Největší hrozbou pro bezpečnost firemních informačních systémů je internet a vlastní zaměstnanci. Vyplynulo to z průzkumu, který zpracovaly Ernst & Young, časopis DSM – data security management a Národní bezpečnostní úřad. Nejlépe mají informace zabezpečeny banky a finanční instituce. Z výzkumu také vyplynulo, že s velikostí firmy roste význam, který podniky informační bezpečnosti přikládají.
Z Průzkumu stavu informační bezpečnosti v ČR 2003 vyplynulo, že největší váhu přisuzují informační bezpečnosti banky a finanční instituce, kde velký význam této problematice přikládá 93 % respondentů. Zřejmě i proto banky a finanční instituce vykazují nejlepší výsledky takřka ve všech sledovaných oblastech informační bezpečnosti, mezi něž patří například existence bezpečnostní politiky, připravené plány obnovy funkčnosti informačních systémů či vyhrazený rozpočet na informační bezpečnost. Jen ve využívání a plánovaném využívání elektronického podpisu obsadily banky a finanční instituce druhou příčku a předstihly je firmy z oblasti telekomunikací a IT. Nejmenší důležitost své informační bezpečnosti přikládají podniky působící v elektrotechnice, strojírenství a dřevozpracujícím průmyslu.
„Povědomí o bezpečnosti informačních systémů v ČR stagnuje. Jediný nárůst zaznamenává oblast zabezpečení internetu. Zde 88 % firem používá firewall, zatímco před dvěmi lety to bylo 76 % a v roce 1999 jen 52 %,“ uvedl Martin Smekal, partner zodpovědný za služby podnikatelského poradenství firmy Ernst & Young. „Antivirové programy letos využívalo 84 % firem, což představuje 16% nárůst oproti roku 2001 a 50% nárůst ve srovnání s rokem 1999,“ dodal Martin Smekal.
Viktor Seige, člen redakční rady časopisu DSM, připojuje: „Nově byly do průzkumu zařazeny otázky, které měly napomoci odhalit, kdo je typický pracovník v oblasti informační bezpečnosti v ČR. Průzkum naznačuje, že se ve většině případů jedná o lidi spíše technologicky orientované, kteří dobře rozumí problematice bezpečnosti. Bohužel, ale postrádají některé důležité manažerské schopnosti, k čemuž přispívá i neodpovídající finanční ohodnocení. Znalost finančního řízení, prezentační dovednosti a schopnost efektivní komunikace s vedením organizace patří mezi jejich nejvíce postrádané schopnosti.“
Takřka každý druhý podnik se v uplynulých dvou letech setkal s bezpečnostním incidentem v oblasti informačních systémů s přímými finančními dopady. Konkrétně se jedná o 49 % firem. Nejčastějšími bezpečnostními incidenty byly výpadky proudu, které postihly 89 % firem. Druhou příčku obsadily počítačové viry, s nimiž se setkalo 79 % firem. Počítačové viry ovšem zaznamenaly klesající trend oproti předchozím letům. Třetím nejčastějším narušením informační bezpečnosti byly poruchy hardware, které zasáhly 77 % podniků.
Popularitu si mezi českými firmami získává elektronický podpis. V současné době jej používá nebo plánuje v horizontu jednoho roku používat 51 % organizací. Firmy využívají elektronický podpis z 84 % k externí komunikaci se známými a definovanými obchodními partnery a zákazníky. Takřka třetina firem jej využívá k interní komunikaci.
Prvenství ve finanční náročnosti jednotlivých bezpečnostních incidentů za loňský rok obsadila přírodní katastrofa, reprezentovaná povodněmi. Průměrný přímý finanční dopad činil téměř 3,1 milionu Kč. Na druhém místě je chyba software, jejíž průměrný přímý finanční dopad je 1,9 milionu Kč. Na dalších místech v nejdražších narušeních bezpečnosti informačních systémů byla porucha hardware a chyba uživatele.
„V průzkumu byly zařazeny také otázky týkající se zákona o ochraně osobních údajů a zákona o ochraně utajovaných skutečností,“ uvedl Jaroslav Šmíd, ředitel odboru informačních technologií NBÚ, a dodal: „Zákon č. 148/1998 Sb. o ochraně utajovaných skutečností se týká 30 % organizací, což je nárůst 5 % oproti roku 2001. Z těchto organizací má 42 % dokončenu bezpečnostní prověrku a 31 % certifikovaný informační systém podle vyhlášky NBÚ č. 56/1999 Sb. V obou případech se jedná téměř o trojnásobný nárůst oproti roku 2001.“
Výzkum sledoval také to, co respondenti považují do budoucna za největší hrozby v oblasti zabezpečení informačních systémů. Nejvážnější hrozbou je podle 58 % respondentů internet společně s e-mailem. Padesát jedna procent organizací se domnívá, že největší hrozbou jsou vlastní zaměstnanci, pro 32 % jsou to vnější útočníci. Na čtvrtém místě se objevil nedostatek financí na zabezpečení informačních systémů, který podle názoru firem ohrožuje 27 % z nich.
Více než polovina firem, konkrétně 52 %, neví, co by dělala, kdyby byl jejich systém napaden. Nemají totiž žádné plány na obnovu svých informačních systémů. Jako v ostatních částech průzkumu i zde platí, že s velikostí firem roste význam informační bezpečnosti.
„Procento organizací se samostatným rozpočtem na informační bezpečnost se od roku 2001 prakticky nezměnilo. Relativní průměrná výše rozpočtu je 7,7 % ve srovnání s celkovým rozpočtem organizace na IS/IT. Platí, že čím větší organizace, tím větší pravděpodobnost existence samostatného rozpočtu na bezpečnost,“ uvedl Viktor Seige.
Stále více firem řeší problematiku informační bezpečnosti ve spolupráci s externími firmami. Konkrétně se jedná o 57 % firem, které oblast bezpečnosti informačních systémů outsourcují. V této oblasti nastal v letošním roce posun oproti roku 2001, kdy podniky, které outsourcovaly oblast informační bezpečnosti, tvořily 46 %.
„Zajímavě dopadlo srovnání informační bezpečnosti v ČR a v západní Evropě,“ řekl Martin Smekal, partner zodpovědný za služby podnikatelského poradenství firmy Ernst & Young.. „Více než polovina respondentů, konkrétně 56 %, se domnívá, že informační bezpečnost je v ČR na nižší úrovni než v západoevropských zemích. Podle 41 % firem je na stejné úrovni a jen 3 % se domnívají, že je na lepší,“ dodal Martin Smekal.
Průzkum stavu informační bezpečnosti v ČR 2003, který zpracovala firma Ernst & Young ve spolupráci s časopisem DSM a Národním bezpečnostním úřadem, byl zaměřen na reprezentativní vzorek středních a velkých společnostní v ČR a pokryl všechny vertikální segmenty. Zástupci 362 společností se 100 a více zaměstnanci odpovídali v průzkumu na 56 podrobných otázek z oblasti informační bezpečnosti rozdělených do čtrnácti tématických skupin.
– vg –
Follow
