Společnost EY přinesla výsledky celosvětového průzkumu Global Information Security Survey 2013: Under cyber attack. Studie se zaměřila na povědomí o probletice kyberzločinu a způsob, jakým se proti němu firmy brání. Z odpovědí vedoucích pracovníků společností vyplývá všeobecná nespokojenost se současnou úrovní zabezpečení informací v jejich podniku.
Plně spokojeno není celých 83 % respondentů. Investice na boj s počítačovou kriminalitou chce zachovat nebo navýšit 93 % respondentů celosvětově a 84 % v České republice.
Ne zda, ale kdy
Necelá třetina respondentů (31 %) celosvětově uvádí, že počet útoků v jejich firmě za uplynulý rok vzrostl přinejmenším o 5 %. O vážnosti situace panuje mezi firmami solidní povědomí. Ilustruje to i fakt, že v 70 % odpovídá za bezpečnostní opatření přímo jejich management.
Za obecně přijímanou se již považuje skutečnost, že u kyberútoku neplatí otázka zda, ale kdy k němu dojde.
„Letošní průzkum dokládá snahu firem situaci řešit. Je však zapotřebí dále jednat, a to hned,“ uvedl v tiskové zprávě David Kesl, partner oddělení IT poradenství a řízení technologických rizik společnosti EY.
„Nelze ovšem přehlédnout, že vrcholovým manažerům již tato problematika není lhostejná. Když jsme průzkum prováděli v roce 2012, žádný z dotazovaných odborníků na informační bezpečnost například nepředkládal zprávy o činnosti svého oddělení přímo vedení podniku, letos tento podíl činí 35 %.“
Situace v Česku
V České republice se příslušní specialisté a vedení společností scházejí nad otázkam informační bezpečnosti nejčastěji čtvrtletně (67 % v porovnání s 35 % globálně a 45 % v regionu střední Evropy).
Žádný z českých respondentů však nereportuje vedení podniků měsíčně. V ostatních zemích střední Evropy je to přitom poměrně běžné (28 %).
„Z hlediska chodu firmy je dnes počítačová kriminalita považována za nejvážnější hrozbu. Ačkoliv se rozpočty na modernizaci zabezpečení přece jen zvyšují – což firmám umožňuje investovat více prostředků do inovačních řešení, která by jim měla pomoci chránit se před dosud neznámými hrozbami – mnozí experti se stále domnívají, že částky vyhrazené na potírání vzrůstajících kybernetických rizik nejsou dostačující,“ uvedl v tiskové zprávě Petr Plecháček, senior manažer oddělení IT poradenství a řízení technologických rizik společnosti EY.
Hodně útoků, málo prostředků
Přestože jsou firmy s úrovní zabezpečení nespokojeny a zhruba polovina respondentů by v příštím roce ráda navýšila příslušný rozpočet alespoň o 5 %, 65 % uvedlo, že na dosažení uspokojivé úrovně nemají prostředky. U společností s tržbami do 10 milionů dolarů se toto číslo pohybuje dokonce kolem 71 %.
Z objemu výdajů plánovaných na příští rok je na inovaci bezpečnostních opatření a moderní technologická řešení určeno 17 % v České republice, 15 % v regionu střední Evropy a 14 % globálně. Velkými výzvami pro zabezpečení je průnik nových technologií do firemních struktur, sociální sítě nebo BYOD, tedy používání vlastních zařízení zaměstnanci
„Tápou-li podniky po čtyřech letech intenzivního používání mobilních zařízení v pracovním prostředí, lze předpokládat, že budou čelit značným problémům například v souvislosti s nástupem osobních a hostovaných cloudových služeb,“ uvedl k tomu Petr Plecháček.
Jak to mají banky?
Mezi respondenty bylo také 361 bank. Přibližně 47 % z nich uvedlo, že náklady na informační bezpečnost zvýšily za posledních 12 měsíců o více než 5 %.
Více než 51 % bank pak plánuje náklady na informační bezpečnost v následujících 12 měsících dále zvýšit o více než 5 %.
Chybí odborníci a pochopení
Navzdory rostoucímu povědomí stále chybí kvalifikované zdroje, případně chápavý přístup vedení podniku, který by umožnil dostupné zdroje využít.
Polovina respondentů navíc uvedla, že se jí nedostává odborníků, kteří by mohli zabezpečení dále rozvíjet. Vloni označilo nedostatečné povědomí a podporu managementu za problém pouze 20 % respondentů, zatímco letos toto číslo vyrostlo na 31 %.
„Problém, jak se vypořádat s chybějícími odborníky, řeší firmy na celém světě. V Evropě je situace umocněna tím, že expertů, o něž se přetahují veřejný a podnikatelský sektor, je navíc velmi málo,“ uvedl k tomuto problému Petr Plecháček.
Průzkumu se zúčastnilo přes 1 900 vedoucích pracovníků společností z celého světa.
Tabulka č. 1: TOP 5 hrozeb a ohrožení zabezpečení firem v uplynulém roce.
Česká republika |
Střední Evropa |
|
1. |
Kybernetické útoky zaměřené na krádež finančních údajů |
Lehkomyslný přístup či nevědomost zaměstnanců |
2. |
Ohrožení zabezpečení související s využíváním mobilních technologií |
Spam |
3. |
Kybernetické útoky zaměřené na rušení chodu či poškození podniku |
Kybernetické útoky zaměřené na rušení chodu či poškození podniku |
4. |
Podvod |
Ohrožení zabezpečení související s využíváním mobilních technologií |
5. |
Zastaralé kontroly či architektura informační bezpečnosti |
Kybernetické útoky zaměřené na krádež finančních údajů |
Zdroj: EY
Tabulka č. 2: TOP 5 oblastí, na které se podniky hodlají v oblasti informační bezpečnosti zaměřit jako na hlavní priority v roce 2014.
Česká republika |
Střední Evropa |
|
1. |
Sledování souladu s právními předpisy (compliance) |
Zajištění kontinuity podnikání/zotavení po útoku |
2. |
Reakce na výskyt bezpečnostními incidentu |
Implementace standardů zabezpečení |
3. |
Zajištění kontinuity podnikání/zotavení po útoku |
Kybernetická rizika |
4. |
Správa událostí a incidentů zabezpečení (SIEM) |
Zabránění ztrátám/úniku dat |
5. |
Offshoring/outsourcing činností týkajících se zabezpečení včetně rizik spojených s externími dodavateli |
Správa událostí a incidentů zabezpečení (SIEM) |
Zdroj: EY