Podle průzkumu společnosti Deloitte sice incidenty v oblasti bezpečnosti informačních technologií nadále přitahují pozornost top managementu, avšak řešení předmětných problémů je stále vnímáno převážně jen jako úkol IT. Jen u 10 procent respondentů je informační bezpečnost součástí řídící agendy ředitelů obchodních divizí. Tato zjištění jsou důkazem objevujícího se bezpečnostního paradoxu: obrovského rozdílu mezi povědomím o problému na straně jedné a chybějící aktivní podporou pro hledání vhodných řešení, na straně druhé.
Méně než dvě třetiny (63 %) respondentů, kteří se v roce 2007 účastnili Globálního průzkumu bezpečnosti v oblasti IT ve finančních institucích, který provedla společnost Deloitte (Global Security Survey), mají vypracovánu strategii v oblasti informační bezpečnosti.
Průzkum zároveň odhalil, že nejčastější příčinou vnějších narušení bezpečnosti zůstává „lidský faktor“: vlastní zaměstnanci instituce, její klienti, třetí strany a obchodní partneři.
„Letošní protichůdná zjištění skutečně potvrzují bezpečnostní paradox, kterému finanční instituce čelí,“ říká Petr Brich, ředitel poradenství pro finanční instituce Deloitte ČR a SR. „Na jedné straně je evidentní, že účastníci průzkumu bez výjimky identifikovali hlavní bezpečnostní problémy včetně opatření, která musí přijmout, aby se zvýšila bezpečnost i ochrana soukromých dat. Na straně druhé, však řada finančních institucí stále váhá s realizací konkrétních kroků, přes množící se incidenty narušení bezpečnosti z poslední doby, jak vnitřní tak vnější. I v našem regionu již byly finanční instituce předmětem externích cílených útoků především na systémy internetového bankovnictví, vyskytlo se i několik úspěšných případů vnitřního narušení provozních systémů, manipulace klientských dat a defraudace.
Firmy budou nuceny věnovat problematice informační bezpečnosti v nadcházejícím období zvýšenou pozornost, tak jako obecně aktivnímu řízení operačních rizik a rizik podvodů. Narušení informační bezpečnosti s následnou manipulací či ztrátou dat většího rozsahu by mohlo znamenat pro kteroukoli finanční instituci nedozírné reputační důsledky“.
Jedním z článků, který organizacím dělá asi největší starosti – hovoříme-li o narušení bezpečnosti – jsou klienti. Průzkum společnosti Deloitte identifikoval následující tři typy nejčastějších pokusů o narušení bezpečnosti. Jsou to počítačové viry a červi, dále útoky na systémy elektronické pošty (nevyžádaná pošta – spam) a podvodné techniky k získání citlivých údajů jako např. tzv. phishing a pharming. Ke všem těmto útokům dochází prostřednictvím klientů, kteří se tak stávají nevědomými poskytovali citlivých informací a kanály vedoucími do nitra finančních institucích. Avšak přestože jsou finanční instituce těmito útoky přímo ohrožovány, nejsou zatím ochotné přijmout odpovědnost za bezpečnost počítačů svých klientů, zřejmě z důvodů obrovského rozsahu takového podniku. Na otázku, zda by měli nést odpovědnost za zajištění ochrany počítačů svých klientů, kteří s nimi komunikují online, odpověděly dvě třetiny respondentů (66 procent), že nikoliv.
Kromě narušení bezpečnosti prostřednictvím klientů fungujících jako jakýsi kanál do finančního domu, průzkum poukazuje na to, že vysoký počet narušení lze připsat také vlastním zaměstnancům: buď zneužívají svou pozici a oprávnění (úmyslné jednání) nebo se dopouštějí se chyb a omylů (neúmyslné jednání). Naprosté většině respondentů (91 %) dělají zaměstnanci v tomto ohledu vážné starosti a uvádějí lidský faktor jako hlavní příčinu selhání informační bezpečnosti (79 %).
Avšak zatímco chyby a opomenutí ze strany zaměstnanců jsou obecně identifikovány jako významný bezpečností problém, téměř čtvrtina respondentů (22 %) svým zaměstnancům za poslední rok neposkytla žádné školení v oblasti bezpečnosti a pouze třetina respondentů uvádí (30 %), že jejich zaměstnanci jsou vybaveni náležitými dovednostmi, díky kterým mohou případné bezpečnostní problémy řešit.
„Přes uvedené rozpory představuje skutečnost, že problémy byly jasně identifikovány, , již zpola vyhranou bitvu, finanční instituce tedy jednoznačně vykročily správným směrem, aby tato úskalí překonaly,“ dodává Petr Brich. Školení v oblasti bezpečnosti a zvyšování povědomí o bezpečnostní problematice, představují spolu s pokročilým řízením přístupu a totožnosti (access and identity management) zaměstnanců, klientů a dodavatelů a ochranou dat – klíčové iniciativy společností pro tento rok v kontextu neustále se měnícího prostředí bezpečnostních hrozeb“.
Další klíčová zjištění průzkumu:
- Nejčastější případy narušení bezpečnosti zvenčí představují za posledních 12 měsíců útoky na elektronickou poštu (57 %).
- Dvě třetiny respondentů (66 %) nemají pocit, že by měli nést odpovědnost za ochranu počítačů, které používají klienti využívající online služeb elektronického a internetového bankovnictví.
- Prakticky všichni účastníci průzkumu (98 procent) uvedli zvýšený rozpočet na bezpečnostní otázky, ale 35 % z nich se domnívá, že jejich investice do oblasti informační bezpečnosti zaostávají za obchodními potřebami.
- „Přesun priorit“ a „integrační problémy“ byly identifikovány jako hlavní důvody selhání projektů v oblasti informační bezpečnosti (u 48 % resp. 32 % respondentů).
Bližší pohled na jednotlivé regiony
Evropa, Střední Východ a Afrika (EMEA): Oblast zahrnující Evropu, Střední Východ a Afriku se ve srovnání s ostatními regiony vyznačuje nejvyšším procentem respondentů (39 %), kteří se domnívají, že v současné době mají požadované dovednosti a kompetence k tomu, aby mohli účinně a efektivně reagovat na stávající a budoucí bezpečnostní požadavky. Většina účastníků (82 %) je také toho názoru, že otázka bezpečnosti se dostala až na úroveň výkonných ředitelů či představenstva. Více než tři čtvrtiny (77 %) se domnívají, že existuje snaha i zdroje k tomu, aby se řešila problematika dodržování regulatorních požadavků. Co se týká narušení bezpečnosti informačních systémů, převyšuje procento institucí v Evropě, na blízkém Východě a v Africe, které zaznamenaly útoky zevnitř (31 %) i zvnějšku (71 %), celosvětový průměr, kde hodnoty dosahují 30 a 65 procent.
Společenství nezávislých států (SNS/CIS) – bývalé svazové republiky Sovětského svazu: Tento nový region, který byl do průzkumu zahrnut v roce 2007 a jež se skládá z jedenácti bývalých republik Sovětského svazu, zaujímá první místo co do zkušeností s narušením bezpečnosti zvenčí. 63 % respondentů ze SNS potvrdilo, že se setkalo s vnějším útokem (celosvětově 65 %). Na druhé straně má SNS druhé nejnižší procento respondentů (na prvním místě je Japonsko), kteří se v minulém roce setkali s útokem zevnitř. Tento region je spolu s Japonskem na první příčce v počtu respondentů, kteří potvrdili, že jejich organizace má bezpečnostní strategii (75 %).
Asie – Pacifik mimo Japonsko (APAC): Více než dvě třetiny (78 %) respondentů v této oblasti poukazují na skutečnosti, že otázka bezpečnosti se dostala na úroveň nejvyšších vedoucích pracovníků a na úroveň představenstva, kde je vnímána jako závažná problematická oblast. Téměř stejné procento finančních institucí (62 %) také potvrdilo, že již zavedli bezpečnostní strategii a jsou odhodláni i finančně vybaveni k tomu, aby přistoupili k řešení regulatorních požadavků. Zároveň se však jen 7 % účastníků průzkumu, tedy celkově nejnižší procento ze všech regionů, domnívá, že v současnosti disponuje potřebnými dovednostmi a kompetencemi k tomu, aby efektivně reagovali na stávající i předvídatelné bezpečnostní požadavky.
Japonsko: Ačkoliv Japonsko již letos není suverénním lídrem hned v několika kategoriích v oblasti bezpečnosti a ochrany soukromých dat, ve čtyřech oblastech však v celosvětovém měřítku nejvyšší příčku stále zaujímá. Jedná se o tyto oblasti: existence bezpečnostní strategie (75 % respondentů), vyčlenění vedoucího pracovníka odpovědného za ochranu soukromých dat (100%), nejnižší procento vnějších (35 %) a vnitřních (13 %) útoků. Avšak výsledky průzkumu ukazují, že japonské finanční instituce zaostávají za svými globálními kolegy v oblasti propojení bezpečnosti s ohodnocením zaměstnanců IT (40 % versus 50 %). 71 % japonských respondentů se domnívá, seniorní vedoucí pracovníci a členové představenstva považují bezpečnost za zásadních oblast pro obchodní činnosti firmy, což je ve srovnání s ostatními respondenty také méně.
USA: USA zaujímají první místo mezi regiony ve většině bezpečnostních otázek včetně následujících: počet respondentů, kteří potvrdili, že bezpečnost je pro nevyšší vedoucí pracovníky a ředitele zásadní oblast obchodní činnosti (89 %), prvořadou snaha a potřebné zdroje pro řešení regulatorních požadavků (80 %), propojení otázky bezpečnosti s osobním ohodnocením zaměstnanců oddělení IT (70 %) a poskytování alespoň jednoho školení v oblasti bezpečnosti a povědomí o problému svým zaměstnancům (v loňském roce 95 %). USA má také nejvyšší procento (35 %) respondentů, kteří se za posledních 12 měsíců setkali s alespoň jedním případem útoku na systém zevnitř.
Kanada: Kanada patří k regionům, které problematiku ochrany soukromí řídí nejlépe. Výrazná většina respondentů (91 %) potvrzuje existenci pozice manažera odpovědného za ochranu soukromých dat a 80 % respondentů má k dispozici program pro řízení bezpečnosti. Na druhé straně Kanada zaostává za zbytkem světa v tom, že nejnižší počet respondentů se domnívá, že mají prvořadou snahu i zdroje k tomu, aby řešili regulatorní požadavky (50 %). V regionu se také nachází nejnižší procento finančních institucí, které mají k dispozici bezpečnostní strategii (27 %), přičemž žádný respondent se nedomnívá, že bezpečnostní strategii organizace vedou k tomu určení vedoucí pracovníci.
Latinská Amerika a Karibik (LACRO): Jako tomu bylo v minulých dvou letech, finanční instituce v Latinské Americe a v Karibiku zřejmě otázkám ochrany soukromých údajů nevěnují příliš pozornosti, jak dokazuje nejnižší procento respondentů, kteří mají k dispozici program pro dodržování bezpečnostních požadavků (31 %) nebo manažera odpovědného za bezpečnostní otázky (30 %). Region se také nachází na spodní příčce v oblasti poskytování školení svým zaměstnancům v loňském roce (61 %). Pozitivní je ale skutečnost, že region se vyznačuje jednou z nejvyšších procentuálních hodnot v oblasti disponibility bezpečnostní strategií (68 % finančních institucí ji má). Dalším pozitivem je fakt, že výrazná většina respondentů (88 %) se domnívá, že problematika bezpečnosti se dostala k seniorním vedoucím pracovníkům, kteří ji vnímají jako zásadní oblast pro obchodní činnost organizace.