Экономическое обоснование построения системы защиты от вредоносного программного обеспечения
Косичкин Р.О.,
консультант, Лаборатория Касперского EEMEA
Введение
В последнее время все чаще у многих руководителей отечественных предприятий и даже у ряда ИТ-специалистов возникают сомнения адекватен ли рост затрат на приобретение и развертывание комплексных систем защиты от вредоносного программного обеспечения (ПО) возможным потерям от реализации угроз этого ПО. Это связано с увеличением сложности запуска подобных систем и ростом расходов на их приобретение, установку и поддержку. Часто в интернет-форумах и других источниках высказываются предположения, что выгоднее не создавать защиту, а нанять несколько специалистов, ликвидирующих последствия инцидентов, возникающих из-за проникновения зловредных программ в вычислительные сети предприятий. Поскольку бизнес требует как можно большей выгоды от использования данных сетей, то очень важной становится оценка стоимости их защиты и величины возможных потерь при ее отсутствии.
Тем не менее, подобных оценок потерь практически не существует. Это обусловлено рядом обстоятельств:
1. Организации существуют в разном окружении и обладают различной инфраструктурой, что делает затруднительным обобщение результатов исследований;
2. Даже в одной организации инфраструктура изменяется с течением времени, как и структура информации, обрабатываемой в вычислительных сетях;
3. Согласно [1], в 80% случаев организации не сообщают о происшедших у них инцидентах, связанных с информационной
безопасностью и величинах потерь, что затрудняет сбор статистических данных;
4. В настоящее время практически не осталось организаций в которых не установлен какой-либо компонент защиты от вредоносного ПО. Так, по сведениям [1] в 98% организаций установлено АПО, и в 97% — межсетевой экран. Кроме того 69% респондентов имеют системы обнаружения вторжений, а 63% — систему устранения уязвимостей и управления установками обновлений и "заплаток".
При этом затраты на технические средства систем защиты подсчитать легко — достаточно обратиться к любому системному интегратору или производителю подобных систем и более или менее точные цифры будут достаточно быстро получены. Трудность как раз заключается в том, что очень сложно оценить потери, к тому же не реальные, а предполагаемые.
В данной статье хотелось бы, не претендуя на абсолютную точность, показать, что потери от реализации угроз, связанных с вредоносным ПО, в любом случае превышают затраты на приобретение, развертывание и поддержку комплексного решения защиты от подобных угроз.
Оценки потерь
Как известно, потери при реализации угроз проникновения и распространения вредоносного ПО подразделяются на прямые (непосредственные) и непрямые (косвенные).
К прямым потерям относятся:
1. Затраты на рабочую силу, связанные с анализом, восстановлением и лечением
зараженных систем и сетей. Данные работы могут проводиться как сотрудниками организации, так и внешними консультантами;
2. Потеря рабочего времени пользователями из-за того, что в результате атаки вредоносного ПО системы или сетевые сервисы на какое-то время оказались полностью или частично недоступными;
3. Потенциальная или непосредственная потеря доходов из-за упомянутой выше полной или частичной неработоспособности систем и сетей. Данные потери включают в себя, например, ограничение доступа клиентов в режиме реального времени к вебсайту организации.
К непрямым (косвенным) потерям могут относиться:
1. Взлом систем внешними злоумышленниками, осуществившими заранее доставку в вычислительную сеть зловредных программ;
2. Потери, связанные с кражей конфиденциальной информации, осуществляемой с использованием вредоносных программных средств;
3. Потери при проведении социоцент-рических атак типа фишинга или массовой рассылки из сети организации недостоверных, порочащих или прочих незапрашиваемых сведений с использованием компьютеров — зомби, созданных для этих целей;
4. Затраты на содержание дополнительных специалистов по ИБ, которые занимаются исключительно удалением зловредных программ и переустановкой ОС, в случае если не удается полностью удалить вредоносное ПО с компьютеров;
5. Потери, связанные с утратой репутации организации;
6. Потери, связанные с утратой организацией своей рыночной доли.
К сожалению, косвенные потери практически не поддаются более или менее точному подсчету. Во-первых, при их оценке приходится учитывать слишком много условных факторов. Кроме того, каждая организация сама оценивает стоимость информации, хранящейся на ее рабочих станциях и серверах, создает систему процессов по безопасности. При этом величина косвенных потерь может существенно превышать прямые потери и достигать катастрофических значений, вплоть до полного прекращения деятельности организации.
Расчет показателей потерь
Попробуем рассчитать, хотя бы приблизительно, потери от проникновения и распространения в вычислительной сети вредоносного ПО. Организация при этом может пострадать как от нежелательных почтовых рассылок (спама), так и от традиционных зловредных программ, таких как вирусы, сетевые черви, троянцы.
Расчет потерь от нежелательных почтовых рассылок—спама.
Потери от нежелательных почтовых рассылок (спама) складываются из потерь на оплату трафика для спам-сообщений, расходов на хранение этих сообщений на жестких дисках и потери рабочего времени на анализ и удаление ненужных сообщений.
На самом деле сумма, затраченная на оплату трафика Интернет-провайдеру для дальнейших расчетов в данной статье значения не имеет, поскольку построение систем защиты от вредоносного ПО не освобождает от необходимости оплачивать весь трафик (включая паразитный), доставляемый до периметра сети. Избавиться от этой оплаты можно, если перевести построение системы защиты от вредоносных программ на аутсорсинг.
С учетом вышесказанного, общие потери от нежелательных рассылок (спама) можно выразить следующей формулой:
(1)
где § х — расходы на хранение спам-сообщений на почтовых серверах,
8и — денежное выражение потерь рабочего времени, затраченного на анализ и удаление спам-сообщений.
Стоимость хранения нежелательных сообщений вычисляется по формуле:
_ ^ х(ихЭ,)
1024
:п х р
(2)
где V,. — средний размер одного спам-сообщения в килобайтах, и — количество сообщений, в том числе нежелательных, ежедневно попадающих в почтовый ящик пользователя, д х — доля спама в приходящем потоке сообщений,
п — количество пользователей организации, имеющие свои ящики электронной почты.
р — стоимость хранения одного мегабайта информации на жестком носителе.
Ежегодные расходы пользователей на анализ и уничтожение нежелательной корреспонденции можно вычислить, используя следующую формулу:
3600
х х п х Граб (3)
где . — среднее время в секундах, затрачиваемое пользователем на анализ и удаление одного нежелательного сообщения,
— зарплата пользователя за 1 рабочий час,
гра6 — количество рабочих дней в году.
Потери от вирусов
Прямой ущерб, нанесенный организации при вирусной атаке, как минимум, будет состоять из стоимости рабочего времени администратора, затрачиваемого на восстановление всех рабочих станций и серверов в организации, плюс потери на время простоя пользователей. В наших расчетах мы исходим из предположения, что всегда есть актуальная резервная копия для восстановления данных, необходимых для нормального продолжения бизнес-деятельности, как рабочих станций, так и серверов. В реальной жизни все оказывается сложнее: отсутствие резервных копий, потеря важных данных и т.д., в этих случаях потери будут больше, но подсчитать их в общем случае, не зная конкретной стоимости утерянных данных, невозможно.
Исходя из наших предположений, затраты на уничтожение вирусов состоят из:
1. Затрат на удаление вредоносного ПО, переустановку ОС и восстановление данных;
2. Потерь рабочего времени сотрудников во время удаления вредоносных программ и восстановления работоспособности систем.
Следовательно, непосредственные затраты на уничтожение зловредных программ можно выразить следующей формулой:
§ _
X
П + (а + Г)х^
і_1 і1
х( 2ас1т + ) х Граб
х
(4)
где ^ — среднее время в часах, затрачиваемое на удаление вредоносного ПО с одно-
го вычислительного ресурса, п. — количество единиц вычислительной техники, требующих удаления зловредных программ в единицу времени, к — количество единиц времени, необходимых пользователю для анализа поведения системы, в течение рабочего дня, где Г — среднее время в часах, затрачиваемое на переустановку ОС и восстановление данных с резервных носителей, пг1 — количество единиц вычислительной техники, для которых после удаления вредоносного ПО потребовалось переустановка операционной системы, и восстановление данных в единицу времени, г-аб™ — часовая зарплата администратора вычислительной сети организации, обслуживающего данные ресурсы,
— зарплата пользователя за 1 рабочий час,
раб
■ количество рабочих дней в году. При этом:
n = n x к x к *
i 3ap о6^
n„ = k,_ x n.
(6)
непродуктивная работа, обновление ПО и оборудования, обучение, обслуживание, администрирование и техническая поддержка и др.). Косвенные затраты обычно "не видны". Мало кто считает потерями время системного администратора, затраченное на мониторинг антиспам-системы или скачивание и установку новой версии антивируса, незаметное на первый взгляд падение производительности систем при включении защитных функций. Мы попробуем учесть в расчетах хотя бы часть этих затрат.
Общие годовые затраты, на приобретение, развертывание и содержание комплексной системы защиты от вредоносного ПО можно выразить следующей формулой:
(7)
(5) §
где гзар — доля зараженных в каждую единицу времени систем от общего их количества, кобн — доля зараженных систем, обнаруженных пользователем по внешним признакам и нестандартному поведению от общего количества зараженных систем.
где kri — доля систем, потребовавших переустановки операционной системы и восстановления данных от общего числа систем, подвергшихся операции по удалению вредоносного ПО.
Расчет затрат на создание
системы защиты
Оценить выгоду того или иного решения можно по TCO (Total Cost of Ownership, совокупная стоимость владения) — это сумма материальных и временных затрат, связанных с приобретением, развертыванием, конфигурированием и обслуживанием программного и аппаратного обеспечения. ТСО можно разложить на две большие составляющие: прямые затраты (стоимость аппаратного и программного обеспечения, активного сетевого оборудования, каналов связи и др.) и косвенные (простои системы,
грамм, не полностью отраженной системой защиты;
3. Потеря доходов организации вследствие частичной или полной недоступности их систем и сетевых сервисов из-за атаки вредоносных программ;
4. Других прямых расходов, таких как, например, привлечение специалистов внешних организаций для ликвидации последствий специфических атак.
Затраты на программное обеспечение можно вычислить по следующей формуле:
*pcc + »пш + >
+ к
(В)
где — затраты на приобретение и развертывание программного обеспечения систем защиты, о затраты на создание политик, регламентов, инструкций и на прочие организационные мероприятия,
§^— затраты на заработную плату администратора системы защиты,
§о„ — затраты на организацию программы по повышению осведомленности пользователей,
§обн— затраты на оплату трафика при проведении обновлений антивирусных баз и компонентов программного обеспечения системы защиты,
§ — величина потерь от уменьшения про-
изводительности систем вследствие работы компонентов системы защиты,
^пот~ потери, понесенные организацией даже при наличии действующей системы защиты. Данные потери складываются из следующих составляющих:
1. Потерь рабочего времени, затраченного на анализ, удаление зловредных программ и восстановление зараженных систем при пропуске вредоносного ПО компонентами защиты. Данные мероприятия могут проводиться как силами самой организации, так и с привлечением внешних консультантов;
2. Уменьшения производительности труда пользователей вследствие частичной или полной недоступности их систем и сетевых сервисов из-за атаки вредоносных про-
где § рсс — стоимость ПО для защиты рабочих станций и серверов,
§ — стоимость ПО для защиты почтовых
пш
шлюзов и почтовых серверов,
§иш — стоимость ПО для защиты интернет-шлюзов,
§ас — стоимость ПО для защиты от нежелательных почтовых рассылок (спама).
Стоимость программы повышения осведомленности пользователей можно подсчитать, воспользовавшись формулой:
5> = m xzh xn
on h
(9)
где т — ежемесячное количество рабочих часов, затрачиваемых на обучение пользователя.
Стоимость доставки обновлений антивирусных баз и компонентов ПО можно получить, используя формулу:
§о6„ =
(Has + Hac )
1024
x P x 365
(10)
где Нав — средний размер ежедневных обновлений антивирусных баз и модулей системы защиты в мегабайтах,
Нас — средний размер ежедневных обновлений данных антиспама в мегабайтах,
Р — стоимость 1 гигабайта трафика у интернет-провайдера.
Годовую величину потерь от уменьшения производительности систем вследствие работы компонентов системы защиты можно вычислить, используя следующую формулу:
= P x n x Z,
(11)
где Р — коэффициент замедления работы систем при функционировании компонент защиты.
Практический пример расчетов
Рассмотрим гипотетическую коммерческую организацию с вычислительной сетью, состоящей из 500 рабочих станций, 10 файловых серверов, внутреннего почтового сервера, почтового шлюза и Интернет-шлюза. Посчитаем для данной организации возможные прямые потери от проникновения и распространения вредоносных программ за год и затраты на приобретение, развертывание и поддержку комплексной системы защиты от этих угроз за тот же период времени. Конкретные значения для расчетов мы будем брать из открытых источников.
Потери от спама
По данным [3] среднее ежедневное количество писем (в том числе нежелательных) на одного пользователя в 2007 г. составляло и = 1 33.5. Согласно ([4], [5], [6]) доля спама в IV кв. 2007 г. и в I кв. 2008 г. составляла порядка 86% ([4], [5], [6]), (т.е. д ^ = = 0.86). Из тех же исследований, средний размер одного сообщения составляет V. = 15 КБ. Количество почтовых ящиков для нашей организации п = 500. Стоимость хранения 1 МБ данных на жестких дисках составляет около 10 руб. в год (исходя из стоимости носителей информации и энергозатрат). Подставляя эти значения в формулу (2) получаем примерно 840 руб. затрат на хранение нежелательных сообщений. Данная сумма пренебрежимо мала, чтобы учитывать ее в потерях. Более того, в данном случае мы делаем предположение, что пользователь в течение дня уничтожает весь поступающий к нему спам и общий объем мусорных сообщений не накапливается на носителях и в архивах. К тому же, хранение и архивированием спам сообщений не сильно влияют на ценовую величину потерь, поскольку в любом случае сотрудникам приходится анализировать все приходящие сообщения и тратить на это время.
При подсчете затрат на потерю рабочего времени учтем, что пользователю на анализ сообщения и удаления его в случае нежелательной рассылки необходимо примерно 5 сек [7]. Средняя зарплата в Российской Федерации в январе 2008 г. по данным Росстата [8] составляла 15000 руб. Согласно [9] за 2008 г. среднее количество рабочих часов за календарный месяц со-
ставляет 166, следовательно, заработная плата за 1 рабочий час составляет 90.36 руб. Количество рабочих дней в году согласно [9] составляет 250. Подставляя все эти данные в формулу (3) получаем величину ежегодных затрат, связанных с удалением спама в размере 1 800 000 руб.
Потери от вредоносным программ
В настоящее время по данным онлайн исследования [10] 22.6% обращающихся к данному ресурсу компьютеров, не имеющих антивирусных программ, несут активное (т.е. выполняющееся в данный момент времени) вредоносное ПО.
Согласно статистике [11] время до заражения незащищенной системы колеблется от 5 до 10 мин. Счетная единица времени — время за которое пользователи могут среагировать и проанализировать происходящее на экране 5 сек [7]. Согласно экспертным оценкам специалистов "Лаборатории Касперского" пользователи могут обнаружить присутствие зловредных программ на своих системах по внешним признакам, нестандартному поведению чрезвычайно редко (не более чем в 0.01% случаев). Для упрощения расчетов примем, что количество замеченных пользователями проявлений активности вредоносных программ в течение дня будет одинаковым в единицу времени.
Невозможно корректно удалить зловредное ПО с krj ~ 0.001 от общего числа зараженных систем, подвергшихся процедуре удаления вредоносного кода. Удаление вредоносного ПО с одной единицы техники занимает (согласно [12] в среднем по всем антивирусным программам для диска в 80 ГБ с учетом установки и запуска программ) 2 часа, а последующая переустановка ОС с загрузкой многочисленных обновлений систем безопасности и восстановление данных — еще дополнительно 2 часа.
Средняя стоимость рабочего времени администратора в настоящее время равна 286 руб./час (по данным [13] средняя ежемесячная зарплата администратора составляет 47500 руб.).
Подставляя значения в формулу (4) получим величину потерь от удаления вредоносных программ с вычислительных ресурсов, что составит 12 500 000 руб.
Общие потери
Суммируя все затраты (за исключением затрат на трафик) получаем, что ежегодные прямые потери от вредоносных программ в том случае, если организация не хочет разворачивать у себя систему защиты, составят не менее 1 800 000 + 12 500 000 = 14 300 000 руб.
Затраты на организацию защиты от вредоносного ПО.
При всех расчетах стоимости мы будем ориентироваться на примерные цены лицензионных продуктов линейки Kaspersky Open Space Security.
Затраты на организацию защиты от вредоносного ПО для рабочих станций и серверов на 510 хостов составляют § рсс~ 310 000 руб.
Затраты на защиту от вредоносного ПО почтового трафика на 500 IP адресов составляет в год §пш ~ 210 000 руб.
Затраты на защиту HTTP и FTP-трафика на шлюзе для 500 IP-адресов клиентских машин составляют в год §иш~ 150 000 руб.
Защита от нежелательных почтовых рассылок (спама) на 500 почтовых адресов составит 8ас ~ 70 000 руб.
Таким образом, подставляя все данные в формулу (8) получим общие затраты на программное обеспечение для построения системы защиты может составить §п0 ~ 740 000 руб.
Ежегодные затраты на администратора системы защиты при заработной плате 47500 руб. в месяц, составляют для двух человек = 570000 х 2 = 1140000 руб.
Для создания комплекса организационных документов, включающих политики защиты от вредоносного ПО, инструкций для пользователя, регламентов для администраторов, обслуживающих систему, требуются совместные усилия специалистов по защите информации, по работе с кадрами и юристов. По собственному опыту автора, при наличии грамотно составленной политики информационной безопасности на разработку подобных документов уходит не более 1 человеко-месяца, что составит ^орг = 50 000 руб. в год.
При разумном проведении программ осведомленности пользователя (например, при проведении еженедельных почтовых рассылок с описаниями новых угроз, рассчитанных на 15 минутное чтение), получится затратить в месяц по m = 1 часу рабочего времени каждого из пользователей на чте-
ние этих рассылок. Годовые затраты от программы повышения осведомленности сотрудников организации в этом случае будут составлять при подстановке в формулу (9) §о„ = 55О ООО руб.
По данным ЛК средние ежедневные обновления баз антиспама составляют HaB ~ 1О МБ, а средние ежедневные обновления антивирусных баз для рабочих станций, файловых серверов, почтовых и интернет шлюзов составляет H ~ 15 МБ. Таким
ас
образом, при стоимости услуг интернет провайдера в 2ООО руб./ГБ ежегодные расходы на трафик по обновлению антивирусных баз и компонентов приложений составит при вычислении по формуле (1О)
§о6„ = 2О ОШ руб.
По данным [1О] коэффициент замедления при включении систем защиты (на примере решения на базу продуктов Kaspersky Lab) составляет в среднем 1 .О6, следовательно, потери от влияния компонентов систем защиты на работоспособность систем вычисленные по формуле (11) составляют
S 3aM = 5 4О° ОО° ру6.
По данным ([1], [2]) системы защиты от вредоносного ПО установлены в 9В% организаций. Тем не менее, потери от зловредных программ в 2ОО6 г. составляют в среднем 225ОО долл. ( § = 56О ООО руб.)
пот
на организацию.
Суммируя все значения по формуле (7) получаем, что стоимость построения и владения системой защиты от вредоносных программ, включая потери, составляет примерно §def = 74О ООО + 1 14О ООО + +5О ООО + 55О ООО + 2О ООО + 5 4ОО ООО + + 56О ООО ~ В 5ОО ООО руб.
Выводы
Таким образом, при суммировании всех затрат получается, что ежегодные расходы на приобретение и поддержку комплексной системы защиты от вредоносного ПО, с учетом возможных понесенных потерь будут составлять 8 500 000 руб., что значительно ниже потерь от вредоносного ПО при отсутствии данной системы, рассчитанных нами ранее и составляющих 14 300 000 руб. При этом не учитывались косвенные потери, которые, как уже отмечалось, могут оказаться в разы больше чем прямые. Следовательно, с цифрами в руках подтвержден вывод, что строить систему защиты гораздо выгоднее, чем ликвидировать последствия инцидентов, связанных с проникновением и распространении в сетях вредоносного ПО.
Поскольку в течение второго и последующих лет стоимость лицензий на ПО защиты снижается на величину до 40%, затраты на обновление политик и инструкций пренебрежимо малы, то общая стоимость владения системы защиты составит 450 000 + +1 140 000 + 50 000 + 20 000 + 550 000 + + 5 400 000 + 560 000 ~ 8 200 000 руб., что делает ее эксплуатацию еще более выгодной.
Литература
1. CSI Survey 2007. The 12th Annual Computer Crime and Security Survey. Robert Richardson, Computer Security Institute © 2007.
2. 2007 Malware Report: The Economic Impact of Viruses, Spyware, Adware, Botnets, and Other Malicious Code. Computer Economics © 2007.
3. Email overload menace growing. Are you drowning in data? Sylvia Carr 12 July 2007. http://software.silicon.com/applications/ 0,39024653,39167822,00.htm//Silicon.com (CNET Networks UK Business).
4. Kaspersky Security Bulletin 2007. Спам в 2007 году. http://www.viruslist.com/ru/analy-sis?pubid=204007593#2.
5. Спам в январе 2008 года. // Лаборатория Касперского 2008 http://www.kaspersky.ru/ news?id=207732679.
6. Спам в феврале 2008 года. // Лаборатория Касперского 2008 http://www.kaspersky.ru/ news?id=207732693.
7. ИТ-безопасность — на аутсорсинг? // А. Никишин. ИнформКурьер-Связь №3/2007.
8. Средняя номинальная зарплата по России в январе составила 15 тыс. руб. — Росстат // Финмаркет 2008 http://www.finmarket.ru/z/ nws/news.asp?id=781500&rid=1.
9. Производственный календарь на 2008 год. Комментарии к Производственному календарю на 2008 год. Составлены Л. Ревизоровой.
10. Infected or not — Узнайте, есть ли на Вашем ПК вирусы, шпионы... // Infected or Not Russia http://www.infectedornot.com/russia.
11. Survival Time. SANS Internet Storm Center. http://isc.sans.org/survivaltime.html.
12. CNET 2007 Antivirus Test Scores. Robert
Vamosi. // 2007 CNET Networks
http://reviews.cnet.com/4520-6600_7-6655968-1.html
13. Рынок труда в сфере ИТ. (Данные компании HeadHunter) // PCWeek 2008 http://www.pcweek.ru/themes/detail.php?ID= 107748.