העלות האמיתית של פריצה למערכות מיחשוב ארגוניות
מבוא האיום בפריצה למערכות מחשוב הולך וגדל בשנים האחרונות. הסיבות העיקריות הן השילוב של כלים מוכנים עם יכולות מורכבות (כגון אלו שבשימוש ה- Script Kiddies), הגידול המהיר במספר האיומים המתגלה ככל שמשתמשים בטכנולוגיות חדישות יותר (לדוגמא: חולשת האבטחה שנחשפה לאחרונה בשפת ה- PHP), ומספר המשתמשים המתוחכמים המחוברים.
ארגונים רבים, המבקשים לנצל את הסינרגיה עם לקוחות, שותפים וספקים, פותחים את רשת התקשורת הארגונית לחיבורים שונים והופכים את הרשתות למסובכות, קשות לניהול, וכתוצאה מכך - פגיעות לחדירה.
קשה לקבל מידע מוסמך ולכמת את העלות האמיתית של פריצה לרשת ארגונית. חברות שחוות פריצה לא ממהרות לדווח עליה, מחשש להשפעה שלילית על המוניטין שלהן וניצול החולשה על ידי המתחרים (לדוגמא ChoicePoint). לעיתים החשש קשור גם לחשיפה בפני רשויות הממשל, במיוחד בארגונים החשופים לתקינה רגולטורית (חוק מאגרי המידע, SOX, HIPPA וכדומה).
גם כאשר מדווחת פריצה, לא תמיד יודעים הארגונים כיצד לכמת את ההפסדים. במדינות שונות קיימים נתונים סטטיסטיים שונים, אולם ברור כי כל ארגוןן הוא ייחודי ושונה באופן התפעול וברמת הפגיעה. כל ארגון יודע כמה שווה לו הפגיעה במוניטין, מה המשמעות של השבתה חלקית או מליאה של שירותים קריטיים למספר שעות, כמה משתלם להשקיע בתוכנית המשכיות עסקית (BCP), ועוד. סיווגי עלויות ניתן לסווג את העלות הכוללת של פגיעה במערכת ארגונית לשתי קטגוריות: - עלות ישירה - אלו העלויות הנובעות מהפגיעה עצמה, מגילוייה, ההתאוששות והתיקון
- עלות עקיפה - אלו העלויות הנובעות מהפגיעה אך משפיעות על הארגון בטווח הארוך יותר.
סווגים עיקריים של עלות ישירה - התקנת שרתיםֿ
- התקנת טלאי אבטחה בשרתים
- התקנת טלאי אבטחה בעמדות הקצה
- שחזור מידע
- שעות עבודה אבודות
- שעות עבודה נוספות
- שעות עבודה של יועצים חיצוניים
- שדרוגי חומרה
- שדרוגי תוכנה
- אובדן הכנסות פוטנציאליות
סווגים עיקריים של עלות עקיפה - פרסום שלילי
- פגיעה במוניטין
- ירידה בערך המנייה
- איבוד נתח שוק
לעיתים קשה לכמת עלויות אלו, אולם הן חלק בלתי נפרד מעלות הפגיעה. ארגונים צריכים לשקול גם את עלויות אלו, העשויות להיות גדולות מהעלויות הישירות, בבואם לכמת את פוטנציאל הנזק הפונציאלי במערכות המחשוב הארגוני. |
chenravid
בתגובה על ספרים רבותי ספרים
יריב אגוזי
בתגובה על מנה מנה?
דרור האס
בתגובה על אנימציה מדהימה
י ש י
בתגובה על בדיקה
תגובות (2)
נא להתחבר כדי להגיב
התחברות או הרשמה
/null/text_64k_1#
מסכים איתך.
אגב, שים לב שבמקרה הידוע של גניבת נתוני האשראי של חברת ChoicePoint שבה נגנבו 145 אלף רשומות של אנשים, מנהל האבטחה שלהם, ניסה להסתתר מאחורי הטיעון שזו לא היתה פריצה של האבטחה, אלא רמאות "רגילה".
ברוס שנייר העיר על הספין הזה וכתב:
This isn't a computer hack in the traditional sense, but it's a social engineering hack of their system. Information security controls were compromised, and confidential information was leaked.
לפעמים ישנן עלויות "בישירות מדרגה 0".
למשל - כשנגנב קובץ עם מספרי כרטיסי אשראי מחברת אשראי.
או - כשנגנב סקופ מעתון, והמתחרה מספיק לצאת עם זה מוקדם יותר,
ויש עוד הרבה דוגמאות.