General Discussions

Security Return on investments

Godert Jan van Manen — Thu, 11 Dec 2008 10:52:00 GMT

Return on investment, or ROI, is a big deal in business. Any business venture needs to demonstrate a positive return on investment, and a good one at that, in order to be viable.

It's become a big deal in IT security, too. Many corporate customers are demanding ROI models to demonstrate that a particular security investment pays off. And in response, vendors are providing ROI models that demonstrate how their particular security solution provides the best return on investment.

It's a good idea in theory, but it's mostly bunk in practice.

Before I get into the details, there's one point I have to make. "ROI" as used in a security context is inaccurate. Security is not an investment that provides a return, like a new factory or a financial instrument. It's an expense that, hopefully, pays for itself in cost savings. Security is about loss prevention, not about earnings. The term just doesn't make sense in this context.

But as anyone who has lived through a company's vicious end-of-year budget-slashing exercises knows, when you're trying to make your numbers, cutting costs is the same as increasing revenues. So while security can't produce ROI, loss prevention most certainly affects a company's bottom line.

And a company should implement only security countermeasures that affect its bottom line positively. It shouldn't spend more on a security problem than the problem is worth. Conversely, it shouldn't ignore problems that are costing it money when there are cheaper mitigation alternatives. A smart company needs to approach security as it would any other business decision: costs versus benefits.

The classic methodology is called annualized loss expectancy (ALE), and it's straightforward. Calculate the cost of a security incident in both tangibles like time and money, and intangibles like reputation and competitive advantage. Multiply that by the chance the incident will occur in a year. That tells you how much you should spend to mitigate the risk. So, for example, if your store has a 10 percent chance of getting robbed and the cost of being robbed is $10,000, then you should spend $1,000 a year on security. Spend more than that, and you're wasting money. Spend less than that, and you're also wasting money.

Of course, that $1,000 has to reduce the chance of being robbed to zero in order to be cost-effective. If a security measure cuts the chance of robbery by 40 percent -- to 6 percent a year -- then you should spend no more than $400 on it. If another security measure reduces it by 80 percent, it's worth $800. And if two security measures both reduce the chance of being robbed by 50 percent and one costs $300 and the other $700, the first one is worth it and the second isn't.

The Data Imperative

The key to making this work is good data; the term of art is "actuarial tail." If you're doing an ALE analysis of a security camera at a convenience store, you need to know the crime rate in the store's neighborhood and maybe have some idea of how much cameras improve the odds of convincing criminals to rob another store instead. You need to know how much a robbery costs: in merchandise, in time and annoyance, in lost sales due to spooked patrons, in employee morale. You need to know how much not having the cameras costs in terms of employee morale; maybe you're having trouble hiring salespeople to work the night shift. With all that data, you can figure out if the cost of the camera is cheaper than the loss of revenue if you close the store at night -- assuming that the closed store won't get robbed as well. And then you can decide whether to install one.

Cybersecurity is considerably harder, because there just isn't enough good data. There aren't good crime rates for cyberspace, and we have a lot less data about how individual security countermeasures -- or specific configurations of countermeasures -- mitigate those risks. We don't even have data on incident costs.

One problem is that the threat moves too quickly. The characteristics of the things we're trying to prevent change so quickly that we can't accumulate data fast enough. By the time we get some data, there's a new threat model for which we don't have enough data. So we can't create ALE models.

But there's another problem, and it's that the math quickly falls apart when it comes to rare and expensive events. Imagine you calculate the cost -- reputational costs, loss of customers, etc. -- of having your company's name in the newspaper after an embarrassing cybersecurity event to be $20 million. Also assume that the odds are 1 in 10,000 of that happening in any one year. ALE says you should spend no more than $2,000 mitigating that risk.

So far, so good. But maybe your CFO thinks an incident would cost only $10 million. You can't argue, since we're just estimating. But he just cut your security budget in half. A vendor trying to sell you a product finds a Web analysis claiming that the odds of this happening are actually 1 in 1,000. Accept this new number, and suddenly a product costing 10 times as much is still a good investment.

It gets worse when you deal with even more rare and expensive events. Imagine you're in charge of terrorism mitigation at a chlorine plant. What's the cost to your company, in money and reputation, of a large and very deadly explosion? $100 million? $1 billion? $10 billion? And the odds: 1 in a hundred thousand, 1 in a million, 1 in 10 million? Depending on how you answer those two questions -- and any answer is really just a guess -- you can justify spending anywhere from $10 to $100,000 annually to mitigate that risk.

Or take another example: airport security. Assume that all the new airport security measures increase the waiting time at airports by -- and I'm making this up -- 30 minutes per passenger. There were 760 million passenger boardings in the United States in 2007. This means that the extra waiting time at airports has cost us a collective 43,000 years of extra waiting time. Assume a 70-year life expectancy, and the increased waiting time has "killed" 620 people per year -- 930 if you calculate the numbers based on 16 hours of awake time per day. So the question is: If we did away with increased airport security, would the result be more people dead from terrorism or fewer?

Caveat Emptor

This kind of thing is why most ROI models you get from security vendors are nonsense.Of course their model demonstrates that their product or service makes financial sense: They've jiggered the numbers so that they do.

This doesn't mean that ALE is useless, but it does mean you should 1) mistrust any analyses that come from people with an agenda and 2) use any results as a general guideline only. So when you get an ROI model from your vendor, take its framework and plug in your own numbers. Don't even show the vendor your improvements; it won't consider any changes that make its product or service less cost-effective to be an "improvement." And use those results as a general guide, along with risk management and compliance analyses, when you're deciding what security products and services to buy.

Test met patiëntendossier faalt

Godert Jan van Manen — Mon, 10 Nov 2008 16:18:00 GMT

Een proef met het Elektronisch Patiëntendossier (EPD) in Twente heeft forse problemen aan het licht gebracht. Deze variëren van talloze technische storingen waardoor medische gegevens niet toegankelijk zijn, tot twijfels over veilig gebruik van pasjes die artsen toegang geven tot de elektronische dossiers. afbeelding vergroten. Dat blijkt uit een afrondende studie van onderzoekers bij TNO en het Telematica Instituut in opdracht van het ministerie van VWS.

Bij de ruim twee jaar durende proef in Twente werden digitale dossiers van huisartsen aangesloten op een landelijk netwerk. Via dat netwerk moeten op termijn ook patiëntgegevens uit ziekenhuizen en apotheken voor zorgverleners beschikbaar zijn.

Twentse huisartsen kaartten de storingen en knelpunten al eerder dit jaar aan, maar volgens minister Klink (Volksgezondheid) zouden ze worden opgelost. Naar nu blijkt bleven onder meer Overijsselse huisartsenposten met problemen kampen. Storingen in het systeem leiden bij gebruikers tot frustratie en extra werkbelasting, schrijven de onderzoekers.

VWS stelt in een reactie dat het gaat om 'kinderziektes'. Klink wil dat alle huisartsen in september volgend jaar op het landelijke systeem zijn aangesloten. De projectleider van de proef twijfelt aan dat tempo.

bron: http://www.ad.nl/binnenland/2756042/Test_met_patintendossier_faalt.html

Rechter twijfelt aan nauwkeurigheid trajectcontroles

Godert Jan van Manen — Mon, 27 Oct 2008 16:34:00 GMT

Een man hoeft een boete wegens te hard rijden niet te betalen van de Amsterdamse kantonrechter. Die oordeelde in het voordeel van de automobilist omdat het gps- systeem van de auto een lagere snelheid aangaf dan de trajectcontrole op de A10.

De rechtbank besloot om de man uit Franeker 'het voordeel van de twijfel' te geven vanwege het verschil van negen kilometer per uur tussen beide metingen, en daarom de boete van twintig euro te verscheuren. De uitspraak is opmerkelijk omdat de rechtbank er blijkbaar niet van overtuigd is dat het meetsysteem van Justitie onfeilbaar is, aldus advocaat Tjalling van der Goot, gespecialseerd in verkeersboetes, tegenover het NOS Journaal. De raadsman, die de Fries overigens niet zelf verdedigde, benadrukt dat de kantonrechter in het midden liet of het trajectcontrolesysteem heeft gefaald. Hij zegt dat de rechtbank zonder verder onderzoek naar de nauwkeurigheid naar de meetsystemen tot zijn uitspraak is gekomen omdat het om een kleine zaak gaat.

Van der Goot vraagt zich wel af of de blijkbaar ontstane twijfel aan de precisie van trajectcontroles niet juist de noodzaak van nader onderzoek aantoont, omdat anders de geloofwaardigheid van snelheidsboetes in het geding kan komen. Het Bureau Verkeershandhaving van het Openbaar Ministerie zegt te blijven geloven in de betrouwbaarheid van trajectcontroles, en stelt dat de uitspraak niet betekent dat boetes in dergelijke gevallen ongedaan gemaakt zullen worden. Van der Goot denkt echter dat wel degelijk mag worden verwacht dat er vaker boetes zullen worden verscheurd. Het is onbekend of het Openbaar Ministerie van plan is tegen de uitspraak in beroep te gaan.

Microsoft dicht donderdag 'kritiek lek' in alle Windows-versies

Godert Jan van Manen — Thu, 23 Oct 2008 11:36:00 GMT

Microsoft brengt donderdagavond een patch uit voor een zeer ernstig lek, dat in alle ondersteunde versies van Windows zit. Dankzij het lek kunnen kwaadwillenden code uitvoeren op Windows-systemen.

Microsoft bestempelt het lek als 'kritiek' en verklaart dat de kwetsbaarheid 'remote code execution' mogelijk maakt. De fabrikant laat, om gebruikers te beschermen, verder geen details los. "Dat we buiten de gebruikelijke patchronde om een patch publiceren, zegt genoeg over de ernst ervan", vertelt Ruud de Jonge, Director Developer & Platform Enthusiasm bij Microsoft. Alle ondersteunde Windows-versies worden volgens De Jonge getroffen, ook Vista met SP1 en Windows XP met SP2 en SP3.

Het is vrij uitzonderlijk dat Microsoft tussentijds een patch uitbrengt. "Bij mijn weten is het in de afgelopen drie, vier jaar slechts twee of drie keer voorgekomen", schat De Jonge. De softwarefabrikant waarschuwt gebruikers vast, zodat deze de patch direct kunnen installeren. Deze zal om 19.00 uur Nederlandse tijd op de waarschuwingspagina gepubliceerd worden. Niet bekend is of Microsoft het lek zelf ontdekt heeft, of dat het bedrijf door een externe partij is getipt. Ook is onbekend of het lek al actief misbruikt wordt.

Anti-stemcomputerstichting klaagt waterschappen aan

Godert Jan van Manen — Thu, 23 Oct 2008 11:27:00 GMT

De stichting 'Wij vertrouwen stemcomputers niet' spant een kort geding tegen de Nederlandse waterschappen aan. Bij de waterschapsverkiezingen, die tussen 13 en 25 november worden gehouden, zou het stemgeheim niet zijn gewaarborgd.

De waterschappen willen stembiljetten rondsturen waarop een uniek nummer is afgedrukt. Volgens de stichting 'Wij vertrouwen stemcomputers niet' kunnen de biljetten aan kiezers worden gekoppeld. Bovendien wordt bij de komende verkiezingen voor het eerst ook direct op politieke partijen gestemd, waardoor ook de politieke voorkeur van een stemmer te herleiden zou zijn.

De stembiljetten worden gedrukt door een Amerikaanse grafische multinational, RR Donnelley. Voor de productie van de biljetten heeft dit bedrijf de beschikking over elektronische bestanden met de namen, adressen en geboortedata van alle kiezers. Deze worden gekoppeld aan de unieke code. RR Donnelley moet deze databestanden na het afronden van het drukwerk vernietigen, maar volgens de stichting geniet het bedrijf een discutabele reputatie. Zo zou het bedrijf in de VS zijn eigen werknemers hebben bespioneerd en geïntimideerd omdat zij lid van een vakbond wilden worden. De ingevulde en geretourneerde stembiljetten worden vervolgens door de firma Cendris Document Presentment ingescand, waarbij het unieke nummer opnieuw wordt ingelezen. In 2004 veroorzaakte dit bedrijf tijdens de waterschapsverkiezingen echter een chaos door een groot aantal kiesgerechtigden geen of verkeerde stembiljetten te sturen.

Oprichter Rop Gonggrijp stelt tegenover Tweakers.net dat 'het stemgeheim is overgeleverd aan bedrijven'. Niet alleen zouden de twee bedrijven ongeschikt zijn om de verkiezingen uit te voeren; de waterschappen zouden ook te zwakke encryptiemethoden voor de persoonlijke gegevens gebruiken en hogere overheden oefenen onvoldoende toezicht uit. Verder verwijst Gonggrijp op de mislukte plannen voor het invoeren van een online stemsysteem. In september stuurde de privacywaakhond daarom een brief aan onder andere de Unie van Waterschappen en het Hoogheemraadschap van Rijnland, waarin werd gevraagd om af te zien van de gekozen methode.

De waterschappen reageerden echter afwijzend op de eisen van de stichting. Tegenover Tweakers.net laat projectleider Jacob Gunter weten dat het Hoogheemraadschap alle vertrouwelijke informatie voldoende heeft versleuteld en dat elke betrokken partij met de benodigde sleutel slechts een deel van de privacygevoelige data kan inzien. Alleen als alle betrokkenen hun sleutels zouden delen, kan het stemgeheim worden geschonden. Ook voor dit 'theoretische' geval zouden de waterschappen maatregelen hebben genomen. De twee bedrijven die voor het drukken en de verwerking van stemmen zijn ingeschakeld, zouden volgens de geldende Europese aanbestedingsregels zijn uitgekozen. Gunter stelt dan ook dat de gehanteerde stemprocedure volledig voldoet aan de wettelijke voorschriften van de Waterschapswet.

Volgens 'Wij vertrouwen stemcomputers niet' biedt de 'envelop-in-envelop'-procedure, die momenteel door kiezers in het buitenland wordt toegepast, een veilig alternatief aan de waterschappen. Gonggrijp ziet door de defensieve houding van de organisatoren echter geen andere mogelijkheid dan de gang naar de rechter, in de hoop dat de huidige methode wordt verboden. Het kort geding zal op 3 november bij de rechtbank in Den Haag dienen.

Internationale hackers aangehouden in Oekraïne en Rusland

Godert Jan van Manen — Thu, 23 Oct 2008 10:05:00 GMT

Internationale samenwerking van het Team High Tech Crime van de Nationale Recherche met politie- en veiligheidsdiensten heeft geleid tot de aanhouding van drie hackers in Rusland en de Oekraïne, die vermoedelijk betrokken zijn bij digitale aanvallen op bankrekeningen in West- Europa.

De gisteren bekend gemaakte operatie in de Oekraïne en Rusland komt voort uit een onderzoek door het Team High Tech Crime naar een virusaanval op rekeninghouders van ABN AMRO Bank in 2007. Klanten van de bank ontvingen in maart 2007 een spammail met een virus. Rekeninghouders kwamen daarna niet meer op de echte website van de bank, maar werden omgeleid naar een zeer sterk gelijkende nepsite in het buitenland.

Vervolgens werden frauduleuze overboekingen toegevoegd aan betalingsopdrachten zonder dat de klanten dat in de gaten hadden. De bank heeft destijds aangifte gedaan van computervredebreuk en oplichting. De schade was meer dan 100.000 euro.

De katvangers moesten het geld van de getroffen ABN AMRO-klanten op hun rekening laten storten, de bedragen contant opnemen en via moneytransfers overboeken naar weer andere katvangers in Rusland en de Oekraïne.

Het strafdossier dat is opgemaakt door het Team High Tech Crime is met het oog op verder onderzoek in de Oekraïne en Rusland in z’n geheel in het cyrillisch vertaald. Deze zomer is het dossier door het Landelijk Parket en het Team High Tech Crime overgedragen. Het is voor het eerst dat dergelijke internationale samenwerking met de Oekraïne en Rusland mogelijk bleek.

In verschillende steden in de Oekraïne en Rusland is beslag gelegd op computers en ander bewijsmateriaal voor de onwettige activiteiten van de verdachten. De vermoedelijke hackers zijn jonge, afgestudeerde ICT-ers. Zij zouden gebruik gemaakt hebben van virussoftware en daarmee computers van rekeninghouders van buitenlandse banken hebben besmet.

Onderzoekers ontwikkelen enkellaagscondensators voor chips

Godert Jan van Manen — Thu, 23 Oct 2008 09:31:00 GMT

Onderzoekers van het Japanse bedrijf Mitsui hebben een nieuwe methode voor de productie van dunnefilm-condensators ontwikkeld. De componenten zouden als onderdeel van toekomstige 32nm- en 25nm-chips toegepast kunnen worden.

Thin film- versus meerlaagse condensatorsHet nieuwe type condensator, dat Mitsui AEC-1 noemt, gebruikt keramisch bariumtitanaat als diëlektrisch materiaal. Het materiaal werd in een 0,6µm dunne laag tussen een 20µm dikke koperelektrode en een 50µm dikke nikkelelektrode aangebracht. Ten opzichte van de gangbare meerlaagse keramische condensators hebben de nu ontwikkelde enkellaagse condensators een lagere zelfinductie en een hogere elektrische capaciteit.

De medewerkers van Mitsui wisten de elektrische capaciteit te verhogen tot ongeveer 1µF per vierkante centimeter door het productieproces aan te passen. Om het keramische diëlektrische materiaal aan de elektrodes te hechten, gebruikten de onderzoekers geen hars, maar maakten ze gebruik van de hittebestendige eigenschappen van de nikkelelektrodes. Hiertoe werd het keramische materiaal door middel van plaatselijke verhitting direct op de elektrode gevormd. Een verlaging van de elektische capaciteit, die bij het gebruik van hars zou ontstaan, treedt dan niet op.

De nieuwe condensators kunnen direct in het substraat van chips verwerkt worden; de benodigde structuren voor de condensators, zoals elektrodes en verbindingspunten, kunnen in het metaalfolie geëtst worden. Door de dikte van de metalen lagen van de condensators verder te reduceren, zou de gehele dunnefilm-condensator een dikte van slechts 35µm kunnen bereiken. Eén enkellaage dunnefilm-condensator kan enkele tientallen meerlaagse 'traditionele' condensators vervangen.

Voor de dunnefilm-condensator daadwerkelijk wordt toegepast, wil Mitsui eerst een methode ontwikkelen om de nikkelelektrodes door koperen exemplaren te vervangen: nikkel is lastiger te etsen dan koper en is gevoelig voor magnetisme.

Mirror Sites voor het OpenIDS project!

Godert Jan van Manen — Mon, 07 Apr 2008 10:09:00 GMT

Van Manen Web Solutions beheert momenteel 2 mirror sites voor het OpenIDS project van Mikael Keri.

OpenIDS is een op OpenBSD gebaseerde distributie met o.a. SNORT ( een OpenSource intrusion detection systeem ) en diversen andere tools om de integriteit van uw netwerk te kunnen monitoren!

De mirror sites vind u op het volgende adres :

1 - http://openids1.van-manen.info/
2 - http://openids.van-manen.info/

Meer informatie over het OpenIDS project vind u op: http://www.prowling.nu