectancy שפותח על ידי מכון התקנים האמריקאי בשנות ה-70. המודל מצוין במובן זה שהוא מאפשר להגיע לתוצאות כמותיות סופיות, אלא שהוא דורש הגדרה של הסתברות לכל אחד מהסיכונים ומחיר לכל תוצאה. גם אם היו את כל הנתונים (ואין) הוא עדיין מורכב ולא נוח לשימוש. מודלים אחרים פשוט לא אפקטיביים או לא באמת קיימים. זה בהחלט נושא שבשנים האחרונות נדון באקדמיה (ראו בסוף הרשימה קישור לדף בנושא של כלכלת אבטחת מידע להמשך קריאה).
כיצד בכל זאת ניתן להצדיק עלויות אבטחה
ראשית יש לפרק את עלויות האבטחה למרכיבים השונים. יש לבחון עלויות ישירות ועלויות עקיפות (לפחות כקטגוריות לבחינה) ולבחון למול כל מרכיב את היצע הנתונים הקיים. לדוגמא, בבחינת AntiVirus וכלי סינון תוכן אחרים ניתן לספק לא מעט ארגונים פנימיים וחיצוניים לארגון על השבתות ולהעריך הסתברויות להשבתה. את הנתונים על עלויות ההשבתה ניתן לבנות לפי טבלאות שכר. באותו האופן ניתן להעריך עלויות של סיסמאות ולתמחר את התועלת של מנגנון הזדהות חזקה. וכן הלאה. כאשר מגיעים למקומות בהם אין נתונים, חשוב לזהות את המרכיבים האסטרטגיים לארגון ולפעול להגנתם (לדוגמא, אם לארגון חשובה תדמיתו יש להציג את אמצעי האבטחה כמשהו שמגן על התדמית בנוסף על נושאי אבטחה רגילים). ככל שמרכיב האבטחה יקושר להיבט אסטרטגי יותר לארגון, יש סיכוי טוב יותר להתעלמות מנתונים כספיים והתעסקות בנושאים מופשטים.
בכל מקרה חשוב להקפיד להתמקד בנזק שעלול להגרם, במחירו או השפעתו ורק אז לדבר על עלויות האבטחה. כך מסדרים לארגון את הדברים לפי סדר התרחשותם - קיימים סיכונים ולכן צריך פתרונות. פעמים רבות מנהלי אבטחת מידע מציגים פתרונות ללא הכנה מספקת של סיכונים או תקציבי אבטחה ללא הערכת של עלויות הסיכונים.
חשוב אולי להגיד עוד משהו קטן לסיום. לא תמיד מוצדק להוציא כסף על אבטחת מידע. היעדר נתונים לעתים מעודד מנהלי אבטחת מידע לחשוב כאילו הם כבר לא צריכים להוכיח, גם לא לעצמם, את החשיבות והצורך של אבטחת מידע. כל שנכתב פה מתייחס לתרחישים בהם באמת יש הצדקה להשקעה ספציפית בתשתיות או תשומות אבטחה. לא תמיד יש הצדקה כזו וכשאין זה בהחלט נבון להגיד למנהלים בארגון שבמקרה זה לא כדאי להשקיע באבטחה, או שכדאי להשקיע פחות מהמקובל.
מקורות וקריאה נוספת
עמוד הקישורים של רוס אנדרסון בנושא כלכלת אבטחת מידע - מומלץ
בבלוג זה
בכל הבלוגים
