Technology Risk Managment Forum – to jedyna w Polsce międzynarodowa konferencja poświęcona wyłącznie tematyce ryzyka technologicznego dla profesjonalistów odpowiedzialnych za bezpieczeństwo informacji w przedsiębiorstwach oraz za zarządzanie ryzykiem technologicznym. Głównym jej celem było podzielenie się i przekazanie  profesjonalnej wiedzy dużym organizacjom chcącym świadomie zarządzać ryzykiem technologicznym i wprowadzać innowacyjne rozwiązania, które pozwolą zmierzyć się z wyzwaniem, jakim jest współczesny wymiar bezpieczeństwa technologicznego.

Przez dwa dni (7-8 września 2016 r.) 31 polskich i zagranicznych ekspertów – na co dzień zajmujących się ryzykiem technologicznym w największych firmach w Polsce i na świecie – dzieliło się swoją wiedzą  na temat ryzyka technologicznego, aktualnych zagrożeń w cyberprzestrzeni i skutecznych metod obrony przed nimi, zachęcając do innowacji i automatyzacji przy zapewnianiu bezpieczeństwa. Gościem specjalnym konferencji był Stefan Vogt, CISO i szef zarządzania ryzykiem IT w Credit Suisse, jedna z najważniejszych osób ds. cyberbezpieczeństwa w świecie korporacyjnego IT.

Forum – łącząc tradycję z nowoczesnością – zgromadziło ponad 160 uczestników w zabytkowym budynku Naczelnej Organizacji Technicznej NOT we Wrocławiu. Wśród nich byli  przedstawicieli dużych organizacji, w tym: CISO/CSO, audytorzy bezpieczeństwa IT, eksperci bezpieczeństwa informacji, menedżerowie i specjaliści z działów zarządzania ryzykiem, eksperci odpowiedzialni za zarządzanie kryzysowe i ciągłość działania oraz eksperci IT Governance.

W ramach forum odbyło się kilka debat koncentrujących się na największych wyzwaniach stojących przed osobami odpowiedzialnymi za określanie ryzyka technologicznego oraz bezpieczeństwo informacji w firmach i instytucjach. Panele dyskusyjne zastąpiono wielotematycznymi dyskusjami  przy okrągłych stołach. Uczestnicy mogli wziąć udział w dwóch rundach roundtables (dwa razy po 8 tematów), prowadzonych przez najlepszych fachowców w swoich dziedzinach, które stwarzały okazje do wymian opinii i doświadczeń oraz pomagały w nawiązywaniu bezpośrednich relacji. Liderzy roundtables w drugim dniu konferencji zaprezentowali najważniejsze wnioski i krótkie podsumowania z prowadzonych przez siebie sesji, a także praktyczne zalecenia dla odpowiadających za bezpieczeństwo IT w organizacjach. Efektywność bezpieczeństwa IT można podnieść poprzez dzielenie się wiedzą i wspólne działanie – zgodnie podkreślali prelegenci.

a

Prezentacje, debaty i dyskusje umożliwiły  szersze spojrzenie na kontekst najważniejszych zagrożeń stojących przed współczesną organizacją oraz na kierunki działań zmierzające do poprawy jej bezpieczeństwa – z punktu widzenia identyfikacji i świadomego zarządzania potencjalnymi ryzykami.

– Zawsze mamy deficyt w reagowaniu na zagrożenia. Wszystkie firmy z listy Fortune 500 doświadczyły ataków hakerskich – przypomniał  Ramy Houssaini, wiceprezes BT Security Europe i wyjaśnił dlaczego cyber zabezpieczenia zawodzą:  bo często brakuje wyobraźni, systemy są zbyt złożone i rozproszone globalnie, z powodu pasywnych metod obrony  i niedostatecznej współpracy. Potrzebne jest ofensywne podejście – rozpoznawanie i przewidywanie potencjalnych zagrożeń, co umożliwiają tzw. predyktywne technologie. Przy wypracowywaniu skutecznej ochrony danych i sieci bardzo przydaje się analiza big data (np. przy wykrywaniu anomalii), telemetria i automatyzacja odpowiedzi na atak. –Nie budujcie kolejnych linii Maginota! – przestrzegał ekspert BT ds. bezpieczeństwa. Statyczny model ochrony należy zastępować dynamicznym, stale rekonfigurując swoje systemy obronne. Trzeba stać się ruchomym celem dla napastników stosując aktywną obronę.  My pierwsi musimy dopaść hakera zanim on uderzy w nas! Potrzebna jest innowacyjność i regularna zmiana taktyk ochrony zasobów firmowych.

Najważniejsze wnioski z prelekcji, debat i sesji roundtables: 

• W erze cyfryzacji nie ma możliwości, żeby biznes i IT były osobno, gdyż dzielą wspólne ryzyka.
• Skuteczne zarządzanie ryzykiem (zarówno technologicznym, jak i biznesowym) wymaga poprawy komunikacji i lepszego zrozumienia między IT a biznesem.
• Ryzyko technologiczne ma ogromny wpływ na reputację przedsiębiorstwa.
• Złożoność (skomplikowanie kodów) jest największym wrogiem bezpieczeństwa.
• Przestępca jak każdy biznesmen liczy ROI, dlatego atak musi być dla niego ekonomicznie opłacalny.
• Zgodnie podkreślano potrzebę wprowadzania innowacyjności przy zapewnieniu bezpieczeństwa.
• Trzeba umieć rozpoznać wroga, jego intencje i zasoby, żeby wiedzieć przed kim i czym sie bronić.
• Zarządzanie ryzykiem technologicznym to obszar bardzo szybkiego rozwoju w nowoczesnych przedsiębiorstwach.
• Pojawianie się na rynku ofert ubezpieczeniowych dla firm uwzględniających ryzyko technologiczne pozwala zwrócić uwagę na nowe problemy.
• Ryzyka nie da się ocenić, można co najwyżej je oszacować.

źródło http://it-filolog.pl

Wciąż jest wiele mitów na temat chmury w kontekście bezpieczeństwa danych. Wynikających najczęściej z niewiedzy. Prawda jest taka, że – jeśli chodzi o ataki i zagrożenia – nasza chmura może służyć do minimalizowania ryzyka w IT – mówią Piotr Boniński i Michał Furmankiewicz, architekci rozwiązań chmurowych w firmie Microsoft.

Piotr Boniński i Michał Furmankiewicz, architekci rozwiązań chmurowych w firmie Microsoft wystąpili podczas konferencji Technology Risk Management Forum, która odbyła się w dniach 7-8 września 2016 r. we Wrocławiu. To jedyne wydarzenie w Polsce poświęcone wyłącznie tematyce ryzyka technologicznego i potrzebie innowacji w zapewnieniu bezpieczeństwa. Konferencja adresuje potrzeby dużych organizacji, które chcą świadomie zarządzać ryzykiem technologicznym. Firma Microsoft Polska jest partnerem generalnym konferencji.

Chmura i bezpieczeństwo… to chyba niełatwy temat do rozmów z klientami?

Piotr Boniński: Wciąż jeszcze u wielu klientów panuje przekonanie, że chmura jest czymś nie dla nich, bo wnosi zbędne ryzyko, którego nie mają zamiaru podejmować. Mówią, że dobrze im tak, jak jest. A wejście w chmurę, to otwarcie drzwi do problemów, których chcą uniknąć. Tymczasem jest zupełnie odwrotnie, ryzykiem jest brak zainteresowania chmurą i ignorowanie nowego trendu. Chmura w rzeczywistości może poprawić poziom bezpieczeństwa i zmniejszyć ryzyka w najróżniejszych aspektach działania IT.

Czy niechęć do chmury nie wynika z obaw dotyczących utraty kontroli nad IT?

Michał Furmankiewicz: W dużo większym stopniu wynika z całkowitej niewiedzy na jej temat. A nie lubimy a wręcz boimy się rzeczy, których nie znamy. I to przede wszystkim lęk decyduje o tym, że odbiór chmury w Polsce jest taki, jaki jest.

PB: Chmura jest pewną utratą kontroli nad IT. Ale czy tak istotne jest kontrolowanie tego, jakiego rodzaju dyski zostaną użyte w serwerach? Stosowane od lat tradycyjne IT jest lepiej lub gorzej poznane w kategoriach ryzyka. Chmura jest dla wielu niewiadomą. Gdy się nie dowiemy, co można zyskać przechodząc do chmury, to widzimy tylko ten ów brak kontroli –  nad danymi, nad sprzętem. Stąd rodzą się obawy nawet o utratę pracy. Działy IT boją się, że przestaną być potrzebne. Teraz wymieniają dyski, zarządzają wirtualizacją, robią wiele rzeczy, a po przejściu do chmury wszystko będzie automatyczne.

Zupełnie nie mają racji?

MF: To naturalne, że będą robić inne rzeczy, ale utrata pracy najczęściej im nie grozi. Wyniki różnych niezależnych badań pokazują, że w zdecydowanej większości przypadków wdrożenie chmury nie prowadzi do zmian w zatrudnieniu, w pewnej części nawet je zwiększa. Tylko w nielicznych przypadkach wiąże się ze redukcją personelu, ale najczęściej tego, który wykonywał dotychczas jedynie najprostsze czynności, takie jak wspomniana wymiana dysków.

Czego więc potencjalni użytkownicy nie wiedzą o chmurze?

MF: Jest wiele mitów na temat chmury. Najczęściej powtarzanym jest: „nie wiem, gdzie są moje dane”. Prawda jest taka, że przynajmniej w przypadku największych dostawców chmury doskonale wiemy, gdzie są nasze dane. Są w konkretnych lokalizacjach, możemy to skontrolować. Nawet z pomocą audytora, który sprawdzi, czy określone porcje danych są tam, gdzie być powinny – na obszarze Unii Europejskiej albo – co bywa dzisiaj ważniejsze – wewnątrz Europejskiego Obszaru Gospodarczego. Co więcej, sami zdecydujemy, czy chcemy je tam umieścić, czy mają mieć kopie w innym data center na terenie Unii. To samo dotyczy nie tylko danych, ale także usług. Co do obaw związanych z GIODO, to ten organ wypowiedział się już na temat m.in. naszej chmury, że są spełnione zasady przechowywania danych personalnych zgodnie z postanowieniami Unii Europejskiej.

PB: W dodatku chmura obliczeniowa to bardzo pojemne pojęcie. Dropbox to też chmura, jednak zupełnie inna niż platforma, którą jest Azure. Usługi dla biznesu mają zupełnie inną specyfikę i normy prawno-techniczne niż usługi dla użytkownika indywidualnego. Choć bywa, że jest stawiany pomiędzy nimi znak równości, to różnica jest gigantyczna. Dlatego informacji o wycieku danych z popularnych serwisów konsumenckich, które mają nieporównywalnie inny poziom zabezpieczeń, nie można łączyć z chmurą dla biznesu, obudowaną całą masą certyfikatów i umów podpisywanych z dostawcą.

Samo obalenie mitów nie wystarczy. Trzeba jeszcze pokazać korzyści niedostępne dla kogoś korzystającego tylko z lokalnej infrastruktury. Co daje chmura w kwestii bezpieczeństwa?

PB: Całe mnóstwo rzeczy, na wymienianie których nie starczyłoby nam czasu. Wynikają one przede wszystkim z elementu skali. Nasza chmura jest globalna – to kilkadziesiąt ośrodków połączonych gigantycznymi łączami telekomunikacyjnymi. Te całe mnóstwo infrastruktury jest oczywiście nieustannie celem ataku cyberprzestępców i siłą rzeczy musimy umieć się bronić, żeby wszystko działało sprawnie. Efektem tego jest stale powiększające się doświadczenie i gigantyczna ilość danych, wykorzystywanych nie tylko do ochrony infrastruktury, ale także udostępnianych klientom. Raporty o próbach logowania się z niestandardowych lokalizacji, atakach z wykorzystaniem botnetów czy darknetu albo informacje z monitoringu forów cyberprzestępców to pierwsze z brzegu przykłady. Efekt skali chmury ma też wielkie znaczenie przy obsłudze wydarzeń publicznych, gdzie na krótki czas potrzebujemy rozwiązanie zapewniające dużą skalowalność i jednocześnie bezpieczeństwo, ze względu na duże ryzyko cyberataku. Dobrym pomysłem jest wtedy wykorzystanie usług z chmury i zapewnienie takiego poziomu bezpieczeństwa informatycznego, który w innym przypadku wymagałby dużej ilości infrastruktury zakupionej na coś, co będzie trwać jedynie 2-3 dni. W tym wypadku mówimy o tradycyjnym bezpieczeństwie, w tym ochronie anty-DDoS czy systemach IPS, ale w dużej skali.

MF: Możemy eliminować ataki na klienta, przenosząc je na dostawcę chmury. To chmura staje się pierwszym celem ataku i dopiero wtedy, gdy ruch jest już przesiany i bezpieczny, dociera do klienta. Lokalni operatorzy mogą zapewniać tego rodzaju usługę, ale nie w takiej skali jak nasza. Wyobraźmy sobie też sytuację, gdy bank chce udostępnić swoim klientom aplikację, przez którą będzie można przesłać zdjęcia. Pierwszym pomysłem kogoś, kto będzie chciał skompromitować nową usługę, to próba podrzucenia pornografii czy innych niedopuszczalnych treści. Chmura dysponuje inteligencją potrzebną do analizowania treści i określenia poziomu ich szkodliwości. Stworzenie takiej usługi we własnym centrum danych może być zbyt trudne albo wiązać się ze stratą czasu i zbyt dużymi kosztami.

A gdy ktoś zdecyduje się na przeniesienie usług do chmury, to może przestać martwić się o ich bezpieczeństwo?

MF: Chmura to model współdzielonej odpowiedzialności. Do pewnego stopnia my odpowiadamy, ale za swoją część odpowiada klient. Jeśli źle zaprojektował swoją usługę, to trudno by dostawca chmury brał to na siebie. W chmurze są mechanizmy, także nieodpłatne, które mogą ostrzegać klienta o błędach, generując komunikaty typu „źle zabezpieczyłeś swoją sieć, wpuszczasz cały ruch – nie rekomendujemy tego” albo „twoje maszyny wirtualne nie są zaktualizowane, zalecamy aktualizację”. Po analizie może się też okazać, że do bazy klienta ma dostęp trzydzieści osób, więc zostanie on poinformowany, że to nie jest najlepszy sposób zabezpieczania zasobów. W ten sposób chcemy przekazywać najlepsze praktyki klientom.

PB: Zakresy naszej odpowiedzialności i klienta wynikają ze specyfiki wykorzystywanych usług. W IaaS odpowiedzialność klienta zaczyna się już od systemu operacyjnego, czyli jest duża. Możemy coś zarekomendować, ale jeśli klient nie będzie chciał z naszej rady skorzystać, to tego nie zrobi. W PaaS mamy gotowe usługi infrastrukturalne, takie jak np. serwer SQL czy aplikacyjny „as a service”. W tym wypadku oferowana jest gotową funkcjonalność o dobrze zdefiniowanych parametrach. Klient zasili ją danymi, do pewnego stopnia skonfiguruje, ale za aktualizowanie serwera i wbudowane w usługę mechanizmy, takie jak np. backup, odpowiada już dostawca chmury. I właśnie to jest – jak często powtarza Michał –  prawdziwa chmura, bo IaaS, czyli maszyny wirtualne w chmurze, nie dają tak jak PaaS nowej jakości użytkownikowi. Wreszcie jest SaaS, czyli oprogramowanie dla końcowego użytkownika, takie jak Office czy poczta elektroniczna w chmurze, z najmniejszym poziomem konfiguracji i odpowiedzialności użytkownika.

A co się dzieje, gdy usługa z dużym poziomem odpowiedzialności dostawcy chmury, czyli PaaS albo SaaS, jednak zostanie skompromitowana?

PB: Mógłbym odpowiedzieć, że nie wiemy, bo to się jeszcze nie wydarzyło… Mówimy o chmurze dla przedsiębiorstw. Skorzystanie z Azure wiąże się z umową wypełnioną wieloma punktami o odpowiedzialności Microsoftu, które na poziomie prawnym odpowiadają na wiele sytuacji. To jest właśnie ta różnica w porównaniu z konsumenckimi usługami chmurowymi.

MF: Jeśli już dochodzi do kompromitacji, to jej najbardziej prawdopodobną przyczyną jest przypadkowa utrata danych uwierzytelniających. Przykładowo ktoś chcący podzielić się swoim kodem wrzuca go na portal w rodzaju GitHub, ale wraz ze swoimi kluczami dostępowymi do chmury. Wtedy napastnik nie musi nawet się włamywać. Ponieważ trudno przewidzieć takie sytuacje, to chmura przed nimi nie jest w stanie się obronić, ale pomocą mogą być wspomniane mechanizmy kontroli logowania.

Jeśli więc klient pyta, jak bezpieczna jest wasza chmura, to co mu odpowiadacie?

MF: Można to pytanie odwrócić i poprosić go, by pomyślał, jak chronione jest jego data center. My w tej chwili mamy ponad czterdzieści różnych certyfikacji światowych, które są odnawiane dwa razy w roku. Nie sposób wyobrazić sobie 40 audytorów wchodzących co 6 miesięcy do centrum danych jakiegoś przedsiębiorstwa. Zwykle audytor odwiedza je raz na rok lub dwa lata, czasem nawet rzadziej. Ponieważ Microsoft z chmury zrobił swój podstawowy biznes, to musi zabezpieczyć przed wszystkimi sytuacjami, o jakich rozmawiamy. Nie ma innego wyjścia.

Cyberryzyka z perspektywy Enetrprise Risk Management
Sławomir Pijanowski, POLRISK

Nie da się oddzielić technologicznych ryzyk od biznesowych. Ryzyko technologiczne ma bardzo duży wpływ na reputację firm, dlatego powinniśmy świadomie zarządzać ryzykiem w obszarze technologii IT i bezpieczeństwa – włączać cyberryzyka do całościowego systemu zarządzania ryzykiem w przedsiębiorstwie (ERM). Ubezpieczenia od skutków włamań i naruszeń cyberbezpieczeństwa to nowy trend, który wymusi profesjonalizację zarządzania ryzykiem technologicznym w przedsiębiorstwach.

Taking the offensive next generation cyber defenders
Ramy Houssaini, BT Security Europe

Nie budujcie kolejnych pasywnych linii Maginota! Statyczny model ochrony należy zastępować ofensywnym i dynamicznym, stale rekonfigurując swoje systemy obronne. Trzeba stać się ruchomym celem dla napastników stosując aktywną obronę.  Potrzebne jest ofensywne podejście, rozpoznawanie i przewidywanie potencjalnych zagrożeń, co umożliwiają tzw. predyktywne technologie. My pierwsi musimy dopaść hakera, zanim on uderzy w nas! Potrzebna jest innowacyjność i regularne zmienianie  taktyk ochrony.

Wyzwania i praktyczne rozwiązania w zarządzaniu ryzykiem z obszaru cyberbezpieczeństwa
Aleksander Ludynia, EY

Zidentyfikowanie i zrządzanie ryzykiem IT to niełatwe zadanie wymagające – oprócz szerokiej wiedzy i umiejętności analiz – zastosowania różnych metod i narzędzi. Musi uwzględniać różnorodność, zasięg i charakter ryzyk. Ważne jest rozumienie zagrożeń – rozeznanie, kto może zaatakować, co może pójść źle, a także oszacowanie prawdopodobieństwa incydentu, który może się wydarzyć, oraz przewidzenie konsekwencji zdarzenia.

Fireside chat: Stefan Vogt, Credit Suisse

Globalny CISO i szef zarządzania ryzykiem IT w grupie finansowej Credit Suisse podkreślał ogromną potrzebę innowacji w świecie cybersecurity i bezpieczeństwa informacji.  Rozwój i dojrzewanie technologii chmurowych oraz platform IoT (Internet of Things) wyzwolą innowacyjność w obszarze bezpieczeństwa. Ważne, aby rozumieć grę prowadzoną z cyberprzestępcą. Przed specjalistami od bezpieczeństwa IT jest świetlana przyszłość – zapewniała jedna z najważniejszych osób ds. cybersecurity w świecie korporacyjnego IT.

Zarządzanie ryzykiem technologicznym w czasach zarazy
Patryk Gęborys i Łukasz Ślęzak, PwC

Żeby skutecznie zarządzać bezpieczeństwem i ryzykiem trzeba dobrze znać swoje zasoby oraz wiedzieć, jakie zagrożenia mogą w ich kontekście wystąpić. Znaj swoje środowisko, zabezpieczaj i monitoruj, ufaj i kontroluj, znaj swojego wroga i bądź przygotowany – te zasady to klucz do sukcesu w zarządzaniu bezpieczeństwem i ryzykiem IT.

Jak ugryźć Business Information Security?
Bart Kulach, Nationale Niderlanden

Sprawdź, zanim zaufasz! Nie ograniczaj się tylko do przykładowych, standardowych lub ramowych zagrożeń, lecz przygotuj się i przewiduj  zagrożenia, które mogą dotyczyć konkretnej organizacji. Skoncentruj się na efektywności kontroli, a nie tylko na jej istnieniu i projektowaniu.

Think and Act Like a Hacker to Protect Your Company’s Assets
Kamil Bączyk, CQURE

Najlepszą obroną jest atak. Myśl i działaj jak haker, żeby ochronić zasoby swojej firmy. Przyjmij perspektywę napastnika – masz wówczas szansę dostrzec słabe punkty w swoich systemach ochrony. Hakerzy odnoszą sukcesy, bo ludzie na ogół lubią „drogę na skróty”, mają złe nawyki, ignorują trudne problemy, a działanie jest łatwiejsze niż planowanie.

Ransomware w firmie
Jarosław Sordyl, Secons Konsultacje IT

Ransomware w firmach jest obecnie największym i najgroźniejszym zagrożeniem. Możemy spodziewać się dalszego wzrostu liczby i skali ataków na firmy i organizacje w celu wymuszania okupów. Oprogramowanie ransomware można obecnie w Sieci łatwo kupić albo skorzystać z modelu usługowego RaaS (Ransomware as a Service). Atak może zostać skierowany nie tylko na systemy IT, lecz także na telewizory (Smart TV), smartwatche, inteligentne domy (np. czujniki temperatury) czy samoprowadzące samochody.

Praktyczne podejście do bezpieczeństwa informacji metody budowania świadomości w organizacji
Przemysław Szczurek, TUV NORD Polska

Nauczmy pracowników czujności. Zwiększajmy u nich świadomość zagrożeń poprzez: informowanie o aktualnych najgroźniejszych i najbardziej prawdopodobnych zagrożeniach i ich skutkach dla firmy, oraz uczulanie na zachowanie bezpieczeństwa informacji firmowych poza godzinami pracy.

Spear phishing czy da się znaleźć igłę w stogu siana?
Grzegorz Banasiak, Solutions Architect, Cloudmark

90% zaawansowanych ataków zaczyna się od phishingowych e-maili. Jedną z bardziej efektywnych technik ataku jest spear phishing, polegający na przygotowaniu sprofilowanej wiadomości przeznaczonej dla konkretnego odbiorcy. System wykrywający spear phishing powinien: chronić przed atakami opartymi na plikach zawierających zwykły tekst, wykrywać tzw. cousin domains,  chronić przed podszywaniem się pod inne osoby, zawierać funkcje interpretowania treści i heurystyczne, oraz wykrywać język phishingowy i taktyki socjotechniczne.

Wyzwania we wdrożeniu jednolitego rozporządzenia o ochronie danych. Dlaczego już teraz trzeba się przygotować
Beata Marek, Cyberlaw

Proces wdrażania ścisłych zasad rozporządzenia UE o ochronie danych osobowych w każdej organizacji nie będzie łatwy (tzw. RODO, które wejdzie w życie od 25 maja 2018 r.). Ułatwieniem może być dobór właściwych technologii, trzymanie się procedur i wymogów compliance z jednoczesnym zachowaniem odpowiedniego podejścia do kwestii zarządzania ryzykiem. Ochronę danych w ramach nowego podejścia należy postrzegać jako proces podlegający ciągłym zmianom, dostosowany do ryzyka.

Laboratorium Analiz Ataków Cybernetycznych
Ppłk. Bartosz Jasiul, Wojskowy Instytut Łączności

Ryzyka nie da się ocenić, można co najwyżej je oszacować.

Dyskusja panelowa: Jak nie przegrać tej wojny?

Wybrane głosy z panelu: brakuje rzetelnych informacji o incydentach i atakach; trwa kryzys zaufania między organizacjami; przestępcy zwykle wyprzedzają nas – stąd potrzeba innowacyjności; ważne jest nie tylko zapobieganie włamaniom, ale ochrona reputacji; złożoność (skomplikowanie kodów) jest największym wrogiem bezpieczeństwa. Nie da się stworzyć w pełni bezpiecznego oprogramowania, a krajobraz zagrożeń wciąż się zmienia. Przestępca jak każdy biznesmen liczy ROI, dlatego atak musi być dla niego ekonomicznie opłacalny. Trzeba umieć rozpoznać wroga, jego intencje i zasoby, żeby wiedzieć przed kim i przed czym się bronić.