Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Pareto-säker – försök till mått på säkerhet » Kryptoblog

Pareto-säker – försök till mått på säkerhet

October 30th, 2006 by Joachim Strömbergson Leave a reply »

Financial Cryptography dök det för ett tag sedan upp en intressant artikel om försök att hitta ett slags mått på säkerhet i ett tekniskt system.

Utgångspunkten för artikeln är att försöka applicera den ekonomiska termen Paretoeffektivitet på säkerhet för att skapa ett motsvarande mått artikeln kallar Paretosäkerhet. Artikeln sammanfattar konceptet bakom Paretosäkerhet och Paretokompletta system på följande sätt:

A Pareto-secure improvement is made to a security system when a substituted component results firstly in an improvement in security, and secondly with no cost to security elsewhere.

We say that a component is Pareto-secure if within the confines of its security system, there is no Pareto improvement to security in changing it for another component, and it is secure against known threats. Further, we say that a component is Pareto-complete if within any reasonable security model, there is no Pareto improvement.


Notera att man tittar på systemets komponenter och att den totala systemsäkerheten ges av summan av komponenternas säkerhet.

Jag gillar tanken på att försöka kvantifiera och mäta säkerhet. Ett av dom stora problemen med säkerhet är just att det inte är en funktion i sig, och därmed är svår att visa. Vidare behövs det definitivt kopplingar mellan säkerhet och eknomi för att företag skall kunna räkna på kostnader och därmed kunna fatta rationella beslut om sin säkerhet.

Samtidigt blir det med Paretosäkerhet en fråga om att avgöra huruvida en alternativ komponent är säkrare eller ej. Och denna grundläggande svårighet ger inte artikeln speciellt mycket hjälp med att lösa.

Men som sagt, ett bra och intressant försök att greppa, mäta och kvantifiera det svårgripbara som är IT-säkerhet. Påminner inte så lite om det i mitt tycke spännande projektet FlexSoC på Chalmers där man arbetar med att kvantifiera flexibilitet i tekniska system. (Flexibilitet är jätteviktigt, men vilken flexibilitet skall du ha, hur mycket flexibilitet behöver du och vad kostar flexibiliteten är några av frågorna som FlexSoC brottas med.)

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

Leave a Reply

You must be logged in to post a comment.