20 mei 2006

In een wetenschappelijke paper die de komende maand wordt gepresenteerd op een congres van de Cambridge University in Engeland zal een Amerikaans onderzoeksteam een overtuigend, maar wel een einigszins verrassend betoog houden (op basis van een uitgebreide wiskundige analyse) over de wijze waarop organisaties hun informatiebeveiligingsbudget kunnen besteden. De drie onderzoekers, van de Florida Atlantic University in Orlando, onderzochten hoe bedrijven hun beveiligingskwetsbaarheden kunnen evalueren, het risico kunnen analyseren en de schadepotentie kunnen berekenen. De paper, 'Economics of Information Security Investment in the Case of Simultaneous Attacks' classificeert twee categorieën bedreigingen: gedistribueerde aanvallen, die zich aandienen via virussen, spyware en spam, en doelgerichte aanvallen van een hacker. Zo legt althans professor Qing Hu de beveiligingsproblematiek uit. Wat de onderzoeker via wiskundige vergelijkingen en risico-analyse ontdekten gaat in tegen de veelal toegepaste intuïtieve benaderingen vanuit het informatiebeveiligingsvak.

Het budget gelijkelijk te verdelen over beveiligingen tegen alle voorkomende aanvallen lijkt waarschijnlijk niet de meest geëigende aanpak indien een bepaalde aanval veel meer schade kan aanrichten dan een andere. Het verlies van klanteninformatie bij een financiële instelling bijvoorbeeld kan enorme schade ten gevolge hebben, zo zei C. Derrick Huang, assistent professor aan Florida Atlantic. 'No matter how much they spend on security, the budget is always low relative to the potential loss', zo stelt Huang. 'In that case, spending most of the money to protect against spam or viruses doesn't make any sense'. Hu vervolgt: 'This whole model is based on the principal of minimizing a security risk, with the risk defined by probability of a breach, modified by a loss if that breach happened'. Deze aanpak kan informatiebeveiligers wellicht kriebels geven, maar het onderzoek wijst duidelijk uit dat met beperkte budgetten, de verdedigingen inzetten tegen één type aanval waarschijnlijk de beste wijze van beveiliging is. Doelgerichte aanvallen veroorzaken veel grotere financiële schade dan alle aanvallen met virussen, spyware en spam. 'We're proposing that companies should look at vulnerabilities of a system, and if they are in high-vulnerability and high-loss scenario, they really, really should spend the most money on targeted attacks trying to prevent hackers', zo verklaart Hu. 'In a broad sense, the U.S. government employed this strategy following the devastating terrorist attacks on Sept. 11, 2001. Subsequently, the U.S. government has heavily invested in airport security', zo zei Ravi S. Behara, associate professor, die eveneens deel uitmaakte van het onderzoeksteam. 'For enterprises, we've gone past the time when people just attacked us as a game', zo zei hij. 'It's serious business now'. De paper zal worden gepresenteerd tijdens de Workshop on the economics of information security, van 26 tot 28 juni in Cambridge.