Модель координации инвестиций в двухуровневых иерархических системах управления информационной безопасностью

Имамвердиев Ядигар Насиб Оглу

=г ИНФОРМАЦИОННЫЕ T ТЕХНОЛОГИИ ОБЕСПЕЧЕНИЯ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ

УДК 004.9

МОДЕЛЬ КООРДИНАЦИИ ИНВЕСТИЦИЙ В ДВУХУРОВНЕВЫХ ИЕРАРХИЧЕСКИХ СИСТЕМАХ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

MODEL OF INVESTMENT COORDINATION IN TWO-TIER HIERARCHICAL SYSTEMS OF INFORMATION SECURITY MANAGEMENT

Имамвердиев Ядигар Насиб оглу

Imamverdiyev Yadigar Nasib oglu

кандидат технических наук, доцент, Институт Информационных Технологий НАН Азербайджана, Азербайджан, Баку

PhD in Technical Sciences, associate professor, Institute of Information Technologies of the Azerbaijan National Academy of Sciences, Azerbaijan, Baku

e-mail: yadigar@lan.ab.az

Система обеспечения информационной безопасности (ИБ) государства является сложной многоуровневой социотехнической системой, и координация играет чрезвычайно важную роль в осуществлении всех функций этой системы. Обеспечение ИБ государства в современных условиях возможно только через координацию усилий всех заинтересованных сторон - государства, частного сектора, гражданского общества и отдельных граждан. В статье рассматривается задача координации инвестиций по ИБ в государственных органах. Система управления ИБ в государственном секторе представляется в виде двухуровневой иерархической системы. На верхнем уровне двухуровневой системы ИБ находится координатор, а на низком уровне - отдельные подсистемы управления ИБ. Координатор принимает на себя координацию деятельности элементов нижнего уровня, в том числе распределяет между ними бюджет на ИБ. Предполагается, что каждый элемент нижнего уровня имеет определенную независимость в организации своей деятельности, но они являются взаимосвязанными, и

The article argues that national information security system is a complex multi-level sociotechnical system, thus, coordination plays an extremely important role in the successful work of all functions of this system. Ensuring national information security in current conditions is possible only through coordination of efforts of all stakeholders: the state, the private sector, civil society and citizens. The article conisders the task of coordinating investments in the information security of government agencies. The system of information security management in the public sector is built as a two-tier hierarchical system. The coordinator is at the top level of the two-tier information security system, and individual information security subsystems are at the lower level. The coordinator takes over the coordination of the operations at the lower level, including the distribution of information security budget among them. It is assumed that each element of the lower level is to some degree independent in the organization of its activities, however they are interrelated and the level of information security in one system affects the level of information security in other systems that have

уровень ИБ в одной системе влияет на уровень ИБ в других системах, имеющих связи с этой системой. Также предполагается, что уровень ИБ в одной системе определенным образом зависит от уровня выделенных инвестиций, но следует учитывать также уровни ИБ в «соседних» системах. Задача координатора заключается в таком распределении инвестиций между системами нижнего уровня, чтобы достичь социально оптимальных инвестиций ИБ, формулируется как теоретико-игровая задача.

Ключевые слова: информационная безопасность, иерархическая система управления, координация, координация инвестиций, система управления информационной безопасностью.

connections to this system. It is also considered that the level of information security in any system in a certain way depends on the level of allocated investments, however it is also necessary to take into account the levels of information security in "neighboring" systems. The task of the coordinator is to distribute the investment between lower-level systems in order to achieve socially optimal investments in information security. The author argues that this task is essentially a game-theory problem.

Keywords: information security, hierarchical management system, coordination, investment coordination, system of information security management.

Введение

Система обеспечения информационной безопасности (ИБ) государства является сложной многоуровневой системой взаимоувязанных социотехнических систем, и координация играет чрезвычайно важную роль в осуществлении всех функций этой системы. Обеспечение ИБ государства в современных условиях возможно только через координацию усилий всех заинтересованных сторон - государства, частного сектора, гражданского общества и отдельных граждан. Контекст координации в области ИБ государства охватывает вопросы совместного предотвращения кибератак, анализа (расследования) инцидентов, разработки соответствующих нормативных правовых актов, централизованной координации планирования и осуществления совместных мероприятий и инициатив, координации инвестиций в области ИБ, научных исследований и подготовки кадров и т. д. [3].

Координация в области ИБ важна также для предотвращения дублирования работ, обеспечения интероперабельности между системами информационной безопасности, надежной оценки устойчивого уровня безопасности.

Координация основывается на использовании механизмов интеграции распределенных ресурсов и деятельности. Эта интеграция осуществляется как в горизонтальном направлении путем «подключения» одноуровневых структурных элементов, так и в вертикальном направлении путем распространения системы полномочий сверху вниз.

Организации значительно увеличивают бюджет по ИБ для борьбы с возрастающими угрозами безопасности. Согласно одному общему мнению, ИБ сводится к техническим мерам. Но следует учитывать, что создаваемая система ИБ должна быть эффективной не только с технической, но и экономической точки зрения [7]. За последние два десятилетия

различные вопросы экономического подхода к ИБ привлекают внимание исследователей. Учитывая специфику этой области исследования, широко применяется теоретико-игровой подход, и особой популярностью среди исследователей пользуются так называемые игры взаимозависимой безопасности (Interdependent Security Games, IDS-игры) [15]. В этих играх эгоистичные, но не злоумышленные игроки принимают решения инвестировать в безопасность или остаться незащищенными. Целью каждого игрока является минимизация своего риска ИБ, который зависит от уровня инвестиций других игроков, а также минимизация своих затрат на инвестиции ИБ.

В этой статье предлагается модель координации инвестиций в двухуровневых иерархических системах управления ИБ. Такие системы состоят из центра и определенного количества подсистем нижнего уровня, которые в определенной степени самостоятельны. Но эти подсистемы не изолированы друг от друга, между ними существуют различные виды взаимозависимостей (функциональных, ведомственных, информационных), и уровень ИБ одной подсистемы влияет на безопасность других подсистем. Наличие нескольких подсистем управления приводит к противоречию между их частными целями. Это, в свою очередь, приводит к разобщенности действий и мероприятий по ИБ. Устранение этих противоречий - основная задача координации.

Анализ литературы

Координация является одной из центральных функций управления сложными системами и заключается в согласовании действий подсистем в соответствии с целями системы и в поддержании этого согласования на протяжении всего цикла управления. Авторы работы [6] отмечают, что вопросам создания теоретических основ координации посвящено недо-

ШшшяШ

статочно исследований. Модели координации разрабатываются в рамках теории принятия решений и мультиагентных систем [21]. Большинство исследователей ссылаются на классическую книгу М. Месаровича, Д. Мако, И. Такахара «Теория иерархических многоуровневых систем» [5]. В этой книге рассмотрены задачи координации (принятия решений) в двухуровневых системах на примере технологических и организационных процессов и возможность распространения полученных результатов на многоуровневые иерархические системы. В [1] представлен подход к решению задач координации как локально-оптимизационных задач, элементов многоуровневой иерархической системы и предложены итеративные и безитеративные алгоритмы координации для промышленных систем. В [2] предложены алгоритмы координации, основанные на нечетких множествах. Авторы работы [4] рассматривают модели и методы координации в крупномасштабных экономических системах. Предложенные в [1; 2; 4; 5] модели и методы координации узкоспецифичны и для решения задачи координации требуют наличия адекватных математических моделей подсистем либо постановки оптимизационной задачи. В работе [3] предложена концептуальная модель координации в области обеспечения ИБ электронного правительства и проанализированы актуальные проблемы координации.

Риски, с которыми сталкиваются операторы информационных систем (ИС), определяются не только состоянием их собственной ИБ, но также сильно зависят от решений других сторон по ИБ. Эта взаимозависимость между операторами ИС является фундаментальным свойством, которое формирует эффективность решений по ИБ. Теория игр - наиболее подходящий метод моделирования стратегических взаимодействий между этими участниками, и имеется большое количество работ по играм взаимозависимой безопасности. Подробный обзор исследований по этой теме приводится в работе [16].

Одной из наиболее часто цитируемых работ по экономике ИБ является работа [11], где предлагается экономическая модель, определяющая оптимальный уровень инвестиций для безопасности заданного информационного ресурса. Данная модель оценивает уменьшение уязвимости системы как результат увеличения инвестиций в информационную безопасность. Модель Гордона-Лоэба показывает,

что в целом экономически нецелесообразно инвестировать в мероприятия по ИБ более 37 % ожидаемого ущерба, который может возникнуть в результате нарушения безопасности. Однако Jan Villemson показал, что уровень оптимальных инвестиций может быть выше этой оценки [22].

H. £avu§oglu, используя подход, основанный на теории игр, предложил модель оценки инвестиций безопасности и изучения влияний различных факторов на инвестиции [9]. В диссертационной работе J. Grossklags провел экономический анализ соотношения кибербезо-пасности и типов инвестиций с помощью игр взаимозависимой безопасности, состоящих из общего усилия, самого слабого звена, наилучшей защиты и самой слабой цели [13]. X. Gao и соавторы с использованием теории игр сравнивали модели потребления Cournot и Bertrans для анализа инвестиционных решений по ки-бербезопасности [10].

Также были предложены многие модели для поддержки лиц, принимающих решения, в задачах распределения ресурсов по обеспечению ИБ. В работе [19] разработана макроэкономическая модель входа/выхода для оценки чувствительности к кибератакам определенных секторов экономики США. Так как вопрос инвестиций ИБ относится к задачам управления рисками, в некоторых работах предприняты попытки изучения этого поведения с помощью управления рисками и платформы страхования [12; 20].

Модель игры взаимозависимой безопасности для координации инвестиций

Система управления ИБ государства относится к сложным многоуровневым системам. Ее можно представить в виде двухуровневой системы, такой подход вполне приемлем, поскольку в двухуровневых системах проявляются все существенные характеристики многоуровневых систем и более сложные системы могут быть построены из двухуровневых систем.

На верхнем уровне двухуровневой системы ИБ находится Координатор (C0), а на нижнем уровне - отдельные подсистемы ИБ (C}, ..., Cn). Координатор выделяет общий бюджет В на обеспечение ИБ всех подсистем. Каждая подсистема i предоставляет Координатору информацию об уровне своей ИБ (s) и запрашивает у Координатора бюджет (инвестицию) на обе-

спечение и усовершенствование ИБ (х > 0). Уровень ИБ каждой подсистемы удовлетворяет ограничению (0 < s.< 1), ¡=1,...,п. Чем больше значение sj, тем выше уровень ИБ. Так как мы не ожидаем обеспечения абсолютной ИБ, поэтому случай s. =1 исключен. При s. =0 предполагается, что у подсистемы i отсутствует безопасность. В работе [20] инвестиционные затраты моделируются как функция sj. Уровень ИБ всей системы определяется как ^ = ~ 15£ • Координатор после получения информации из всех подсистем, учитывая уровни ИБ в подсистемах, ограничение на общий бюджет и взаимосвязи подсистем на основе определенных критериев, принимает решение о выделении инвестицийх±,х2, ...,хп подсистемам (см. рис.). Каждая подсистема действует эгоистично и заинтересована получить как можно больший уровень инвестиций и минимизировать свой ущерб от инцидентов ИБ. Цель Координатора минимизировать ущерб от инцидентов ИБ во всей системе или, другими словами, максимизировать социальное благосостояние.

Двухуровневая иерархическая система

Ниже эта задача формулируется как игра взаимозависимой безопасности.

Рассмотрим систему, состоящую из п игроков (подсистем ИБ) и одного Координатора.

Взаимозависимость игроков представляется ориентированным графом 0=(Ы,Ь), где ^={1,...,п} и Ь е Д"хп обозначают соответственно множество игроков и множество ориентированных связей между ними. Игрок. может повлиять на состояние безопасности игрока i, только если /.. > 0. Обозначим множество я

соседей игрока i через Ы1 = Ц\ ^ > 0}. В каждый момент времени игрок i может подвергаться атаке непосредственно из внешнего мира с вероятностью и со стороны любого из своих соседей.еЫ' с вероятностью I... Топология сети О и вероятность внешней кибератаки остаются неизменными по времени.

Каждый игрок { выбирает свой уровень инвестиций безопасности х>0, что приводит к

затратам С>0 на каждую единицу инвестиций. Для выяснения этого высказывания отметим, что инвестиция на безопасность может быть как дискретной, так и непрерывной. В большинстве научных статей дискретная инвестиция означает бинарное решение (х. =1, если игрок инвестирует, и х. =0, если он не инвестирует). Дискретная инвестиция может моделировать, например, приобретение продукта безопасности, такого, как антивирусное программное обеспечение. Примером для непрерывных инвестиционных решений является установление чувствительности систем обнаружения вторжений. В этом случае более высокая чувствительность системы обнаружения вторжений влечет за собой большое количество аварийных сигналов и предупреждений, которые должны быть обработаны экспертами ИБ. В результате потребуются более высокие затраты.

Пусть х={х1,х2,...,хп}т обозначает вектор инвестиций. Для определения ожидаемых потерь игрока при нарушениях безопасности вводим понятие функции риска игрока. Риск инцидента ИБ для агента / зависит от его инвестиций, а также от инвестиций других агентов. Значение риска игрока / вычисляется с использованием функции риска /:

/; :/£(*)=/£(*£,*-£), (1)

где х - вектор инвестиций всех игроков, кроме игрока / . Функция риска/. часто предполагается как вероятность инцидента безопасности, в этом случае е [0,1]. Точная форма функции риска определяется моделью взаимозависимостей между игроками.

В литературе предложены различные модели взаимозависимости. В общей модели взаимозависимости функция риска может быть произвольной функцией, удовлетворяющей множеству предположений. Наиболее распространенное предположение заключается в том, что инвестиции безопасности демонстрируют положительные, но снижающиеся вознаграждения для каждого игрока. Положительные результаты (т. е. строго снижающиеся риски) моделируют положительные внешние эффекты между игроками: если один игрок увеличивает свои инвестиции в систему безопасности, каждый игрок выигрывает. Снижающиеся доходности (т. е. выпуклость функции риска) моделируют уменьшающуюся предельную полезность инвестиций в обеспечение безопасности, что является общепринятым предположением.

Формально определим следующие предположения:

Предположение 1: для каждого 7 функция £(•) дифференцируема и убывает по всем х.:

.. ¿/¿(*)

х,:

< 0,Vi,j.

Предположение 2: для каждого 7 функция £(•) строго выпукла по

1 . д2/1(х)

всем х:

j

х,:

'■>' dxj

> 0,Vi,j.

Цель игрока 7 - максимизация своей функции полезности , которая определяется следующим образом:

Ui(x) = -Lixi + CiXi - tt

(2)

где Ь- потенциальная потеря игрока 7, если инцидент безопасности произойдет; С. -(удельная) стоимость инвестиций игрока 7. Член I. характеризует штраф/вознаграждение, которому может подвергаться игрок, и в общем случае может зависеть от вектора инвестиций х.

Мы делаем следующие предположения об игроках:

Предположение 3: все игроки действуют рационально и выбирают свой уровень инвестиций чтобы максимизировать свою функцию полезности.

Предположение 4: стоимости С. и функция /(•) игрока 7 являются его конфиденциальной информацией.

Игра взаимозависимой безопасности между перечисленными выше п игроками определяется как стратегическая игра

({1.....пИх^Иг^О}).В этой игре оптимальный вектор инвестиций безопасности находится как решение следующей задачи, которая максимизирует социальное благосостояние и решается со стороны Координатора:

тах

О,О

ах У щ(_х) ■,t) Z—i i=i

Xj > 0, t = 1, ...,п,

^ CiXi < В,

(3)

i=i

£tt = 0.

По предположению 2 существует единственный социально-оптимальный инвестиционный профиль х* для задачи (3). Как уже отмечалось, коэффициенты Ь, С. и функция ри-

ска / являются конфиденциальной информацией игроков, Координатор не осведомлен об этой информации, и поэтому он не может решить проблему (3). В то же время у игроков также нет достаточной информации для поиска решения х*, их целью является максимизация своих функций полезности.

Поэтому наша цель состоит в том, чтобы найти механизм координации, выполняемой Координатором так, что индуцированная игра взаимозависимой безопасности имела бы в качестве своего равновесия решение проблемы (3).

Из-за предположения 4 наша модель является игрой с неполной информацией. Равновесие Нэша в этой игре можно интерпретировать как точку схождения итеративного процесса, в которой каждый пользователь корректирует свое действие на каждой итерации на основе своих наблюдений за действиями других игроков, пока односторонние отклонения перестанут быть более прибыльными [14; 17].

Механизм координации для реализации социально-оптимального решения

В этом разделе мы представляем механизм координации, реализующий социально-оптимальное решение (3). Для этого мы ослабим предположение 4 для Координатора, то есть предположим, что игроки предоставляют эти конфиденциальные данные Координатору с условием не раскрывать эти данные другим участникам игры. Основанием для этого допущения являются законодательные требования от государственных органов представлять статистические отчеты по ИБ уполномоченному государственному органу [8]. В этом случае Координатор будет решать задачу с полной информацией и сможет найти равновесие Нэша для этой игры.

Механизм координации осуществляется с помощью следующих шагов:

• каждый игрок сообщает свои конфиденциальные данные Координатору;

• каждый игрок 7 сообщает Координатору свой текущий уровень безопасности .

На каждом временном шаге:

1. Координатор решает задачу (3) и находит глобально оптимальный уровень инвестиций £¿,/ = 1,2,...,п; Координатор отправляет каждому игроку 7 общий бюджет его

соседей вместе с ним ^ = Х; + ем'*/, средний уровень безопасности

Si = j-f,^jENi Sj, и средний уровень инве-

стиций его соседей х^ = ^туЕ/ем'*/, а также

средний уровень инвестиций всей системы

* = •

2. Каждый игрок 1 решает задачу (3), учитывая свой уровень ИБ , общий бюджет его соседства и осредненные данные своих соседей, сообщает Координатору свой профиль инвестиций Х(, х1:,] £ М1 •

3. Координатор определяет штрафы и сообщает игрокам, размер их равен сумме разностей между профилем инвестиций игрока и соответствующим профилем инвестиций Координатора.

Заключение

В работе для координации инвестиций в информационную безопасность в государственных органах предложена модель в виде игры взаимосвязанной безопасности. Для реализации социально-оптимального решения этой игры разработан соответствующий механизм координации. Участники игры взаимосвязанной безопасности предполагаются эгоистичными, но правдивыми. Они сообщают правдивую информацию о своих параметрах безопасности, включая уровень информационной безопасности. Для случая неправдивых игроков в будущем планируется разработать механизм стимулирования на основе теории аукционов и марковских процессов принятия решений.

Библиографический список

1. Алиев Р. А., Либерзон М.И. Методы и алгоритмы координации в промышленных системах управления. М. : Радио и связь, 1987.

2. Алтунин А.Е. Модели и алгоритмы принятия решений в нечетких условиях. Тюмень : Изд-во Тюменского гос. ун-та, 2000. 352 с.

3. Имамвердиев Я.Н Проблемы координации в области информационной безопасности электронного государства // Проблемы информационного общества. 2014. № 2. С. 24-30.

4. Клебанова Т. С., Молдавская Е.В., Чанг Х. Модели и методы координации в крупномасштабных экономических системах. М. : Бизнес Информ, 2002.

5. Месарович М., Мако Д., Такахара И, Теория иерархических систем. М. : Мир, 1973.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

6. Ходаков В.Е., Соколова Н.А., Кирийчук Д.Л.

О развитии основ теории координации сложных систем // Проблемы информационных технологий. 2014. № 2 (16). С. 12-21.

7. Anderson R. Why information security is hard - an economic perspective // Proc. of the 17th Annual Computer Security Applications Conference. 2001. P. 358-365.

8. Borgers T., Krahmer D., Strausz R. An introduction to the theory of mechanism design. London : Oxford University Press, 2015.

9. Cavu§oglu H., Mishra B., Raghunathan S. A model for evaluating IT security investment // Communications of the ACM. 2004. Vol. 47. № 7. Р. 87-92.

10. Gao X., Zhong W., Mei S. A differential game approach to information security investment under hackers' knowledge dissemination // Operations Research Letters. 2013. Vol 41. № 5. Р. 421-425.

11. Gordon L., Loeb M. The economics of information security investment // ACM Transactions on Information and System Security. 2002. Vol. 5. № 4. Р. 438-457.

References

1. Aliyev R. A., Liberzon M.I. (1987) Metody i algorit-my koordinatsii v promyshlennykh sistemakh upravleniya [Methods and algorithms of coordination in industrial control systems]. Moscow : Radio i svyaz'.

2. Altunin A.Ye. (2000) Modeli i algoritmy prinyatiya resheniy v nechetkikh usloviyakh [Models and algorithms of decision-making in fuzzy environments]. Tyumen' : Izd-vo Tyumenskogo gos. un-ta.

3. Imamverdiyev Ya.N. (2014) Problemy koordinatsii v oblasti informatsionnoy bezopasnosti elektronnogo gosu-darstva [Problems of coordination in the area of information security of the e-government] // Problemy informatsionnogo obshchestva. № 2. P. 24-30.

4. Klebanova T.S., Moldavskaya Ye.V., Chang Kh. (2002) Modeli i metody koordinatsii v krupnomasshtabnykh ekonomicheskikh sistemakh [Models and methods of coordination in large-scale economic systems]. Moscow : Biznes Inform.

5. Mesarovich M., Mako D., Takakhara I (1973) Teo-riya iyerarkhicheskikh sistem [Theory of hierarchical systems]. Moscow : Mir.

6. Khodakov V.Ye., Sokolova N.A., Kiriychuk D.L.

(2014) O razvitii osnov teorii koordinatsii slozhnykh sistem [On the development of the theory of complex systems coordination] // Problemy informatsionnykh tekhnologiy. № 2 (16). P. 12-21.

7. Anderson R. Why information security is hard - an economic perspective // Proc. of the 17th Annual Computer Security Applications Conference. 2001. P. 358-365.

8. Börgers T., Krahmer D., Strausz R. An introduction to the theory of mechanism design. London : Oxford University Press, 2015.

9. Cavu§oglu H., Mishra B., Raghunathan S. A model for evaluating IT security investment // Communications of the ACM. 2004. Vol. 47. № 7. P. 87-92.

10. Gao X., Zhong W., Mei S. A differential game approach to information security investment under hackers' knowledge dissemination // Operations Research Letters. 2013. Vol 41. № 5. P. 421-425.

11. Gordon L., Loeb M. The economics of information security investment // ACM Transactions on Information and System Security. 2002. Vol. 5. № 4. P. 438-457.

Ш|л,ц,Я7

12. Gordon L., Loeb M., Sohail T. A framework for using insurance for cyber-risk management // Communications of the ACM. 2003. Vol. 46. № 3. P. 81-85.

13. Grossklags J. Secure or insecure: An economic analysis of security interdependencies and investment types : Ph.D Thesis. Berkeley, California : University of Berkeley. 2009.

14. Jiang L., Anantharam V., Walrand J. How bad are

selfish investments in network security? // IEEE/ACM Transactions on Networking. 2011. Vol. 19. № 2. P. 549-560.

15. Kunreuther H., Heal G. Interdependent security // Journal of Risk and Uncertainty. 2003. Vol. 26. № 2-3. P. 231-249.

16. Laszka A., Felegyhazi M., Buttyan L. A survey of interdependent information security games // ACM Computing Surveys (CSUR). 2015. № 47 (2). Article № 23.

17. Naghizadeh P., Liu M. Closing the price of anarchy gap in the interdependent security game / Information Theory and Applications Workshop (ITA). 2014. P. 1-8.

18. Nowell C. Regulatory compliance - the wonderful world of FISMA // Information Systems Security. 2007. Vol. 16.№ 5. P. 278-280.

19. Santos J.R., Haimes Y.Y. Modeling the demand reduction input-output (I-O) inoperability due to terrorism of interconnected infrastructures // Risk Analysis. 2004. Vol. 24. № 6. P. 1437-1451.

20. Shetty N., Schwartz G., Felegehazy M., Walrand J. Competitive cyber-insurance and Internet security / Economics of Information Security and Privacy. 2010. P. 229-247.

21. Teran J., Aguilar J.L., Cerrada M. Mathematical models of coordination mechanisms in multi-agent systems // CLEI Electronic Journal. 2013. № 16 (2). URL: http://www. scielo.edu.uy/scielo.php.

22. Willemson J. On the Gordon & Loeb model for information security investment / Proc. of the 5 th Workshop on the Economics of Information Security (WEIS). 2006.

12. Gordon L., Loeb M., Sohail T. A framework for using insurance for cyber-risk management // Communications of the ACM. 2003. Vol. 46. № 3. P. 81-85.

13. Grossklags J. Secure or insecure: An economic analysis of security interdependencies and investment types : Ph.D Thesis. Berkeley. California : University of Berkeley. 2009.