WEB-ресурс научно-практических конференций

Д.э.н . Михнева С.Г., Сальникова О.В.

Пензенский государственный университет , Российская Федерация

СОВРЕМЕННЫЕ ПРОБЛЕМЫ ЭКОНОМИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

За последние годы люди стали понимать, что неудачи в обеспечении информационной безопасности вызваны больше плохими стимулами, чем плохими проектами. А вероятность выхода из строя информационной системы предприятия выше, если человек, отвечающий за ее работу, не является человеком, который несет ущерб при ее поломке. Понятие «информационная безопасность» достаточно широкое, оно охватывает все, что взаимодействует с информацией и состоит из таких направлений, как компьютерная безопасность, сетевая безопасность, безопасность коммуникаций, безопасность данных. Причем данные могут иметь не только электронный, но и бумажный формат, а также существовать в форме знаний индивида, который будет являться носителем информации.

В настоящее время большинство предприятий использует такие механизму обеспечения информационной безопасности, которые основаны на контроле одного пользователя другим, а не на исключении людей, которые вообще не должны иметь доступ к данной информации. Эта проблема и является основной при составлении политики безопасности предприятия. Формирование политики информационной безопасности предполагает разработку комплекс правил, обеспечивающих следующие свойства информации:

- конфиденциальность – возможность ознакомиться с информацией имеют в своем распоряжении только те лица, кто владеет соответствующими полномочиями;

- целостность – возможность внести изменения в информацию должны иметь только те лица, кто на это уполномочен;

- доступность – возможность получения авторизованного доступа к информации со стороны уполномоченных лиц в соответствующий санкционированный для работы период времени [1, с.24] .

При разработке политики информационной безопасности выделяют технические, организационные и правовые меры. К техническим мерам можно отнести: защиту от несанкционированного доступа к системе путем установления специальных паролей, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев и т. д.

К организационным мерам относят охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, организацию обслуживания вычислительного центра лицами, не заинтересованными в сокрытии фактов нарушения работы центра, мотивацию персонала к грамотной и ответственной работе только на благо данного предприятия и т.п.

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, также вопросы общественного контроля над разработчиками компьютерных систем и принятие международных договоров об ограничениях таких систем, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран.

Поэтому в современных условиях основы экономической теории и права становятся для инженера в области информационной безопасности столь же важными как криптография и сетевые технологии. Эти знания объединяют в экономике информационной безопасности, которая является еще очень молодой наукой, но предоставляет некоторые многообещающие практические идеи по решению экономических проблем защиты информации.

Одной из основных причин, вызвавших интерес к экономике информационной безопасности, стало мошенничество с банковскими картами. В США банки несут ответственность за любые потери клиентов, связанные с кражей денег с банковской карты, если не доказано, что клиент сам пытается обмануть банк. В Великобритании считалось, что банкоматы являются защищенными от мошенничества и несанкционированного доступа к карте, а жалобы клиентов чаще всего объяснялись их собственными ошибками. На их безопасность было потрачено много средств, но британские банки понесли большие потери от мошенничества, чем американские. Причина этого так называемый «моральный эффект опасности»: работники британских банков знали, что к жалобам клиента не отнесутся серьезно, таким образом они стали ленивыми и небрежными, у них не было стимулов совершенствовать защиту. Эта ситуация привела к лавине мошенничества. В 2000 Х.Вэриан сделал подобный ключевой вывод о рынке антивирусного программного обеспечения. Люди не тратили так много на защиту их компьютеров, как они могли бы, хотя потребитель мог бы потратить 20 долл., чтобы препятствовать уничтожению своего жесткого диска вирусом и дальнейшему распространению вирусной атаки, которая приведет в нерабочее состояние еще тысячи компьютеров [2].

Стимулы могут также влиять на стратегию нападения и защиты. В экономике существует проблема «скрытого действия», когда две стороны собираются осуществить сделку, но одна сторона может предпринять незаметные действия, которые повлияют на результат. Классический пример – страхование, где застрахованная сторона может увеличивающий вероятность и размер получаемых выплат, потому что страховая компания не может следить за ее поведением. Такие экономические понятия, могут быть использованы и в определении проблем компьютерной безопасности. Маршрутизаторы могут сфальсифицировать ответы на запросы пользователя и направить их на сайт, рассылающий вирусы или содержащий антиобщественную информацию; узлы могут переадресовать сетевой трафик, чтобы перехватить деловую переписку. Некоторые узлы могут скрыть эти злонамеренное или антиобщественное поведение от других. Как только подобные действия замечаются, проектировщики могут структурировать взаимодействия пользователей, чтобы минимизировать возможность для скрытого действия.

Также следует отметить, что в обеспечении информационной безопасности ключевую роль играют затраты на безопасность. Размер любых затрат зависит от возможного результата, к которому они могу привести, но результат от инвестиций в обеспечение безопасности часто зависит не только от собственных решений инвестора, но также и от решений других. А надежность любой системы зависит от суммы индивидуальных усилий, и минимального усилия, которое предпринимает один, и максимального усилия, которое предпринимает другой. Правильность работы программы может зависеть от минимального усилия самого небрежного программиста, представляющего собой уязвимость, тогда как тестирование программного обеспечения зависят от суммы всех усилий. Можно сделать следующий вывод: компании-разработчики программного обеспечения должны нанимать больше специалистов по тестированию программного обеспечения и меньше (но более компетентных) программистов.

Но как бы хорошо не разрабатывалось и не тестировалось программное обеспечение, оно, как правило, имеет определенные «дыры» или ошибки, которые представляют собой угрозу безопасности системы и могут в исключительных случаях вызывать некорректную работу. Долгое время продавцы программного обеспечения и исследователи безопасности обсуждают, желательна ли огласка поиска и раскрытие ошибок. Исследователи полагают, что раскрытие ошибок помогает улучшить безопасность системы в долгосрочном периоде. Раскрытие ошибок также дает продавцам стимул устранить эти ошибки в последующих выпусках продукта. Но статистически замечено, что хотя за последнее время быстрота реакции производителей в устранении ошибок увеличилась, число уязвимостей, о которых сообщается, уменьшилось, а количество атак на информационные системы увеличилось.

Одновременно возникает другой, более фундаментальный вопрос: почему множество уязвимостей существует? Конечно, если компании заходят создавать безопасные продукты, то такое программное обеспечение будет доминировать на рынке. Но большинство коммерческого программного обеспечения, как правило, имеет недостатки выполнения, которые, были легко предотвращены. Хотя продавцы способны к созданию более безопасного программного обеспечения, экономика индустрии программного обеспечения предоставляют им небольшой стимул для этого. На многих рынках утверждение «сдай работы во вторник и доработай ее в версии 3» является совершенно рациональным поведением [3]. Потребители вообще вознаграждают продавцов за то, что они добавили особенности, вышли первыми на рынок или были доминирующими на существующем рынке и особенно так на рынках сетей и операционных систем. Такая мотивация пользователей идет в разрез с задачей написания более безопасного программного обеспечения, которое требует больше затрат времени на тестирование и должно быть более простым в использовании.

Другая причина существования ошибок в программном обеспечении – то, что рынок программного обеспечения – «рынок для лимонов» [3]. Дж. Акерлоф использовал рынок подержанных автомобилей как метафору для рынка с асимметрией информации. Он представил город, в котором 50 хороших подержанных машин (стоящих 2000 долл. каждая) продаются, наряду с 50 «лимонами» (стоящими 1000 долл. каждая). Продавцы знают различие, но покупатели нет. Какова будет равновесная рыночная цена? Сначала можно предположить, что 1500 долл., но по той цене никто не предложит для продажи хороший автомобиль, таким образом, рыночная цена остановится на 1000 долл., поскольку покупатели не желают платить премию за качество, которое они не могут проверить, в результате только низкокачественные подержанные машины доступны для продажи.

Рынок программного обеспечения обладает той же самой асимметрией информации. Продавцы могут делать заявления о безопасности своих продуктов, но у покупателей нет никакой причины доверять им. Во многих случаях продавец даже не знает, насколько безопасный его программное обеспечение. Таким образом, у покупателей нет никакой причины платить больше за защиту, а продавцы лишены желания инвестировать в создание таких продуктов.

Есть другие интересные провалы рынка. Недавно, например, многие организации настроили услуги сертификации, чтобы ручаться за качество программного обеспечения или сайтов. Цель была двойной: преодолеть общественную осторожность в электронной торговле и предупредить более дорогое регулирование правительством. Но рынки сертификации могут легко быть разрушены, т.к. сомнительные компании, более вероятно, купят свидетельства, чем уважаемые. Это подтверждается фактом, что из всех сайтов в сети приблизительно 3% приносят вред, а из сертифицированных сайтов вредоносными являются 8%. Также проявляется несогласованность между обычными результатами поиска в сети и результатами оплаченной рекламы: 2,73% сайтов компаний, находящихся в списке простого поиска, могут насести вред компьютеру, а среди компаний, которые купили рекламные объявления поисковой машины таких 4,44%. Основной вывод: не нажимайте на рекламные объявления [4].

Информационная безопасность затрагивает не только предприятия, но и личную жизнь граждан. Постоянное разрушение тайны личной жизни в связи с усовершенствованием технологий наблюдения не дает расслабиться большинству политиков и других известных людей. В последнее время на рыке предлагалось множество продуктов, обеспечивающих тайну личной жизни, но большинство потерпело неудачу. Снова, экономика объясняет это лучше, чем технические факторы. Считается, что разрушение тайны частной жизни – это последствие желания в дальнейшем получать доход за обеспечение безопасности и сохранности тайны, а современные технологии только увеличивают эти стимулы. Компании могут находить в Интернет информацию, разоблачающую людей и заставляю их платить больше за такие товары как авиабилеты, программное обеспечение, и телекоммуникационные услуги. По сути это является ценовой дискриминаций первой степени. Она процветает в отраслях, где персонифицированные услуги имеют низкие предельные затраты, и где вероятны повторные покупки.

В заключении можно отметить, что за последние несколько лет исследования в области экономики информационной безопасности построили много междисциплинарных связей и позволили сделать множество интересных выводов. Многие аспекты информационной безопасности, давно известные практикам, но не имевшие технического объяснения, оказались весьма объяснимые с точки зрения мотивации, создания стимулов для приложения максимальных усилий в работе и провалов рынка.

Список литературы:

1. Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург , 2003. – 752с.

2. H. Varian. Managing online security risks. The New York Times (2000), http://www.nytimes.com/library/financial/columns/060100econ-scene.html

3. R. Anderson. Why information security is hard – an economic perspective. 17th Annual Computer Security Applications Conference (2001), pp. 358–365.

4. R. Anderson, T. Moore. The Economics of Information Security. Science 314 (5799) October 27, 2006 , pp.610–613.