Το οικονομικό  οικοσύστημα που περιστοιχίζει την Ασφάλεια Πληροφοριών, χρήζει σημαντικής μελέτης, αφού η ασφάλεια πληροφοριών αποτελεί κρίσιμο επιχειρησιακό ζήτημα. Επιπρόσθετα, αποφάσεις και κατευθύνσεις συμβούλων, κατασκευαστών και επαγγελματιών της ασφάλειας πληροφοριών μπορεί να βοηθηθούν αλλά και να εξηγηθούν αναλύοντας το οικονομικό οικοσύστημα της ασφάλειας πληροφοριών.

Η μελέτη της ασφάλειας πληροφοριών με βάση οικονομολογικά στοιχεία (economics of information security) αναλύει τις οικονομικές προεκτάσεις και την επίδραση της ασφάλειας πληροφοριών. Στόχος της συγκεκριμένης ανάλυσης είναι να βοηθήσει στη λήψη αποφάσεων, αναλύοντας συμπεριφορές σε σχέση με το οικονομικό αντίκτυπο της κάθε δράσης που αφορά στην ασφάλεια πληροφοριών.

Η οικονομολογική μελέτη της ασφάλειας πληροφοριών, προσπαθεί να απαντήσει στο εξής ερώτημα: γιατί κάποιοι επιλέγουν την εκμετάλλευση τεχνικών αδυναμιών ασφάλειας, όταν υπάρχουν τεχνικές λύσεις που φαινομενικά τις αντιμετωπίζουν και περιορίζουν τους κινδύνους ασφάλειας; Η οικονομολογική μελέτη της ασφάλειας πληροφοριών πραγματεύεται όχι μόνο αυτό το θέμα, αλλά βοηθά στη λήψη τεχνολογικών αποφάσεων και αποφάσεων σχεδιασμού της αρχιτεκτονικής ασφάλειας.
Η αρχή του συγκεκριμένου τρόπου μελέτης της ασφάλειας πληροφοριών έγινε το 2000, με το άρθρο του Ross Anderson «Why Computer Security is Hard». Ο Anderson εξήγησε ότι μια σημαντική δυσκολία στη βέλτιστη ανάπτυξη της τεχνολογίας που αφορά στην ασφάλεια πληροφοριών, είναι η ευθυγράμμισή της με την πραγματική ανάγκη του αποδέκτη της συγκεκριμένης τεχνολογίας.
Οικονομολογικά δεδομένα θα πρέπει να ληφθούν υπόψη στη φάση του τεχνικού σχεδιασμού. Μια τεχνολογία ασφάλειας θα πρέπει να επιτρέπει στον αποδέκτη της, να μπορεί να περιορίσει το κίνδυνο στον οποίο εκτίθεται. Σε διαφορετική περίπτωση η βιωσιμότητα της κάθε τεχνολογίας εξαρτάται από τη φήμη που την περιστοιχίζει.

Η οικονομική επίπτωση των παραβιάσεων της ασφάλειας πληροφοριών
Ο οίκος αναλύσεων Forrester εκτίμησε το κόστος των υλικών και άυλων απωλειών που αφορούν στις παραβιάσεις της ασφάλειας πληροφοριών, σε τρία διαφορετικά υποθετικά σενάρια.
Η ανάλυση έδειξε ότι στην περίπτωση όπου κακόβουλοι ήθελαν να κλέψουν ηλεκτρονικά και να μεταφέρουν (on-line) ποσό 1 εκατομμυρίου δολαρίων από μία τράπεζα, η επίπτωση για την τράπεζα θα ήταν $ 106 εκατ. ευρώ. Επίσης εκτίμησαν ότι στην υποθετική περίπτωση που κατάφερναν να ακυρώσουν παραγγελίες ελαστικών για τα υπό κατασκευή αυτοκίνητα που παράγει μια αυτοκινητοβιομηχανία, ο κατασκευαστής θα είχε ζημίες 21 εκατ. $. Τέλος εκτιμάται ότι αν ένα δικηγορικό γραφείο χάσει ένα σημαντικό μέρος από τις εμπιστευτικές πληροφορίες που διαθέτει, οι επιπτώσεις θα είναι σχεδόν 35 εκατομμύρια δολάρια.
Μήπως αυτό ακούγεται μη ρεαλιστικό; Στην πραγματικότητα είναι αρκετά ρεαλιστικό, διότι η Forrester στις εκτιμήσεις της αποτίμησε τις απώλειες που αφορούν τόσο σε υλικά όσο και σε άυλα στοιχεία, συμπεριλαμβανόμενης της απώλειας των εμπιστευτικών πληροφοριών και της φήμης.
Μια πρόσφατη μελέτη σχετικά με παραβιάσεις της ασφάλειας πληροφοριών στις Ηνωμένες Πολιτείες δείχνει ότι η συνολική ανά περιστατικό δαπάνη είναι υψηλή. Το μέσο συνολικό κόστος ανά συμβάν το 2009 ήταν $ 204 ανά πελάτη, του οποίου τα δεδομένα έχουν παραβιαστεί. Στο πλαίσιο της έρευνας μελετήθηκαν περιπτώσεις που αφορούσαν στις παραβιάσεις 5.000 αρχείων πελατών, ακόμα και σε περιπτώσεις παραβίασης περισσότερων από 101.000 αρχείων, σε 15 διαφορετικούς κλάδους της βιομηχανίας. Το πιο ακριβό δείγμα παραβίασης δεδομένων στο πλαίσιο της μελέτης ήταν $ 31 εκατομμύρια δολάρια (στο οποίο συμπεριλαμβανόταν και η επίλυση του προβλήματος).
Μια άλλη μελέτη δείχνει ότι οι εταιρείες ξοδεύουν περισσότερα σε νομικές δαπάνες υπεράσπισης στον τομέα της παραβίασης της ασφάλειας πληροφοριών. Αυτό έχει αποδοθεί στους φόβους των πιθανών αγωγών, καθώς και σε άλλες αγωγές που προκύπτουν από πελάτες και εργαζόμενους και αφορούν στην απώλεια προσωπικών τους δεδομένων. Στην ίδια μελέτη φαίνεται ότι οι εταιρείες που ζήτησαν βοήθεια κατά τη διάρκεια ενός περιστατικού παραβίασης από εξωτερικούς συνεργάτες είχαν χαμηλότερο κόστος (170 δολαρίων ανά περίπτωση) σε σχέση με τις εταιρείες που αποφάσισαν να χειριστούν το θέμα εσωτερικά ($ 231 ανά περίπτωση).
Επιπλέον, οι εταιρείες που διαθέτουν ένα υπεύθυνο ασφάλειας πληροφοριών ή ισοδύναμου υψηλού επιπέδου υπεύθυνο για την ασφάλεια των δεδομένων, παρουσίασαν 50% μικρότερο κόστος ανά περίπτωση παραβίασης, σε σχέση με τις επιχειρήσεις που δεν είχαν αντίστοιχο ρόλο.
Παραδόξως η μελέτη δείχνει ότι οι εταιρείες που ενημερώνουν άμεσα και γρήγορα πελάτες και συνεργάτες ότι έπεσαν θύματα παραβίασης των δεδομένων τους, αυξάνουν το κόστος της παραβίασης κατά 12% λόγω της απόκρισης των πελατών – συνεργατών. Η μελέτη δείχνει ότι το να κινηθεί η εταιρεία πολύ γρήγορα κατά τη διαδικασία παραβίασης των δεδομένων, μπορεί να προκαλέσει ανεπάρκειες που αυξάνουν το συνολικό κόστος. Οι εταιρείες πρέπει να είναι προσεκτικές όσον αφορά στις νομικές και δημόσιες ευθύνες που τους αναλογούν και για το λόγο αυτό οι κινήσεις τους πρέπει να είναι μελετημένες και όχι βιαστικές.
Μια πρόσφατη έκθεση του Ινστιτούτου Ponemom – η οποία επιβεβαιώθηκε από την εταιρεία Panda Security – μελέτησε το μέσο κόστος των ζητημάτων που προκύπτουν από κακόβουλο λογισμικό τύπου malware:

  • Μια μέση εταιρεία αντιμετωπίζει τουλάχιστον 50 επιτυχημένες επιθέσεις με χρήση malware, οι οποίες οφείλονται στο υψηλό τεχνικό επίπεδο των επιθέσεων, τις οποίες δεν είναι σε θέση να αντιμετωπίσει το λογισμικό προστασίας από malwares.
  • Η κάθε εταιρεία χρειάζεται κατά μέσο όρο 14 ημέρες για να εξουδετερώσει μια κακόβουλη επίθεση, με μέσο κόστος $ 17.000 δολαρίων την ημέρα.
  • Οι κακόβουλοι διαδικτυακοί τόποι (web site) είναι οι πιο επικίνδυνες πηγές κακόβουλου λογισμικού και ευθύνονται για το 90% των σχετικών περιστατικών.

Όσον αφορά στις περιπτώσεις ηλεκτρονικής πλαστοπροσωπίας (identity theft), συνδυάζοντας τις εκτιμήσεις, τον αριθμό των θυμάτων και το ποσό που έχει κλαπεί, αποδεικνύει ότι η συνολική αξία που λαμβάνεται από κλέφτες ταυτότητας, το 2008 μπορεί να ήταν περίπου 16 δισεκατομμυρίων δολαρίων. Σχεδόν το ήμισυ των ζημιών ήταν αποτέλεσμα περιπτώσεων ανοίγματος νέων ηλεκτρονικών λογαριασμών ή χρήσης αυτούσιων των στοιχείων για ηλεκτρονικές απάτες.
Από 529 θύματα που παρείχαν στοιχεία για την αξία των αγαθών ή των υπηρεσιών που καρπώθηκε ο κακόβουλος χρήστης, οι έξι μεγαλύτερες τιμές αντιπροσώπευαν το 22% του συνόλου, ενώ οι οκτώ μεγαλύτερες τιμές αντιπροσώπευαν το 31%.

Οικονομολογική προσέγγιση της δυσκολίας υλοποίησης της ασφάλειας πληροφοριών
Σε γενικές γραμμές, στις περιπτώσεις όπου ο ενδιαφερόμενος να προστατεύσει τις εκάστοτε πληροφορίες δεν είναι ο αυτός που θα γευτεί την αρνητική επίδραση της αποτυχίας για αποτελεσματική προστασία των πληροφοριών, τότε τα προβλήματα θα συνεχίσουν να υφίστανται.
Πολλές φορές έχει ειπωθεί, γραφεί και συζητηθεί, ότι αυτός ο οποίος δεν φροντίζει για την παροχή στοιχειώδους ασφάλειας των πληροφοριών που επεξεργάζεται ή κατασκευάζει συστήματα τα οποία χρησιμοποιούνται για την επεξεργασία και αποθήκευση των πληροφοριών, δεν μπορεί να μένει αμέτοχος σε περίπτωση απόδοσης ευθυνών.
Για παράδειγμα (όπως έχει αναφέρει και ο Varian) το κόστος των denial-of-service επιθέσεων θα πρέπει να αφορούν και στους παρόχους δικτύων επικοινωνίας που χρησιμοποιούν οι κακόβουλοι χρήστες για την υλοποίηση τέτοιου είδους επιθέσεων. Μπορούν να ασκήσουν πίεση στους πελάτες τους να εγκαταστήσουν το κατάλληλο λογισμικό προστασίας – ή να το προμηθεύουν οι ίδιοι οι πάροχοι ως μέρος του πακέτου συνδρομής.
Στην πραγματικότητα, ένα από τα κύρια αξιώματα της οικονομικής θεωρίας είναι ότι η καθαρή παρούσα αξία της πελατειακής βάσης πρέπει να ισούται με το συνολικό κόστος αλλαγής συνεργασίας με τον ανταγωνιστή.
Επίσης πρέπει να συνειδητοποιήσουμε ότι ο κάθε πελάτης δεν ενδιαφέρεται για ένα ασφαλές σύστημα, αλλά για το πώς θα εξασφαλίσει την καλύτερη δυνατή προστασία των δεδομένων του, βάσει των ποσού που είναι διατεθειμένος να ξοδέψει για το σκοπό αυτό. Είναι σημαντικό να συνειδητοποιήσουμε ότι αυτό δεν είναι απλά ένα επιχειρηματικό στερεότυπο, αλλά η πραγματικότητα.
Μια άλλη πραγματικότητα είναι ότι οι εμπορικά διαθέσιμες εφαρμογές λογισμικού διατίθενται με ελάχιστη ή καθόλου υποστήριξη ασφάλειας. Στον αντίποδα, η επιβολή κανόνων για την υποχρεωτική υλοποίηση δικλείδων ασφαλείας σε κάθε έκδοση του λογισμικού, θα έκανε τη ζωή πιο δύσκολη για τους προγραμματιστές εφαρμογών και κατ’ επέκταση θα αργούσε η κυκλοφορία νέων εκδόσεων και λειτουργικότητας.
Μια άλλη προσέγγιση – χρήση των δυνατοτήτων της ασφάλειας πληροφοριών, είναι η χρήση υψηλής τεχνολογίας δικλείδων ασφαλείας, με σκοπό τη διαφύλαξη ενός συγκεκριμένου επιχειρηματικού μοντέλου λειτουργίας.
Για παράδειγμα, ένας πάροχος τηλεπικοινωνιακών υπηρεσιών θα μπορούσε να παρέχει ένα σύστημα πιστοποίησης ταυτότητας (authentication), οι χρήστες του οποίου να επωφεληθούν από τη χρήση του. Σημείο διαφοροποίησης μπορεί να αποτελεί η τιμολόγηση της παρεχόμενης υπηρεσίας και όχι μόνο η χρήση του τηλεπικοινωνιακού δικτύου.
Αυτό είναι ένα γεγονός συνήθως κρίσιμης σημασίας, για περιπτώσεις όπου η τιμή ενός προϊόντος ή μιας υπηρεσίας δεν αντανακλά στο πραγματικό του κόστος, αλλά στην αξία για τον πελάτη.

Αυτό αποτελεί επίσης ένα κοινό επιχειρηματικό μοντέλο, τόσο στην αγορά λογισμικού όσο και στις online υπηρεσίες. Η βασική έκδοση μιας εφαρμογής ή υπηρεσίας μπορεί να είναι διαθέσιμη δωρεάν. Η έκδοση με περισσότερη λειτουργικότητα απαιτεί συνδρομή. Σε πολλές περιπτώσεις η λειτουργικότητα είναι η ίδια, εκτός από το ότι μερικά χαρακτηριστικά δεν είναι ενεργοποιημένα για όλους τους χρήστες.
Για να υλοποιηθούν τα παραπάνω, γίνεται χρήση τεχνολογίας που αφορά στην ασφάλεια πληροφοριών, όπως κρυπτογράφηση. Στη συγκεκριμένη περίπτωση η ασφάλεια πληροφοριών χρησιμοποιείται για τη διατήρηση ενός επιχειρηματικού μοντέλου λειτουργίας. Πολλές φορές η τεχνολογία ασφάλειας πληροφοριών χρησιμοποιείται για να διατηρήσει τη διαφοροποίηση των προϊόντων, αλλά και να διατηρήσει ακριβό το κόστος αλλαγής της παρεχόμενης υπηρεσίας.
Από τη στιγμή όπου η ασφάλεια πληροφοριών σχετίζεται με την εξουσία και το χρήμα (διατήρηση ανταγωνιστικού πλεονεκτήματος, διαφοροποίηση προϊόντων), ο κάθε αναλυτής θα πρέπει να μην περιορίζεται στην καθαρά τεχνική ανάλυση και στην ανάλυση της ροής των πληροφοριών, αλλά θα πρέπει να σκέφτεται και την εφαρμογή οικονομολογικών αναλύσεων που θα τον βοηθούν στο να προτείνει τον αποτελεσματικότερο τρόπο προστασίας.
Η διαχείριση της ασφάλειας των πληροφοριών αποτελεί ένα πολύ βαθύτερο και πιο πολιτικό πρόβλημα από ό,τι συνήθως πιστεύουμε. Απλοϊκές τεχνικές προσέγγισης είναι καταδικασμένες σε προσωρινή χρήση και μακροπρόθεσμη αποτυχία.
Ήρθε πλέον η ώρα για τους μηχανικούς, οικονομολόγους, νομικούς και φορείς χάραξης πολιτικής, να προσπαθήσουν να διευκολύνουν κοινές προσεγγίσεις.

Log off
Ο Bruce Schneier έγραψε κάποτε (και έγινε σύνθημα στο χώρο της ασφάλειας πληροφοριών): Οι άνθρωποι συχνά αποτελούν τον πιο αδύναμο κρίκο στην αλυσίδα της ασφάλειας και είναι χρόνια υπεύθυνοι για την αποτυχία των συστημάτων ασφαλείας. Στο σημείο αυτό παρεμβαίνουν οι οικονομολόγοι οι οποίοι ενδιαφέρονται για το πώς το κίνητρο μεταβάλλει την ανθρώπινη συμπεριφορά. Με την κατανόηση των κινήτρων – τόσο των κακόβουλων χρηστών όσο και των υπερασπιστών της ασφάλειας πληροφοριών – ελπίζουν να κάνουν το διαδίκτυο ασφαλέστερο, με απώτερο σκοπό την αύξηση των συναλλαγών που λαμβάνουν χώρα εκεί.

Στη σημερινή εποχή οι επαγγελματίες της ασφάλειας πληροφοριών πρέπει να γνωρίζουν την αξία του προστατευόμενου περιουσιακών πλούτου.

  • Το κόστος για την ασφάλεια των πληροφοριών θα πρέπει να υπερβαίνει το ασφάλιστρο για έναν αντίστοιχα συγκρίσιμο κίνδυνο.
  • Πανομοιότυπα και ενιαία μέτρα ασφαλείας είναι αναποτελεσματικά. Κάθε περίπτωση είναι διαφορετική.
  • Οι δαπάνες για την ασφάλεια πληροφοριών θα πρέπει να αντανακλούν την αξία των περιουσιακών στοιχείων που καλούνται να προστατέψουν.

Οι οικονομολόγοι έχουν συμβάλει ελάχιστα στη βιβλιογραφία. Τις περισσότερες φορές έχουν ασχοληθεί με τη μέτρηση του κόστους των εκάστοτε παραβιάσεων. Η οικονομολογική ανάλυση είναι σημαντική για την ασφάλεια πληροφοριών, εάν λάβει κανείς υπόψη τα κίνητρα τα οποία αναγκάζουν τον καθένα μας αλλά και τις επιχειρήσεις να ανταποκριθούν στις απειλές κατά της ασφάλειας των πληροφοριών τους. Η οικονομολογική ανάλυση καλείται επίσης να βοηθήσει στο εάν η απόκριση είναι η καλύτερη δυνατή.

Το γεγονός ότι πολλές οικονομολογικές προσεγγίσεις μετρούν διαφορετικά πράγματα, είναι δύσκολο να δώσει μια σαφή εικόνα των προβλημάτων ασφάλειας πληροφοριών. Είναι σαφές ότι οι οικονομικές απώλειες ανέρχονται – σε απόλυτες τιμές – σε $ 67.2 δισεκατομμύρια και στο 0,2 έως 0,4 % του παγκόσμιου ΑΕΠ. Αυτά αποτελούν σίγουρα μεγάλους αριθμούς και η πλειονότητα των Οργανισμών έχουν βιώσει παραβιάσεις της ασφάλειας των πληροφοριών τους, με μέσο κόστος πολλών εκατομμυρίων δολαρίων.
Είναι επίσης ασαφές κατά πόσον το σημερινό αποτελεί το ανώτερο σημείο οικονομικών και άλλων επιβαρύνσεων σε σχέση με την ασφάλεια πληροφοριών ή ότι θα έπρεπε να δαπανηθούν περισσότεροι πόροι για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο ή ότι έχουμε φτάσει στο σημείο όπου το οριακό κόστος ισούται με το οριακό όφελος;
Η ομοφωνία στη βιβλιογραφία φαίνεται στην ύπαρξη αδυναμιών της αγοράς και στο ότι επίσης υπάρχουν διάφορες λύσεις που προσπαθούν να λύσουν διάφορα προβλήματα. Επίσης από την ανάλυση φαίνεται ότι δεν κάνουμε αρκετά για την καταπολέμηση της αναποτελεσματικότητας στην υλοποίηση των επιταγών της ασφάλειας πληροφοριών. Η οικονομολογική αντίληψη για την ασφάλεια πληροφοριών δεν θα εξαφανίσει την αναποτελεσματικότητα, θα μας δώσει όμως μια ακόμα οπτική προκειμένου να προστατέψουμε αποτελεσματικά το ανταγωνιστικό μας πλεονέκτημα, δηλαδή τις πληροφορίες μας.

Παραπομπές
Anderson, R., R. Boehme, R. Clayton, and T. Moore (2009). ― Security Economics and European Policy. In: Johnson, M. (Ed.), Managing Information Risk and Economics of Security. Springer.
Computer Security Institute (2010). 2010 CSI/FBI Computer Crime and Security Survey, Computer Security Issues and Trends
Ponemon Institute (2010). 2009 Annual Study: Cost of a Data Breach.
What Does a Computer Security Breach Really Cost? Anita D. D’Amico, Ph.D. Secure Decisions, a Division of Applied Visions, Inc. AnitaD@avi.com
Identity Theft, Keith B. Anderson, Erik Durbin, and Michael A. Salinger
A Review of the Economics of Information Security Literature, Mike Hammock, August 15, 2010.

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
niliopoulos@intellisolutions.gr