מה יעלה בעתיד שוק ההגנה בסייבר?
עולם ההגנה בסייבר במהלכו של שינוי טקטוני שמטרתו ליצור מצב שבו - את עקומת הביקוש תקבע רגולציה ממשלתית ופוליסת ביטוח
עמי רוחקס דומבה
| 26/04/2018
אילוסטרציה: Bigstock
מאז שנות ה-90 של המאה הקודמת, עם כניסתם של המחשבים האישיים לשוק, החל להתפתח עולם אבטחת המידע שעם הזמן התפתח לעולם הסייבר של ימינו. בהפשטה, תפקיד עולמות אלו למנוע מגורמים לא מורשים לשנות, למחוק או לגנוב את המידע במערכות מחשוב. אחת מאבני היסוד של עולם הסייבר, אם לא החשובה שבהן, היא הליך קבלת החלטות הרכש. הגורם שקובע את הביקוש בתחום, קובע את עתיד התחום.
כמו בכל עולם עסקי, גם בעולם הסייבר יש היצע וביקוש. על ההיצע אחראים יצרני ומפתחי המוצרים והשירותים שמוכרים למגזר העסקי, הממסדי והאישי. בתחילת הדרך, לפני כשלושים שנים, הליך הרכש נקבע בעיקר על ידי היצרנים. בתחילה היו רק מוצרים שהיצרנים רצו להציע. עם הזמן, הצרכנים החכימו, והחלו להעלות דרישות מ'השטח'. אותן דרישות היוו שיקוף של כשל השוק. המוצרים שנמכרו לא פתרו את הבעיות שהתפתחו ונוצר פער שיצר דרישה למוצרים נוספים.
עלייתן של חברות הדירוג ומעבדות הבדיקה
הסיבה לכשל שוק זה טמון בגורם נוסף - יכולות התוקפים. ככל שהפער בין יכולות ההאקרים לבין ההגנה שסיפקו מוצרי הסייבר גדל, כך כשל השוק גדל. מציאות זו הביאה את הצרכנים לחפש דרכים לייעל את הליך הרכש. השאלה שעלתה למודעות הצרכנים היא מה צריך לקנות כדי להגן יותר טוב יותר על הארגון שלי. בשוק נוצר פער בהליך קבלת החלטות הרכש.
מחד, היצרנים הציעו מוצרים ושירותים. מאידך, הצרכנים ראו בשטח שהארגונים שלהם עדיין פגיעים על אף התקנת המוצרים. אמנם חלק מההתקפות נעצרו, אבל אותו פער בין יכולות ההאקרים לבין חגורת ההגנה על הארגון המשיך לגדול וקיבל את ההגדרה "א-סימטריה בעולם הסייבר". כדי לנסות להתאים את הליך הרכש לא-סימטריה בשטח, החלו הצרכנים לחפש אמצעים חדשים שיעזרו לצמצם את הפער.
אמצעי אחד שנכנס למשחק הוא שימוש בהאקרים 'לבנים'. הכוונה היא להאקרים שעובדים עבור הצרכנים. החשיבה הייתה שאם יהיו האקרים בצד שמנסה לפרוץ, והאקרים בצד שמנסה להגן, הא-סימטריה תקטן. על בסיס חשיבה זו, החלו להתפתח בשוק הסייבר משפחות שירותים ומוצרים שסיפקו לצרכנים בדיקות חדירה, סקר סיכונים וכלים לניטור הרשת של הארגון בזמן אמת. היצרנים החלו להעסיק האקרים לבנים, ומוצרים החלו לצאת לשוק.
אמצעי שני שנכנס למשחק הוא חברות הדירוג ומעבדות בדיקה. הרעיון סביב אמצעי זה הוא שגורם שלישי, נייטרלי, יבדוק את המוצרים והשירותים עבור הצרכנים. חברות הדירוג מעסיקות מומחי סייבר שתפקידם לדרג מוצרים ושירותים עבור הצרכנים כדי לדייק ולייעל את הליך הרכש. במקום שהצרכן יחליט בעצמו מה לרכוש, הוא נעזר בדעת מומחים. מעבדות הבחינה קמו כתחרות לחברות הדירוג כאשר הבידול טמון באמינות ההמלצה. מעבדות אלו, בשונה מחברות הדירוג, טוענות לבחינה טכנית עמוקה של המוצר והמלצה האם הוא תואם להצהרות היצרן.
על אף האמצעים שהתפתחו במטרה להקטין את הפער בין ההשקעה לתוצאה בהליך הרכש אצל הצרכנים, הא-סימטריה בעולם הסייבר בין ההתקפה להגנה נשמרה, והמשיכה לגדול. אמנם הצרכן הפך לחכם יותר, אך ההאקרים בצד השני של המתרס גם החכימו. בכל פעם שמוצר הגנההפריע להם, אלו מצאו דרך לעקוף אותו. כדי להוסיף שמן למדורה, גם הטכנולוגיה התפתחה. שירותי ענן קמו והחלו לקרוא תיגר על הרשתות המסורתיות של הארגונים. במקום שהמידע יהיה במקום ידוע ומתוחם, הוא עלה לענן והתפזר בעולם ברשתות של ספק שירותי הענן. רשתות שלארגון אין שליטה עליהן.
לצד שירותי ענן, טלפונים חכמים נכנסו לשוק. טלפונים אלו הם למעשה מחשבים שיודעים גם להתנהג כטלפון, והמידע של הארגון החל לעלות גם אליהם ולהתפזר לאלפי מקומות שבהם לארגון אין שליטה. הענן והטלפון החכם הם מחשבים של מישהו אחר, וארגונים החלו מאבדים שליטה על המידע שלהם.
בנוסף לאלו, גורם שלישי שנכנס לשוק הוא שירותי ההצפנה. פרוטוקולי הצפנת מידע ברשת האינטרנט כמו HTTPS הפכו נפוצים בקרב דפדפנים. שירותי הודעות מוצפנים כמו ווטסאפ וסיגנל החלו להופיע. מגמה זו אפשרה לתוקפים לפעול בצורה חשאית. יתרה מכך, תפוצת שירותי ההצפנה הכניסה למשוואה מתח בין הרצון השמירה על פרטיות הצרכן/משתמש מול הצורך של הארגונים להגן על המידע שלהם.
הפער בין הגנה להתקפה גדל. הענן, הטלפון החכם וההצפנה העלו את המורכבות ביישום הגנה בסייבר, וההחלטה מה לרכוש הפכה למסובכת יותר. לאור זאת, החלה להשתנות התרבות בעולם הסייבר. ההבנה שאין הגנה הרמטית חלחלה למקבלי ההחלטות והשיח המקצועי סביב הליכי רכש בסייבר נע מניסיון להגן, לניהול סיכונים. הצרכנים החלו להבין שלא ניתן לגשר על הא-סימטריה. ההודאה בכשל שוק הסייבר הביאה להתפתחות תפיסת ניהול הסיכונים העיקריים של הארגון. כפי שהנשיא אובמה התבטא בעבר: 'גדרות גבוהים סביב חצר קטנה'.
היד הנעלמה נעלמת
השאלה מה היא אותה חצר קטנה שרק עליה אפשר וצריך להגן הפכה לקריטית בהליכי רכש בעולם הסייבר. האמצעים שהיו לטובת הצרכנים בשוק כולל האקרים לבנים, חברות דירוג ומעבדות בדיקה, לא היו מותאמים לצורך החדש שנוצר. אלו נבנו עם השנים אל מול השאלה כיצד מצמצמים את הא-סימטריה בין התוקפים להגנה. שאלה טכנית במהותה. אבל השאלה השתנתה. ניהול סיכונים מנסה לפתור שאלה אחרת - כיצד מפסידים פחות כסף. זו א-סימטריה בין השקעה כספית בהגנה להפסד כספי פוטנציאלי מהתקפה.
במקום שאלה טכנית, עולם הסייבר עבר לשאלה של כסף. שאלת 'איך להגן על הארגון', התחלפה בשאלה 'איך הארגון יפסיד פחות'. אמנם שכבת הפתרונות הטכניים שנבנתה במהלך שלושת העשורים האחרונים הכרחית ולא תעלם, אך בעיניים של מקבלי החלטות ברכש הגבינה זזה. נדרשו אמצעים חדשים שיוכלו לעזור לארגון להגדיר סיכונים עסקיים בסייבר.
לצורך שנוצר בשוק נכנסו חברות ביטוח שרוצות לקנות חלק מהסיכון של הארגון. כאשר יש איום שלא ניתן להגן מפניו, יש צורך לקבוע את מידת הנזק שלו. בין שמדובר בגניבת IP על ידי המתחרה, דליפה של פרטי לקוחות, פגיעה במוניטין, כופר או שינוי מידע בנוגע להתנהלות פיננסית של חברה נסחרת בבורסה. בכל המקרים, מדובר בנזק כלכלי שקשה מאד לכמת. לפעמים, מדובר בנזק אין סופי לכאורה. כיצד ניתן לשערך פגיעה במוניטין של חברה מובילה בתחומה? חברות הביטוח מתמודדות עם סיכונים כאלו באמצעות משוואה אקטוארית המבוססת ברובה על נתוני עבר בשוק רלוונטי.
בסייבר אין עדיין מספיק נתוני עבר לגיבוש מודל אקטוארי, אך יש ביקוש רב לביטוח. לכן, קיימת עלייה בהיצע ביטוחי הסייבר שעדיין מבוססת על פוליסות אמורפיות או מוגבלות שמשאירות לחברת הביטוח פתח יציאה במקרה של קטסטרופה. במקביל, חברות הביטוח מנסות לגבש דרכים להתמודד עם האתגר. מדובר בשוק כמעט אין סופי שבו כל חברה בעולם, קטנה, בינונית או גדולה, חשופה להתקפות סייבר. בצורה ישירה, או דרך שרשרת האספקה. חלק מהדרכים כוללות ניטור מתמשך של מערכות ההגנה בארגון, צוות התערבות בעת אירוע סייבר ובחלקמהמקרים שאלון פשוט. תלוי בסכום השיפוי ובארגון.
לצד הביטוח, גורם נוסף שמכתיב לארגון את גבולות ההגנה בסייבר היא הממשלה באמצעות רגולציה. הממשלה, שתפקידה להגן על שגרת החיים במדינה, הגנה באופן מסורתי על תשתיות קריטיות. חשמל, מים, מזון, פיננסים, צבא, משטרה וכו'. המרכיבים העיקריים הדרושים לקיום חיים במדינה. אולם, גם בממשלה נפל האסימון שבסייבר כולם קשורים לכולם. שרשרת האספקה קושרת את כל המשק יחד. האזרחים, המשק העסקי והתשתיות הקריטיות - כולם מחוברים באריג ממוחשב אחד.
תובנה זו גרמה למדינות להתחיל להתערב במרחב הגנה בסייבר. היד הנעלמה שאפיינה עולם זה בעבר, אותה משוואה עצמאית של ביקוש והיצע, לא יכולה להמשיך להתקיים במציאות שבה תפיסת ההגנה כשלה והובילה לתפיסת ניהול סיכונים. לצורך כך, החלו ממשלות להקים מרכזים מדינתיים של הגנה בסייבר שזכו למונח CERT שמנוהל תחת משרד או רשות ממשלתית. באמצעותו, הממשלה עושה שני הליכים עיקריים - ניטור מרחב הסייבר הריבוני וקביעת מדרג חשיבות לניהול סיכונים עבור המשק העסקי.
עבור ארגונים עסקיים וממשלתיים, מדובר בשינוי מהותי בהליך הרכש בסייבר. הבחירה באילו מוצרים ושירותים לבחור תיקבע במידה רבה על ידי שני חלקי המשוואה החדשה - הממשלות וחברות הביטוח. מבחינה כלכלית טהורה, ארגון ישקיע כסף רק בהתמודדות עם סיכונים שיש בהם פוטנציאל הפסד כלכלי הנקבע על ידי הממשלה או חברת הביטוח. מבחינה משפטית וחוקית, ארגון ישקיע כסף איפה שהרגולציה תחייב אותו. בין שמדובר ברגולציה מחייבת או בהמלצה. בין היתר, ניתן למנות את NIST בארה"ב, GDPR באירופה או תורת ההגנה בסייבר של ממשלת ישראל.
יוקר עלות התקיפה
התבגרות, נורמליזציה או כל כינוי אחר שמובדק לשוק מוצרים ושירותים שעובר מהשוליים למרכזה של עקומת גאוס יזכה לתאר את השינוי שעובר על הליך קבלת החלטות רכש של ארגונים עסקיים בתחום הסייבר. ניתן לדמות הליך זה לשולחן פינבול כאשר כדור תקציב הסייבר השנתי של הארגון ינוע בין סנפיר הרגולציה לזה של הביטוח. החלטות יצרני המוצרים והשירותים יתכנסו לתת מענה לדרישות אלו מהצרכנים, כאשר פתרונות שיהיו מחוץ להגדרות הרגולציה או פוליסת הביטוח יהפכו לנישות. אם בכלל ישרדו.
אין ספק כי מדובר בשינוי טקטוני בעולם ההגנה בסייבר שבסופו את עקומת הביקוש תקבע רגולציה ממשלתית ופוליסת ביטוח. מכיוון ששתי הדרישות מטרתן למנוע ככל הניתן נזק כלכלי למשק, שוחרי שיח ההרתעה יוכלו לומר כי מדובר למעשה ביישום הרתעה במניעה בסייבר(deterrence by denial). כלומר, דרישות קשיחות ומחייבות לכלל המשק שמטרתן ייקור עלות התקיפה. אין בכך לומר שלא יהיו תקיפות סייבר, אלא שהצלחתן תעלה לצד התוקף יותר כסף.
עולם ההגנה בסייבר במהלכו של שינוי טקטוני שמטרתו ליצור מצב שבו - את עקומת הביקוש תקבע רגולציה ממשלתית ופוליסת ביטוח
אילוסטרציה: Bigstock
מאז שנות ה-90 של המאה הקודמת, עם כניסתם של המחשבים האישיים לשוק, החל להתפתח עולם אבטחת המידע שעם הזמן התפתח לעולם הסייבר של ימינו. בהפשטה, תפקיד עולמות אלו למנוע מגורמים לא מורשים לשנות, למחוק או לגנוב את המידע במערכות מחשוב. אחת מאבני היסוד של עולם הסייבר, אם לא החשובה שבהן, היא הליך קבלת החלטות הרכש. הגורם שקובע את הביקוש בתחום, קובע את עתיד התחום.
כמו בכל עולם עסקי, גם בעולם הסייבר יש היצע וביקוש. על ההיצע אחראים יצרני ומפתחי המוצרים והשירותים שמוכרים למגזר העסקי, הממסדי והאישי. בתחילת הדרך, לפני כשלושים שנים, הליך הרכש נקבע בעיקר על ידי היצרנים. בתחילה היו רק מוצרים שהיצרנים רצו להציע. עם הזמן, הצרכנים החכימו, והחלו להעלות דרישות מ'השטח'. אותן דרישות היוו שיקוף של כשל השוק. המוצרים שנמכרו לא פתרו את הבעיות שהתפתחו ונוצר פער שיצר דרישה למוצרים נוספים.
עלייתן של חברות הדירוג ומעבדות הבדיקה
הסיבה לכשל שוק זה טמון בגורם נוסף - יכולות התוקפים. ככל שהפער בין יכולות ההאקרים לבין ההגנה שסיפקו מוצרי הסייבר גדל, כך כשל השוק גדל. מציאות זו הביאה את הצרכנים לחפש דרכים לייעל את הליך הרכש. השאלה שעלתה למודעות הצרכנים היא מה צריך לקנות כדי להגן יותר טוב יותר על הארגון שלי. בשוק נוצר פער בהליך קבלת החלטות הרכש.
מחד, היצרנים הציעו מוצרים ושירותים. מאידך, הצרכנים ראו בשטח שהארגונים שלהם עדיין פגיעים על אף התקנת המוצרים. אמנם חלק מההתקפות נעצרו, אבל אותו פער בין יכולות ההאקרים לבין חגורת ההגנה על הארגון המשיך לגדול וקיבל את ההגדרה "א-סימטריה בעולם הסייבר". כדי לנסות להתאים את הליך הרכש לא-סימטריה בשטח, החלו הצרכנים לחפש אמצעים חדשים שיעזרו לצמצם את הפער.
אמצעי אחד שנכנס למשחק הוא שימוש בהאקרים 'לבנים'. הכוונה היא להאקרים שעובדים עבור הצרכנים. החשיבה הייתה שאם יהיו האקרים בצד שמנסה לפרוץ, והאקרים בצד שמנסה להגן, הא-סימטריה תקטן. על בסיס חשיבה זו, החלו להתפתח בשוק הסייבר משפחות שירותים ומוצרים שסיפקו לצרכנים בדיקות חדירה, סקר סיכונים וכלים לניטור הרשת של הארגון בזמן אמת. היצרנים החלו להעסיק האקרים לבנים, ומוצרים החלו לצאת לשוק.
אמצעי שני שנכנס למשחק הוא חברות הדירוג ומעבדות בדיקה. הרעיון סביב אמצעי זה הוא שגורם שלישי, נייטרלי, יבדוק את המוצרים והשירותים עבור הצרכנים. חברות הדירוג מעסיקות מומחי סייבר שתפקידם לדרג מוצרים ושירותים עבור הצרכנים כדי לדייק ולייעל את הליך הרכש. במקום שהצרכן יחליט בעצמו מה לרכוש, הוא נעזר בדעת מומחים. מעבדות הבחינה קמו כתחרות לחברות הדירוג כאשר הבידול טמון באמינות ההמלצה. מעבדות אלו, בשונה מחברות הדירוג, טוענות לבחינה טכנית עמוקה של המוצר והמלצה האם הוא תואם להצהרות היצרן.
על אף האמצעים שהתפתחו במטרה להקטין את הפער בין ההשקעה לתוצאה בהליך הרכש אצל הצרכנים, הא-סימטריה בעולם הסייבר בין ההתקפה להגנה נשמרה, והמשיכה לגדול. אמנם הצרכן הפך לחכם יותר, אך ההאקרים בצד השני של המתרס גם החכימו. בכל פעם שמוצר הגנההפריע להם, אלו מצאו דרך לעקוף אותו. כדי להוסיף שמן למדורה, גם הטכנולוגיה התפתחה. שירותי ענן קמו והחלו לקרוא תיגר על הרשתות המסורתיות של הארגונים. במקום שהמידע יהיה במקום ידוע ומתוחם, הוא עלה לענן והתפזר בעולם ברשתות של ספק שירותי הענן. רשתות שלארגון אין שליטה עליהן.
לצד שירותי ענן, טלפונים חכמים נכנסו לשוק. טלפונים אלו הם למעשה מחשבים שיודעים גם להתנהג כטלפון, והמידע של הארגון החל לעלות גם אליהם ולהתפזר לאלפי מקומות שבהם לארגון אין שליטה. הענן והטלפון החכם הם מחשבים של מישהו אחר, וארגונים החלו מאבדים שליטה על המידע שלהם.
בנוסף לאלו, גורם שלישי שנכנס לשוק הוא שירותי ההצפנה. פרוטוקולי הצפנת מידע ברשת האינטרנט כמו HTTPS הפכו נפוצים בקרב דפדפנים. שירותי הודעות מוצפנים כמו ווטסאפ וסיגנל החלו להופיע. מגמה זו אפשרה לתוקפים לפעול בצורה חשאית. יתרה מכך, תפוצת שירותי ההצפנה הכניסה למשוואה מתח בין הרצון השמירה על פרטיות הצרכן/משתמש מול הצורך של הארגונים להגן על המידע שלהם.
הפער בין הגנה להתקפה גדל. הענן, הטלפון החכם וההצפנה העלו את המורכבות ביישום הגנה בסייבר, וההחלטה מה לרכוש הפכה למסובכת יותר. לאור זאת, החלה להשתנות התרבות בעולם הסייבר. ההבנה שאין הגנה הרמטית חלחלה למקבלי ההחלטות והשיח המקצועי סביב הליכי רכש בסייבר נע מניסיון להגן, לניהול סיכונים. הצרכנים החלו להבין שלא ניתן לגשר על הא-סימטריה. ההודאה בכשל שוק הסייבר הביאה להתפתחות תפיסת ניהול הסיכונים העיקריים של הארגון. כפי שהנשיא אובמה התבטא בעבר: 'גדרות גבוהים סביב חצר קטנה'.
היד הנעלמה נעלמת
השאלה מה היא אותה חצר קטנה שרק עליה אפשר וצריך להגן הפכה לקריטית בהליכי רכש בעולם הסייבר. האמצעים שהיו לטובת הצרכנים בשוק כולל האקרים לבנים, חברות דירוג ומעבדות בדיקה, לא היו מותאמים לצורך החדש שנוצר. אלו נבנו עם השנים אל מול השאלה כיצד מצמצמים את הא-סימטריה בין התוקפים להגנה. שאלה טכנית במהותה. אבל השאלה השתנתה. ניהול סיכונים מנסה לפתור שאלה אחרת - כיצד מפסידים פחות כסף. זו א-סימטריה בין השקעה כספית בהגנה להפסד כספי פוטנציאלי מהתקפה.
במקום שאלה טכנית, עולם הסייבר עבר לשאלה של כסף. שאלת 'איך להגן על הארגון', התחלפה בשאלה 'איך הארגון יפסיד פחות'. אמנם שכבת הפתרונות הטכניים שנבנתה במהלך שלושת העשורים האחרונים הכרחית ולא תעלם, אך בעיניים של מקבלי החלטות ברכש הגבינה זזה. נדרשו אמצעים חדשים שיוכלו לעזור לארגון להגדיר סיכונים עסקיים בסייבר.
לצורך שנוצר בשוק נכנסו חברות ביטוח שרוצות לקנות חלק מהסיכון של הארגון. כאשר יש איום שלא ניתן להגן מפניו, יש צורך לקבוע את מידת הנזק שלו. בין שמדובר בגניבת IP על ידי המתחרה, דליפה של פרטי לקוחות, פגיעה במוניטין, כופר או שינוי מידע בנוגע להתנהלות פיננסית של חברה נסחרת בבורסה. בכל המקרים, מדובר בנזק כלכלי שקשה מאד לכמת. לפעמים, מדובר בנזק אין סופי לכאורה. כיצד ניתן לשערך פגיעה במוניטין של חברה מובילה בתחומה? חברות הביטוח מתמודדות עם סיכונים כאלו באמצעות משוואה אקטוארית המבוססת ברובה על נתוני עבר בשוק רלוונטי.
בסייבר אין עדיין מספיק נתוני עבר לגיבוש מודל אקטוארי, אך יש ביקוש רב לביטוח. לכן, קיימת עלייה בהיצע ביטוחי הסייבר שעדיין מבוססת על פוליסות אמורפיות או מוגבלות שמשאירות לחברת הביטוח פתח יציאה במקרה של קטסטרופה. במקביל, חברות הביטוח מנסות לגבש דרכים להתמודד עם האתגר. מדובר בשוק כמעט אין סופי שבו כל חברה בעולם, קטנה, בינונית או גדולה, חשופה להתקפות סייבר. בצורה ישירה, או דרך שרשרת האספקה. חלק מהדרכים כוללות ניטור מתמשך של מערכות ההגנה בארגון, צוות התערבות בעת אירוע סייבר ובחלקמהמקרים שאלון פשוט. תלוי בסכום השיפוי ובארגון.
לצד הביטוח, גורם נוסף שמכתיב לארגון את גבולות ההגנה בסייבר היא הממשלה באמצעות רגולציה. הממשלה, שתפקידה להגן על שגרת החיים במדינה, הגנה באופן מסורתי על תשתיות קריטיות. חשמל, מים, מזון, פיננסים, צבא, משטרה וכו'. המרכיבים העיקריים הדרושים לקיום חיים במדינה. אולם, גם בממשלה נפל האסימון שבסייבר כולם קשורים לכולם. שרשרת האספקה קושרת את כל המשק יחד. האזרחים, המשק העסקי והתשתיות הקריטיות - כולם מחוברים באריג ממוחשב אחד.
תובנה זו גרמה למדינות להתחיל להתערב במרחב הגנה בסייבר. היד הנעלמה שאפיינה עולם זה בעבר, אותה משוואה עצמאית של ביקוש והיצע, לא יכולה להמשיך להתקיים במציאות שבה תפיסת ההגנה כשלה והובילה לתפיסת ניהול סיכונים. לצורך כך, החלו ממשלות להקים מרכזים מדינתיים של הגנה בסייבר שזכו למונח CERT שמנוהל תחת משרד או רשות ממשלתית. באמצעותו, הממשלה עושה שני הליכים עיקריים - ניטור מרחב הסייבר הריבוני וקביעת מדרג חשיבות לניהול סיכונים עבור המשק העסקי.
עבור ארגונים עסקיים וממשלתיים, מדובר בשינוי מהותי בהליך הרכש בסייבר. הבחירה באילו מוצרים ושירותים לבחור תיקבע במידה רבה על ידי שני חלקי המשוואה החדשה - הממשלות וחברות הביטוח. מבחינה כלכלית טהורה, ארגון ישקיע כסף רק בהתמודדות עם סיכונים שיש בהם פוטנציאל הפסד כלכלי הנקבע על ידי הממשלה או חברת הביטוח. מבחינה משפטית וחוקית, ארגון ישקיע כסף איפה שהרגולציה תחייב אותו. בין שמדובר ברגולציה מחייבת או בהמלצה. בין היתר, ניתן למנות את NIST בארה"ב, GDPR באירופה או תורת ההגנה בסייבר של ממשלת ישראל.
יוקר עלות התקיפה
התבגרות, נורמליזציה או כל כינוי אחר שמובדק לשוק מוצרים ושירותים שעובר מהשוליים למרכזה של עקומת גאוס יזכה לתאר את השינוי שעובר על הליך קבלת החלטות רכש של ארגונים עסקיים בתחום הסייבר. ניתן לדמות הליך זה לשולחן פינבול כאשר כדור תקציב הסייבר השנתי של הארגון ינוע בין סנפיר הרגולציה לזה של הביטוח. החלטות יצרני המוצרים והשירותים יתכנסו לתת מענה לדרישות אלו מהצרכנים, כאשר פתרונות שיהיו מחוץ להגדרות הרגולציה או פוליסת הביטוח יהפכו לנישות. אם בכלל ישרדו.
אין ספק כי מדובר בשינוי טקטוני בעולם ההגנה בסייבר שבסופו את עקומת הביקוש תקבע רגולציה ממשלתית ופוליסת ביטוח. מכיוון ששתי הדרישות מטרתן למנוע ככל הניתן נזק כלכלי למשק, שוחרי שיח ההרתעה יוכלו לומר כי מדובר למעשה ביישום הרתעה במניעה בסייבר(deterrence by denial). כלומר, דרישות קשיחות ומחייבות לכלל המשק שמטרתן ייקור עלות התקיפה. אין בכך לומר שלא יהיו תקיפות סייבר, אלא שהצלחתן תעלה לצד התוקף יותר כסף.
