Podle pravidelného, v pořadí již šestnáctého, průzkumu o informační bezpečnosti ve firmách (Global Information Security Survey 2013: Under cyber attack) provedeného poradenskou společností EY, není celých 83 % respondentů plně spokojeno se zajištěním informační bezpečnosti ve své společnosti. 93 % oslovených podniků celosvětově, 82 % v regionu střední Evropy a 84 % českých firem pak hodlá své investice na boj s kybernetickými útoky minimálně zachovat, resp. jejich objem do budoucna ještě navýšit.
Průzkum EY mapuje povědomí společností o dané problematice a všímá si konkrétních opatření, jež firmy na obranu před příslušnými hrozbami přijímají. Celosvětově se ho letos zúčastnilo přes 1 900 vedoucích pracovníků. Z výsledků vyplývá, že ačkoli společnosti do ochrany před počítačovou trestnou činností i nadále investují nemalé prostředky, počet pokusů o narušení zabezpečení vzrůstá a není již otázkou, zda, ale kdy bude podnik počítačovému útoku vystaven.
Téměř 31 % respondentů celosvětově uvádí, že počet bezpečnostních incidentů v rámci jejich organizace v průběhu uplynulých dvanácti měsíců vzrostl nejméně o 5 %. Mnozí jsou si rozsahu i významu současných hrozeb plně vědomi. O tom vypovídá fakt, že v 70 % případů nyní za iniciativy týkající se zabezpečení informací odpovídá přímo management společností.
TOP 5 hrozeb a ohrožení zabezpečení firem v uplynulém roce
|
|
Česká republika |
Střední Evropa |
|
1. |
Kybernetické útoky zaměřené na krádež finančních údajů |
Lehkomyslný přístup či nevědomost zaměstnanců |
|
2. |
Ohrožení zabezpečení související s využíváním mobilních technologií |
Spam |
|
3. |
Kybernetické útoky zaměřené na rušení chodu či poškození podniku |
Kybernetické útoky zaměřené na rušení chodu či poškození podniku |
|
4. |
Podvod |
Ohrožení zabezpečení související s využíváním mobilních technologií |
|
5. |
Zastaralé kontroly či architektura informační bezpečnosti |
Kybernetické útoky zaměřené na krádež finančních údajů |
TOP 5 oblastí, na které se podniky hodlají v oblasti informační bezpečnosti zaměřit jako na hlavní priority v roce 2014
|
|
Česká republika |
Střední Evropa |
|
1. |
Sledování souladu s právními předpisy (compliance) |
Zajištění kontinuity podnikání/zotavení po útoku |
|
2. |
Reakce na výskyt bezpečnostními incidentu |
Implementace standardů zabezpečení |
|
3. |
Zajištění kontinuity podnikání/zotavení po útoku |
Kybernetická rizika |
|
4. |
Správa událostí a incidentů zabezpečení (SIEM) |
Zabránění ztrátám/úniku dat |
|
5. |
Offshoring/outsourcing činností týkajících se zabezpečení včetně rizik spojených s externími dodavateli |
Správa událostí a incidentů zabezpečení (SIEM) |
David Kesl, partner oddělení IT poradenství a řízení technologických rizik společnosti EY v České republice, říká: „Letošní průzkum dokládá snahu firem situaci řešit. Je však zapotřebí dále jednat a to hned. Nelze ovšem přehlédnout, že vrcholovým manažerům již tato problematika není lhostejná. Když jsme průzkum prováděli v roce 2012, žádný z dotazovaných odborníků na informační bezpečnost například nepředkládal zprávy o činnosti svého oddělení přímo vedení podniku, letos tento podíl činí 35 %.“
Čeští bezpečnostní specialisté diskutují otázky týkající se informační bezpečnosti s vedením podniku nejčastěji čtvrtletně (67 % v porovnání s 35 % globálně a 45 % v regionu střední Evropy). Zajímavé je, že zatímco žádný z českých respondentů nereportuje vedení podniků měsíčně, v ostatních zemích střední Evropy je to poměrně běžné (28 %).
„Z hlediska chodu firmy je dnes počítačová kriminalita považována za nejvážnější hrozbu. Ačkoliv se rozpočty na modernizaci zabezpečení přece jen zvyšují – což firmám umožňuje investovat více prostředků do inovačních řešení, která by jim měla pomoci chránit se před dosud neznámými hrozbami – mnozí experti se stále domnívají, že částky vyhrazené na potírání vzrůstajících kybernetických rizik nejsou dostačující,“ dodává Petr Plecháček, senior manažer oddělení IT poradenství a řízení technologických rizik společnosti EY v ČR.
Zajišťování informační bezpečnosti se potýká s nedostatkem prostředků
Přestože by zhruba polovina zúčastněných společností rozpočet na zabezpečení informací v následujícím roce ráda alespoň o 5 % navýšila, poukazuje zároveň 65 % pracovníků na nedostatek prostředků jako na hlavní překážku dosažení takové úrovně opatření, kterou firma očekává. U společností s tržbami 10 mil. USD či méně se toto číslo pohybuje dokonce kolem 71 %.
Z objemu výdajů plánovaných na příští rok je 17 % v České republice, 15 % v regionu střední Evropy a 14 % globálně určeno na inovaci bezpečnostních opatření a moderní technologická řešení. Vzhledem k tomu, jak stávající technologie stále více pronikají do firemních sítí a podnikové kultury vůbec, společnosti musí mít přehled o tom, jakým způsobem zaměstnanci nejrůznější zařízení využívají a to jak na pracovišti, tak v soukromí. To platí zejména v souvislosti se sociálními médii, tedy sféře, s níž se respondenti podle vlastního názoru stále potýkají, jde-li o uchopení konkrétních rizik.
Petr Plecháček vysvětluje: „Společnosti musí hledět více do budoucnosti. Navíc, pokud vynakládají veškerou energii na řešení stávajících technologických problémů, jak se pak budou chránit před technologiemi, které jsou již na obzoru nebo které se teprve objeví? Tápou-li podniky po čtyřech letech intenzivního používání mobilních zařízení v pracovním prostředí, lze předpokládat, že budou čelit značným problémům například v souvislosti s nástupem osobních a hostovaných cloudových služeb.“
Informační bezpečnost vs internetové bankovnictví
Průzkumu informační bezpečnosti se účastnilo mimo jiné také 361 bank. Přibližně 47 % bank v průzkumu uvedlo, že zvýšily náklady na informační bezpečnost za posledních 12 měsíců o více než 5 %. Více než 51 % bank pak plánuje náklady na informační bezpečnost v následujících 12 měsících dále zvýšit o více než 5 %. „Poslední vlny útoků jednoznačně cílí na nejslabší článek v zabezpečení elektronického bankovnictví, kterým jsou neobezřetní klienti bank. Neopatrnost a nedostatečné znalosti jsou nástroji, které organizované skupiny aktuálně využívají k podvodným aktivitám,“ vysvětluje David Kesl.
Chybí kvalifikovaní odborníci
Ačkoliv se odpovědní pracovníci zaměřují na správné priority, nemají mnohdy k dispozici dostatek kvalifikovaných zdrojů, případně se potýkají s neadekvátním přístupem a podporou ze strany vedení, což jim v zajištění příslušných zdrojů brání.
Pomyslné nůžky se tak nadále rozevírají a vzniká převis poptávky nad nabídkou, kdy celá polovina oslovených společností postrádá odborníky, které potřebují, aby mohly informační bezpečnost dále rozvíjet. Zatímco v minulém průzkumu označilo nedostatečné povědomí a podporu managementu za problém pouze 20 % participantů, vyšplhala se tato hodnota nyní na 31 %.
„Problém, jak se vypořádat s chybějícími odborníky, řeší firmy na celém světě. V Evropě je situace umocněna tím, že expertů, o něž se přetahují veřejný a podnikatelský sektor, je navíc velmi málo. Přestože tedy firmy mají ve volbě priorit jasno, jsou ve svých možnostech často omezovány nedostatkem zkušených pracovníků,“ uvádí Petr Plecháček.
„Je nutné, aby firmy převzaly iniciativu a podpora bezpečnostních opatření našla adekvátní odezvu u členů managementu. Musí se zvýšit povědomí pracovníků o dané problematice, odpovídající rozpočty i množství prostředků vynakládaných na modernizaci uplatňovaných řešení. Tempo technologického vývoje nadále jen poroste – stejně jako související kybernetická rizika. Pokud se o ně začneme zajímat příliš pozdě, poskytneme útočníkům výhodu, kterou mohou zneužít k ohrožení samotné podstaty existence podniku,“ dodává David Kesl.
Podrobnější informace a verzi zprávy ke stažení naleznete na webové adrese www.ey.com/GISS.
