14 Listopad 2013

cyberPodle pravidelného, v pořadí již šestnáctého, průzkumu o informační bezpečnosti ve firmách (Global Information Security Survey 2013: Under cyber attack) provedeného poradenskou společností EY, není celých 83 % respondentů plně spokojeno se zajištěním informační bezpečnosti ve své společnosti. 93 % oslovených podniků celosvětově, 82 % v regionu střední Evropy a 84 % českých firem pak hodlá své investice na boj s kybernetickými útoky minimálně zachovat, resp. jejich objem do budoucna ještě navýšit.

Průzkum EY mapuje povědomí společností o dané problematice a všímá si konkrétních opatření, jež firmy na obranu před příslušnými hrozbami přijímají. Celosvětově se ho letos zúčastnilo přes 1 900 vedoucích pracovníků. Z výsledků vyplývá, že ačkoli společnosti do ochrany před počítačovou trestnou činností i nadále investují nemalé prostředky, počet pokusů o narušení zabezpečení vzrůstá a není již otázkou, zda, ale kdy bude podnik počítačovému útoku vystaven.
Téměř 31 % respondentů celosvětově uvádí, že počet bezpečnostních incidentů v rámci jejich organizace v průběhu uplynulých dvanácti měsíců vzrostl nejméně o 5 %. Mnozí jsou si rozsahu i významu současných hrozeb plně vědomi. O tom vypovídá fakt, že v 70 % případů nyní za iniciativy týkající se zabezpečení informací odpovídá přímo management společností.

► Šéfové firem konečně přestali hackerské útoky a další kybernetická rizika podceňovat
► 84 % českých podniků v uplynulém roce zachovalo, případně navýšilo rozpočet na zajištění bezpečnosti v oblasti IT; nedostatek prostředků je i tak největší překážkou účinné ochrany
► Zabezpečení informací odpovídá požadavkům firem celosvětově pouze v 17 % případů
► České firmy považují za největší hrozbu kybernetické útoky zaměřené na krádež finančních údajů, respondenti z ostatních zemí střední Evropy se více obávají lehkomyslného přístupu či nevědomosti zaměstnanců
► Boj proti kybernetickým útokům je komplikován nedostatkem kvalifikovaných pracovníků, zejména v Evropě

David Kesl, partner oddělení IT poradenství a řízení technologických rizik společnosti EY v České republice, říká: „Letošní průzkum dokládá snahu firem situaci řešit. Je však zapotřebí dále jednat a to hned. Nelze ovšem přehlédnout, že vrcholovým manažerům již tato problematika není lhostejná. Když jsme průzkum prováděli v roce 2012, žádný z dotazovaných odborníků na informační bezpečnost například nepředkládal zprávy o činnosti svého oddělení přímo vedení podniku, letos tento podíl činí 35 %."
Čeští bezpečnostní specialisté diskutují otázky týkající se informační bezpečnosti s vedením podniku nejčastěji čtvrtletně (67 % v porovnání s 35 % globálně a 45 % v regionu střední Evropy). Zajímavé je, že zatímco žádný z českých respondentů nereportuje vedení podniků měsíčně, v ostatních zemích střední Evropy je to poměrně běžné (28 %).
„Z hlediska chodu firmy je dnes počítačová kriminalita považována za nejvážnější hrozbu. Ačkoliv se rozpočty na modernizaci zabezpečení přece jen zvyšují – což firmám umožňuje investovat více prostředků do inovačních řešení, která by jim měla pomoci chránit se před dosud neznámými hrozbami – mnozí experti se stále domnívají, že částky vyhrazené na potírání vzrůstajících kybernetických rizik nejsou dostačující," dodává Petr Plecháček, senior manažer oddělení IT poradenství a řízení technologických rizik společnosti EY v ČR.
Zajišťování informační bezpečnosti se potýká s nedostatkem prostředků
Přestože by zhruba polovina zúčastněných společností rozpočet na zabezpečení informací v následujícím roce ráda alespoň o 5 % navýšila, poukazuje zároveň 65 % pracovníků na nedostatek prostředků jako na hlavní překážku dosažení takové úrovně opatření, kterou firma očekává. U společností s tržbami 10 mil. USD či méně se toto číslo pohybuje dokonce kolem 71 %.
Z objemu výdajů plánovaných na příští rok je 17 % v České republice, 15 % v regionu střední Evropy a 14 % globálně určeno na inovaci bezpečnostních opatření a moderní technologická řešení. Vzhledem k tomu, jak stávající technologie stále více pronikají do firemních sítí a podnikové kultury vůbec, společnosti musí mít přehled o tom, jakým způsobem zaměstnanci nejrůznější zařízení využívají a to jak na pracovišti, tak v soukromí. To platí zejména v souvislosti se sociálními médii, tedy sféře, s níž se respondenti podle vlastního názoru stále potýkají, jde-li o uchopení konkrétních rizik.
Petr Plecháček vysvětluje: „Společnosti musí hledět více do budoucnosti. Navíc, pokud vynakládají veškerou energii na řešení stávajících technologických problémů, jak se pak budou chránit před technologiemi, které jsou již na obzoru nebo které se teprve objeví? Tápou-li podniky po čtyřech letech intenzivního používání mobilních zařízení v pracovním prostředí, lze předpokládat, že budou čelit značným problémům například v souvislosti s nástupem osobních a hostovaných cloudových služeb."

Informační bezpečnost vs internetové bankovnictví
Průzkumu informační bezpečnosti se účastnilo mimo jiné také 361 bank. Přibližně 47 % bank v průzkumu uvedlo, že zvýšily náklady na informační bezpečnost za posledních 12 měsíců o více než 5 %. Více než 51 % bank pak plánuje náklady na informační bezpečnost v následujících 12 měsících dále zvýšit o více než 5 %. „Poslední vlny útoků jednoznačně cílí na nejslabší článek v zabezpečení elektronického bankovnictví, kterým jsou neobezřetní klienti bank. Neopatrnost a nedostatečné znalosti jsou nástroji, které organizované skupiny aktuálně využívají k podvodným aktivitám," vysvětluje David Kesl.
Chybí kvalifikovaní odborníci
Ačkoliv se odpovědní pracovníci zaměřují na správné priority, nemají mnohdy k dispozici dostatek kvalifikovaných zdrojů, případně se potýkají s neadekvátním přístupem a podporou ze strany vedení, což jim v zajištění příslušných zdrojů brání.
Pomyslné nůžky se tak nadále rozevírají a vzniká převis poptávky nad nabídkou, kdy celá polovina oslovených společností postrádá odborníky, které potřebují, aby mohly informační bezpečnost dále rozvíjet. Zatímco v minulém průzkumu označilo nedostatečné povědomí a podporu managementu za problém pouze 20 % participantů, vyšplhala se tato hodnota nyní na 31 %.
„Problém, jak se vypořádat s chybějícími odborníky, řeší firmy na celém světě. V Evropě je situace umocněna tím, že expertů, o něž se přetahují veřejný a podnikatelský sektor, je navíc velmi málo. Přestože tedy firmy mají ve volbě priorit jasno, jsou ve svých možnostech často omezovány nedostatkem zkušených pracovníků," uvádí Petr Plecháček.
„Je nutné, aby firmy převzaly iniciativu a podpora bezpečnostních opatření našla adekvátní odezvu u členů managementu. Musí se zvýšit povědomí pracovníků o dané problematice, odpovídající rozpočty i množství prostředků vynakládaných na modernizaci uplatňovaných řešení. Tempo technologického vývoje nadále jen poroste – stejně jako související kybernetická rizika. Pokud se o ně začneme zajímat příliš pozdě, poskytneme útočníkům výhodu, kterou mohou zneužít k ohrožení samotné podstaty existence podniku," dodává David Kesl.
Podrobnější informace a verzi zprávy ke stažení naleznete na webové adrese:

www.ey.com/GISS