Где-то с месяц назад, когда я писал про APT, в голове все вертелась мысль о примере действительно актуальных угроз..За прошедшее время подобралось немного информации позволяющей провести краткий анализ риска использования контрафактного ПО, а именно сообщений о приговорах, аналитики, вакансий специалистов по борьбе с пиратством.
Ну что же, приступим. Как учит нас незабвенный NIST 800-30 риск равен умножению убытка от реализации угрозы на ее вероятность, или если детальнее то вероятность определяется наличием мотивации источника угрозы, способностью источника угрозы эксплуатировать уязвимость и эффективностью контролей предупреждения уязвимости от эксплуатации. Продираясь через канцелярский язык проводим аналогии:
Как видим с возможностями и уязвимостями все в порядке, вопрос только в контролях, но, положа руку на сердце - какая компания в состоянии перебить возможную взятку M.? Т.е. остается только закупать лицензии, и управлять ими - на то есть процесс SAM и стандарт ISO19770.
Ну что же, приступим. Как учит нас незабвенный NIST 800-30 риск равен умножению убытка от реализации угрозы на ее вероятность, или если детальнее то вероятность определяется наличием мотивации источника угрозы, способностью источника угрозы эксплуатировать уязвимость и эффективностью контролей предупреждения уязвимости от эксплуатации. Продираясь через канцелярский язык проводим аналогии:
- Источник угрозы - УБЭП, BSA (ассоциация правообладателей), сами правообладатели (например M.) и нанятые ими подрядчики
- Мотивация источника угрозы - обьем рынка пиратского программного обеспечения, то бишь недополученная прибыль правообладателей
- Уязвимость - законодательство про охрану интеллектуальной собственности. Так как законодательство не ограничиевается одним-двумя-десятком законами, то хотелось бы отдельно заметить, что компания уязвима к такому законодательству если работает вся цепочка: - закон - механизм реализации - действия компетентных органов. Но, например компании операторы АЭС и ГТС (и подобные им по значению) по факту намного более устойчивы к маски шоу и вообще любым силовым актам типов "захват"\"изьятие серверов", так как исполнителям жить то хочется.
- Способность источника угрозы эксплуатировать уязвимость в случае пиратского ПО - примеры ответственности за использование пиратского ПО, наличие специалистов, возможностей и активностей источников угроз. В данном случае даже информационную войну против контрафакта ведет один из подрядчиков.
- Контроли в классическом варианте это лицензии, а в дешевом - "прикормленные" местные УБЭПовцы.
- Убыток же это административный штраф (10 000 - 5 000 000 рублей или стоимость ПО в двухкратном размере), возможная уголовная ответственность и другой (подробнее можно посмотреть в нижеследующей презентации со СмартСорсинг).
Как видим с возможностями и уязвимостями все в порядке, вопрос только в контролях, но, положа руку на сердце - какая компания в состоянии перебить возможную взятку M.? Т.е. остается только закупать лицензии, и управлять ими - на то есть процесс SAM и стандарт ISO19770.
Виды ответственности за использование контрафактного ПО на предприятиях
P.S. Кроме самостоятельной работы по расчету можно взаимодействовать с представителями комплаенс службы (если таковая существует в организации). Нечего бросаться на амбразуру, бизнесу ведь нужен не героизм а результат!:)
P.S. Кроме самостоятельной работы по расчету можно взаимодействовать с представителями комплаенс службы (если таковая существует в организации). Нечего бросаться на амбразуру, бизнесу ведь нужен не героизм а результат!:)
DISCLAIMER. Все совпадения имен и названий являются случайными, автор не призывает совершать каких-либо противоправшых действий.
Комментариев нет:
Отправить комментарий