Перебіг шахраїв: один із способів припинити подвиги

Коли грабіжник кидає цеглу через вікно ювелірного виробу і забирається з запасом, його прибуток значно менший, ніж ювелірні втрати. Злодію доведеться огорожувати предмети нижче їх фактичної вартості, оскільки вони "гарячі". Ювелір не лише втратив цінність товару, він повинен заплатити за нове вікно. Таким же чином, кібер-шахрай, який викрав мільйон номерів кредитних карток, може продати їх за кілька тисяч доларів; Повідомлення мільйона клієнтів та встановлення їх нових карт обійдеться емітенту картки значно дорожче.

Ця невідповідність породила ідею для Стефана Фрея, віце-президента з досліджень у лабораторіях NSS. Більшість кібератак зламають безпеку компанії жертви, використовуючи певний тип вразливості в операційній системі чи іншому програмному забезпеченні. Що робити, якщо ми могли забрати цей інструмент від шахраїв? У детальному дослідницькому документі Фрей та його колега-аналітик Франсіско Артес виклали сміливу ідею створення Міжнародної програми закупівлі вразливих місць (IVPP), яка б заплатила більше за вразливості, ніж шахраї можуть собі дозволити.

Запуск чисел

Різні кандидати пропонують різні оцінки фінансових втрат у всьому світі через кіберзлочинність, але вони коливаються між десятками і сотнями мільярдів. Фрей визначив кількість вразливих місць, опубліковану в 2012 році, і виявив, що вартість придбання кожної на 150 000 доларів була б набагато нижчою за суму фінансового збитку, який вони заподіяли.

Спочатку давайте розглянемо найвищу вартість і найменшу віддачу. Припустимо, IVPP заплатив 150 000 доларів за кожну вразливість, незалежно від серйозності чи поширеності програмного забезпечення, і таким чином уникнув десяти мільярдів фінансових втрат. Вартість закупівлі становить трохи менше 8 відсотків втрат у цьому найгіршому випадку.

Однак повністю третина експлуатованих уразливостей була знайдена в програмах десяткою кращих постачальників. Тільки заплативши за них і прийнявши оцінку в 100 млрд. Збитків, вартість знижується до 0, 3 відсотка від втраченої вартості. Поступово розрахована шкала платежу на основі суворості також зменшила б витрати. Для порівняння, у звіті зазначається, що роздрібні компанії в США розраховують втратити 1, 5-2, 0% щорічних продажів на розкрадання або "усадку запасів".

У звіті також встановлено, що вартість придбання всіх вразливих місць у 2012 році становила б приблизно 0, 005 відсотка ВВП США або ВВП Євросоюзу та менше 0, 3 відсотка загального доходу для програмної галузі.

Дірки безпеки тут залишаються

Частина статті розглядає поточну ситуацію щодо вразливості програмного забезпечення. Простіше кажучи, навіть якби можна було написати безвідмовне програмне забезпечення, це не було б вигідно. Велика вартість порушення даних падає на компанію, яка була порушена, а не на постачальника несправного програмного забезпечення. З точки зору бізнесу, ця вартість є "негативною зовнішністю" для постачальника програмного забезпечення, і "бізнес, орієнтований на прибуток, не вкладає коштів у усунення негативних зовнішніх ефектів".

Можливо, користувачі можуть змусити цю проблему, відмовившись купувати програмне забезпечення у постачальників програмного забезпечення, що містять отвори в безпеці. Однак на практиці вразливості є нормою. Всі ми очікуємо їх, і вони не відійдуть. У звіті зазначається, що "юридична відповідальність за якість програмного забезпечення не існує, і це навряд чи зміниться незабаром".

Дослідник, який виявить нову дірку безпеки, може спокійно подати її продавцеві, оголосити про це публічно або продати найвищому учаснику торгів. Попереднє дослідження лабораторій NSS повідомляло про процвітаючий бізнес з перепродажу чорних ринків. У доповіді зазначається, що все було б набагато гірше, але через те, що багато дослідників з безпеки альтруїстично утримуються від продажу чорним торговцям.

Шахраї не можуть змагатися

У світі попиту та пропозицій ви можете подумати, що шахраї просто змагатимуться з хорошими хлопцями, пропонуючи більше за нові вразливості. У звіті вказується, що однакова невідповідність між малим виграшем для шахраїв та великим збитком для жертв означає, що шахраї просто не можуть змагатися. Вони не можуть запропонувати більше, ніж максимально очікуваний дохід, тоді як IVPP може платити набагато більше, щоб уникнути колосальних втрат.

Фактично, значна винагорода за щойно знайдені діри в безпеці, ймовірно, призведе до нових відкриттів. Дослідник, чиєю єдиною потенційною винагородою є погладжування по спині, футболка або кілька сотень доларів, не настільки мотивовані. При захопленні латунного кільця ви отримуєте 150 000 доларів, це вже інша історія.

Великі плани

Повний звіт пропонує детальну пропозицію щодо того, як працюватиме Міжнародна програма придбання вразливих місць. Він охоплює все, від того, хто заплатить, до того, як відбуватиметься звітність, до повної організаційної структури тощо.

Чи станеться це? Це ще належить побачити. Але цей дуже ретельно продуманий звіт переконує мене, що він справді може працювати.