logo itpoint.cz

Většina útoků na informační systém má svůj původ uvnitř firem

Zabezpečení informací se sice stalo pro společnosti na celém světě významnou záležitostí, ale přístupy k jednotlivým rizikům nejsou důsledné a v mnoha případech jsou nedostatečné.

Společnost Ernst & Young provedla celosvětový průzkum bezpečnosti informačních systémů. Studie, jejíž výsledky byly zveřejněny koncem března 2002, byla provedena během října a listopadu 2001 pomocí strukturalizovaného dotazníku. Proběhly osobní a telefonické rozhovory s celkem 459 vedoucími pracovníky informačních systémů v jednotlivých společnostech.

Z průzkumu společnosti Ernst & Young vyplývá, že s narůstajícím připojení k internetu se bude zvyšovat zranitelnost firem a že současná ekonomická nejistota nastoluje nová rizika, která je nutné identifikovat a řídit. Zabezpečení informací se sice stalo pro společnosti na celém světě významnou záležitostí, ale přístupy k jednotlivým rizikům nejsou důsledné a v mnoha případech jsou nedostatečné.

Naprostá většina respondentů uvedla, že u kritických obchodních systémů dochází ke stále většímu počtu výpadků - 75 % respondentů zažilo neočekávané přerušení provozu. Přesto má pouze 53 % společností koncepci zajištění nepřetržitého provozu a téměř polovina respondentů neschválila harmonogramy na obnovování provozu. Alarmující je také fakt, že pouze 49 % těchto plánů prošlo zkouškami.

Velké množství dotázaných (74 %) se domnívá, že mají vypracovanou strategii bezpečnosti informačních systémů a 70 % respondentů uvedlo, že plánují posílit zabezpečení kontinuity provozu a plány na obnovu po zhroucení informačního systému. Zneklidňujícím faktem je, že pouze 29 % společností zahrnulo plánování zabezpečení kontinuity podnikání do celopodnikových nákladů. Přibližně 45 % respondentů uvádí, že tyto náklady jdou z rozpočtu IT, což naznačuje, že mnoho společností stále považuje kontinuitu provozu za zodpovědnost IT a nikoliv za základní prvek podnikové strategie. Organizace si možná nejsou vědomy širších rizik, která mohou ovlivnit celou kontinuitu podnikání.

Více než polovina respondentů (51 %) se domnívá, že bezpečnost informací je vnímána jako priorita ve srovnání s jinými IT projekty a jen 13 % dotázaných očekává snížení rozpočtu na tyto projekty.

Poměrně velké množství respondentů (40 %) uvedlo, že během posledních 6 měsíců nezažilo útok na jejich síť, data nebo internetové stránky. Na druhou stranu některé firmy útok nebo narušení otevřeně nepřiznají. Stejné množství společností (40 %) události spojené s bezpečností informačních systémů neprošetřuje i přesto, že to zvyšuje pravděpodobnost nezjistitelných poškození.

I přesto, že za základ zabezpečení informačních systémů se považuje například řízení firewall -zabezpečení systému oproti průniku zvenčí - a antivirové programy, pouze 81 % dotázaných používá antivirové programy, 72 % respondentů zavedlo řízení přístupu a 66 % dotázaných firem má zaveden firewall.

Pouze 40 % dotázaných si bylo jisto, že dokáže rozpoznat útok na svůj systém. Je velmi pravděpodobné, že ti, kteří si nejsou jisti, zda útok rozpoznají, byli napadeni, ale nevěděli o tom. I když uveřejněné údaje potvrzují, že více než tři čtvrtiny útoků má svůj původ uvnitř firem, dotazované více znepokojuje zranitelnost vůči útoku zvenčí (57 %) než vůči útoku zevnitř (41 %).

Jako největší překážku vytvoření adekvátní ochrany vůči útokům dotázaní uvedli rychle se měnící formu ohrožení (70 %). Jako další překážku při zavádění efektivního zabezpečení 66 % respondentů uvádí nízké povědomí mezi zaměstnanci, ale méně než polovina všech dotazovaných společností rozšířila programy pro informovanost zaměstnanců a školicí programy. Dalších 31 % respondentů plánuje aktivity tímto směrem rozvinout. Mezi ostatní problémy patří také nedostatek specialistů, což uvedlo 53 % respondentů a také nízký rozpočet. Pouze 13 % dotázaných vidí nedostatek v nízké podpoře IT managementu, oproti tomu 24 % dotázaných uvádí nízkou podporu ze strany vedení podniku.

Ernst & Young je přední globální společnost na poli finančních služeb. Svým klientům pomáhá uskutečňovat rychlá a efektivní rozhodnutí ve finančních otázkách; vyhledávat a využívat obchodní příležitosti po celém světě. Firma má téměř 84 000 zaměstnanců ve 130 zemích světa. Společnost Ernst & Young nabízí auditorské a daňové služby, jakož i služby v oblasti corporate finance přizpůsobené potřebám klientů, služby zajištění bezpečnosti informačních systémů, interní audit a forenzní audit a odhalování podvodů.

 Ernst & Young

Článek ze dne 19. dubna 2002 - pátek