V oblasti informační bezpečnosti hrozí českým firmám největší nebezpečí z internetu a od vlastních zaměstnanců

Praha, 17. ledna 2006 - Internet a e-mail spolu s vlastními zaměstnanci považují české společnosti za největší hrozbu pro bezpečnost svých informačních systémů. Vyplynulo to z průzkumu, který provedla společnost Ernst & Young, časopis DSM – data security management a Národní bezpečnostní úřad. Nejlepší zabezpečení informační bezpečnosti vykazují podle výsledků průzkumu banky a finanční instituce, které porážejí dokonce i společnosti z oblasti IT a telekomunikací.

Průzkum stavu informační bezpečnosti ukázal, že otázka informační bezpečnosti je nejdůležitější pro banky a finanční instituce, z nichž 83 % přisuzuje této problematice velký význam. Zároveň žádná z těchto společností neposuzuje vlastní úroveň informační bezpečnosti jako nízkou nebo nedostatečnou. Banky a finanční společnosti tak vykazují nejlepší výsledky takřka ve všech sledovaných oblastech informační bezpečnosti, mezi něž patří například existence bezpečnostní politiky, připravené plány obnovy funkčnosti informačních systémů či vyhrazený rozpočet na informační bezpečnost. Nejmenší důležitost své informační bezpečnosti přikládají elektrotechnické, distribuční a textilní firmy.

„Nejčastějším způsobem organizačního zajištění informační bezpečnosti je využití útvaru IT/IS, což využívá 78 % oslovených společností. Dalšími možnostmi jsou například útvar bezpečnosti nebo ekonomický útvar. Hrubá měsíční mzda pracovníků v oblasti informační bezpečnosti roste – 24 % společností uvádí, že průměrný plat těchto zaměstnanců dosahuje více než 55 tisíc korun, zatímco v roce 2003 to bylo pouze 10 %,“ řekl Jan Fanta, partner Ernst & Young.

„Přes 60 % společností využívá outsourcing v alespoň jedné oblasti IS/IT – nejčastěji to je internetové připojení ve 42 % případů, provoz a údržba IS/IT u 23 % společností a finanční nebo účetní systém u 14 % společností. Outsourcing využívají nejčastěji banky a finanční společnosti v 90 % případů a potravinářské nebo zemědělské firmy v 85 % případů,“ řekl Viktor Seige, člen redakční rady časopisu DSM – data security management. „Alarmující je, že naprostá většina společností přitom nehodnotí informační bezpečnost svého dodavatele služeb IS/IT. Využití nezávislé třetí strany pro posouzení informační bezpečnosti dodavatele udává mizivé 1 % oslovených společností,“ dodal Viktor Seige.

Rok 2005 potvrdil dlouhodobý trend v nárůstu počtu organizací, které mají v podobě dokumentu formálně definovanou bezpečnostní politiku – tento fakt uvedlo 48 % společností, což je o 2 procentní body více než v roce 2003 (v letech 1999, resp. 2001 to bylo 35 %, resp. 43 % dotazovaných společností).

Ve výskytu bezpečnostních incidentů nebyly oproti roku 2003 zaznamenány výrazné změny kromě výrazného poklesu výskytu přírodních katastrof, neboť průzkum v roce 2003 byl ovlivněn rozsáhlými záplavami. Novou kategorií zařazenou do letošního průzkumu byl výskyt nevyžádané elektronické pošty – spam. S tímto problémem se setkalo nejvíce oslovených společností, celých 86 %. Druhým nejčastějším bezpečnostním incidentem v posledních dvou letech byl výpadek proudu, který hlásilo 85 % společností. Dalšími často hlášenými problémy byly porucha hardware, počítačový virus a chyba uživatele (viz Příloha tiskové zprávy, Graf č. 1).

Jako bezpečnostní incident s největším dopadem je uváděn nejčastěji výpadek proudu u 25 % společností, porucha hardware u 21 % společností a počítačový virus u 14 % společností. Nejvyšší průměrné finanční dopady bezpečnostních incidentů hlásí společnosti u přírodních katastrof (590 000 Kč) a u chyby administrátora nebo obsluhy (570 000 Kč). Další bezpečnostní incidenty už vykazují výrazně nižší průměrnou škodu.

Průzkum rovněž zjistil, co respondenti považují za největší hrozby z hlediska bezpečnosti do budoucna. Jako nejdůležitější jsou zde uváděny internet a/nebo e-mail u 58 % oslovených společností a vlastní uživatelé u 57 % společností. Dalšími zmiňovanými budoucími hrozbami jsou pak vnější útočníci, chybějící nebo nedostatečné bezpečnostní standardy a nedostatek financí (viz Příloha tiskové zprávy, Graf č. 2).

„Dlouhodobě roste počet zaměstnanců s přístupem k internetu, byť se tento trend zpomaluje. V roce 2005 mělo přístup k internetu 50 % zaměstnanců oslovených firem, což je o tři procentní body více než v roce 2003. V roce 2001 mělo přitom přístup k internetu 32 % zaměstnanců respondentů a v roce 1999 17 %,“ řekl Jan Fanta, partner Ernst & Young. „Daní za zlepšení přístupu zaměstnanců k informacím je výskyt bezpečnostních incidentů spojených s internetem. Klesá sice počet případů zavirování PC nebo sítě e-mailovým virem (uvedlo 72 % společností oproti 89 % v roce 2003), roste naopak počet společností, které byly ohroženy fingovanými nebo podvodnými e-maily (44 % společností). Zneužívání internetu a e-mailu vlastními zaměstnanci zůstává přibližně na stejné úrovni – setkalo se s ním 32 % společností,“ dodal Jan Fanta.

Viktor Seige, člen redakční rady časopisu DSM – data security management, uvedl: „V oblasti zabezpečení internetu pokračuje trend zvyšování kvality – naprostá většina společností, 93 %,  dnes využívá firewall, běžnou je i kontrola přítomnosti počítačových virů, která se provádí v 86 % dotazovaných společností. Naopak se zvolna opouští bezpečná, ale nepraktická strategie fyzického oddělení Internetu od vnitřní sítě – dnes ji využívá 20 % společností, ještě před šesti lety to přitom byla více než třetina společností.“

Počet firem, které mají vypracované plány obnovy funkčnosti, se dlouhodobě příliš nemění. V roce 2005 uvedlo existenci takových plánů 50 % společností, což přibližně odpovídá výsledkům v letech 2003, 2001 a 1999.

Výrazný nárůst zaznamenalo využití elektronického podpisu firmami. Jeho používání potvrdila více než polovina organizací – 52 %, zatímco v roce 2003 to bylo 31 % organizací. Dalších 37 % společností plánuje využití elektronického podpisu v budoucnosti – celých 34 % těchto firem ovšem dosud nerozhodlo, k čemu budou elektronický podpis využívat.

„V průzkumu byly zařazeny také otázky týkající se zákona o ochraně utajovaných skutečností (nově o ochraně utajovaných informací a bezpečnostní způsobilosti) a zákona o ochraně osobních údajů,“ uvedl Jaroslav Šmíd, ředitel technické sekce a náměstek ředitele NBÚ, a dodal: „Pokračuje nárůst počtu společností, pro které má zákon o ochraně utajovaných informací a bezpečnostní způsobilosti velký význam – v roce 2005 to hlásila již polovina společností, což je růst o 12 procentních bodů oproti roku 2003. Nárůst je způsoben především vstupem ČR do Evropské unie a nutností zpracovávat klasifikované dokumenty  evropských institucí. Naopak mírný pokles významu pro firmy vykazuje zákon o ochraně osobních údajů – velký význam má tento zákon pro 44 % oslovených společností, což je o pět procentních bodů méně než před dvěma lety.“

Poměrně pozitivně vnímají společnosti úroveň svojí informační bezpečnosti ve srovnání se západní Evropou. Téměř 60 % oslovených firem se domnívá, že situace v ČR je stejná (55 %) nebo lepší (4 %) ve srovnání se západoevropskými státy, pouhá 3 % organizací považují úroveň informační bezpečnosti v ČR za výrazně horší než v západní Evropě.

Za největší překážku rychlejšího prosazování informační bezpečnosti dlouhodobě považují firmy v ČR nízké bezpečnostní povědomí (32 % společností), finanční náročnost (17 %) a nedostatečnou podporu ze strany vedení organizace (16 %).

Průzkum stavu informační bezpečnosti v ČR 2005, který zpracovala firma Ernst & Young ve spolupráci s časopisem DSM a Národním bezpečnostním úřadem, byl zaměřen na reprezentativní vzorek středních a velkých společnostní v ČR a pokryl všechny vertikální segmenty. Průzkum shrnul odpovědi na 51 podrobných otázek z oblasti informační bezpečnosti rozdělených do 11 tématických skupin, do průzkumu bylo zařazeno celkem 384 společností (o 22 více než v roce 2003) s více než 100 zaměstnanci.

O Ernst & Young
Ernst & Young patří mezi nejvýznamnější celosvětové společnosti poskytující odborné poradenské služby. Jedním z cílů, jež si tato organizace vytkla, je obnovit důvěru veřejnosti ve společnosti poskytující odborné poradenské služby a v kvalitu účetního výkaznictví. V rámci poradenské sítě Ernst & Young působí ve více než 140 zemích celého světa 106 tis. odborníků, na něž jsou kladeny ty nejpřísnější nároky, pokud jde o osobní integritu, kvalitu práce či odborné předpoklady. Díky tomu tito odborníci poskytují klientům služby té nejvyšší kvality, jež se opírají o bohaté znalosti a zkušenosti Ernst & Young v klíčových oblastech své činnosti - v oblasti auditu, daní a transakčního poradenství. Podrobnější informace o celosvětové poradenské síti Ernst & Young a jejím přístupu k nejrůznějším ekonomickým otázkám a problémům najdete na webových stránkách www.ey.com/perspectives. Název Ernst & Young zahrnuje všechny členy globální organizace Ernst & Young.

Data Security Management
Časopis DSM - data security management (www.dsm.tate.cz), vydávaný společností Tate International, s.r.o., je odborné periodikum, jež se věnuje problematice informační bezpečnosti v nejširším kontextu. Největší čtenářské zastoupení má časopis mezi středním a vyšším managementem organizací, jak z oblasti státní správy, tak z oblasti komerční. Časopis DSM spolupracuje s odborníky z České republiky i ze zahraničí a jako organizátor nebo mediální partner se podílí na významných konferencích, seminářích a výstavách s bezpečnostní tématikou.

Národní bezpečnostní úřad
Národní bezpečnostní úřad (www.nbu.cz) byl zřízen v roce 1998 jako ústřední správní úřad pro oblast ochrany utajovaných skutečností. Zajišťuje jednotné provádění ochrany utajovaných skutečností v České republice, vykonává státní dozor, metodickou činnost a další činnosti a úkoly spojené s ochranou utajovaných skutečností.

Váš názor Další článek: Český Telecom nabízí podle GTS zákazníkům ADSL levněji než operátorům

Témata článku: , , , , , , , , , , , , , , , , , , , , , ,