Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Почему сертификат ISO 27001 приводит к снижению инвестиционной привлекательности, а программа bug bounty лучше пентестов...
24 июня 2019 |
Есть такое классное мероприятие по ИБ (не в России), которое называется
The Workshop on the Economics of Information Security (WEIS) и которое
из года в год собирает доклады, посвященные различным исследованиям в
области экономики ИБ. В этом году WEIS проходил в Бостоне 3-4 июня и в его рамках было представлено ряд интересных докладов, о которых мне хотелось бы немного рассказать.
Равив Марчиано-Горофф представил исследование о влиянии калифорнийского
закона 2002 года о раскрытии инцидентов с утечками данных на инвестиции в
информационную безопасность. В России после принятия ФЗ-152 ситуация с
ИБ не менялась до 2008-го года, когда было принято первое
"четверокнижие" ФСТЭК с требованиями по защите ПДн. После этого многие
службы ИБ "подняли" денег на выполнении требований регулятора. А вот
закон Калифорнии, как оказалось, не сильно повлиял на американский
бизнес и его инвестиции по ИБ. Исследование проводилось среди 214 тысяч
компаний, которые оценивались по одному параметру - установка обновлений
безопасности на web-сайтах, обрабатывающих персданные. Выглядит
достаточно нестандартно, но, видимо, это единственно публичная и
унифицированная информация, которую нашел Равив. Так вот оказалось, что
только 1,8-2,8% компаний обновили свои сервера после выхода закона
американского штата. Это позволило сделать вывод, что принятие аналога
ФЗ-152 не сильно повлияло на инвестиции в ИБ. Примерно тоже самое мы
видим и в России сейчас (хотя у нас таких исследований и не
проводилось). Думаю, что GDPR немного изменит эту статистику, но только
по одной причине - сумма потенциального штрафа.
Второе исследование посвящено поиску ответа на вопрос - как влияет публикация сведений об инцидентах ИБ на рынки, стоимость компаний и т.п. экономические вопросы. Авторы отмечают, что связь между инцидентами и шумихой в СМИ и ростом активности со стороны регуляторов достаточно очевидна, а вот экономическая значимость инцидентов пока не доказана. Они и попробовали это сделать, оценив не столько прямые потери пострадавших компаний, сколько влияние на рынок в целом. Среди выводов можно отметить:
Второе исследование посвящено поиску ответа на вопрос - как влияет публикация сведений об инцидентах ИБ на рынки, стоимость компаний и т.п. экономические вопросы. Авторы отмечают, что связь между инцидентами и шумихой в СМИ и ростом активности со стороны регуляторов достаточно очевидна, а вот экономическая значимость инцидентов пока не доказана. Они и попробовали это сделать, оценив не столько прямые потери пострадавших компаний, сколько влияние на рынок в целом. Среди выводов можно отметить:
- Инвесторы не реагируют однозначно негативно на инциденты с безопасностью.
- Невзломанные компании сталкиваются с отрицательной доходностью после объявления инцидентов в своей отрасли, а также с ростом затрат на аудиты на 6%.
- Доходность акций страховых компаний также падает.
Третье исследование было посвящено экономической эффективности программ
bug bounty. Я вспоминаю выступления Кирилла Ермакова из Qiwi на
прошлогоднем "Код ИБ. Профи" в Москве, где он сравнивал экономику
пентестов и bug bounty. На WEIS 2019 исследование базировалось на
большем количестве исходных данных. Не буду перечислять все выводы;
обращу внимание лишь на парочку:
- Для фирм гораздо выгоднее запускать программу bug bounty для поиска уязвимостей в своих системах, чем искать высоквалифицированного и дорогого хакера (пентестера).
- Bug bounty не заменяет внутреннюю ИБ. При отсутствии системы защиты выплаты вознаграждений по программе bug bounty будут слишком велики. При этом внедрение системы ИБ в компании приводит к снижении выплат и нахождению определенного баланса между размером выплат и стоимостью системы защиты.
В заключение упомяну еще одно исследование, представленное на WEIS 2019.
Оно было посвящено изучению оценки влияния фондового рынка на
инвестиции в проекты по ИБ, которые имели некоторую публичную
составляющую. В частности, речь шла о получении сертификатов
соответствия английской Cyber Essentials и ISO 27001. 145 сертификатов
UK Cyber Essentials за период 2014-2018 годы привели к положительной
оценке со стороны фондового рынка и рост доходности компаний, получивших
сертификат. А вот с ISO 27001 ситуация оказалась прямо противоположной и
даже парадоксальной. 76 сертификаций по ISO 27001 с 2001 по 2018 годы
показывают значительную негативную оценку со стороны рынка. По мнению
авторов исследования это связано с тем, что рыночные аналитики и
инвесторы рассматривают дорогостоящие инвестиции в ISO 27001 как
бессмысленную трату денег, которая только ухудшает финансовые показатели
компаний и ничего не дает с точки зрения бизнеса. Интересная версия...
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.