Společnosti se příliš rychlým zaváděním moderních technologií vystavují alarmujícím bezpečnostním rizikům

Rychlý vývoj v oblasti informačních technologií s sebou přináší zvýšená bezpečnostní rizika. Se snahou zavést co nejrychleji moderní technologie jako jsou například cloud computing, mobilní tablety nebo sociální média, klesá schopnost společností čelit novým bezpečnostním hrozbám. Vyplývá to z pravidelného mezinárodního průzkumu informační bezpečnosti provedeného společností Ernst & Young mezi 1700 společnostmi z celého světa. Přestože 72 % respondentů vyjádřilo ze sílících vnějších hrozeb obavy, pouze třetina firem revidovala v uplynulém roce svou strategii týkající se zabezpečení informací. 

80 % společností buď již používá, případně v horizontu jednoho roku plánuje používat mobilní tablety a 61 % dotazovaných se stejně aktivně staví k zavádění tzv. cloudových služeb, tedy dodávce zdrojů prostřednictvím internetu. Otázka bezpečnostních hrozeb se pak ve snaze přizpůsobit krok dynamickému prostředí často řeší až dodatečně.

Situace v oblasti počítačové kriminality je přitom alarmující. Podle posledních zpráv uscollegeresearch.org se přibližně 65 % celosvětových uživatelů internetu stalo do června 2011 obětí počítačového zločinu. A ze zpráv FBI vyplývá, že jen v roce 2011 bylo přijato již více než 350 000 stížností týkajících se počítačové kriminality. Tato data je navíc třeba posuzovat v kontextu toho, že většina kybernetických zločinů zůstává nenahlášena. „Rychlý vývoj v oblasti informačních technologií se promítá do všech oborů. S tím, jak se společnosti stávají čím dál více závislejší na bezchybném fungování informačních technologií, roste také požadavek na ochranu těchto technologií. Tento požadavek je o to významnější, že počítačová kriminalita je stále více spojována s organizovaným zločinem,“ říká Petr Plecháček, manažer IT poradenství a řízení rizik v Ernst & Young v České republice. 

Jan Fanta, partner oddělení podnikového poradenství a řízení rizik Ernst & Young v České republice, komentuje výsledky průzkumu: „Stále více významných podniků a průmyslových odvětví se neobejde bez softwarových řešení, respektive je založeno na online službách. Data jsou všude kolem nás. Vezmeme-li v potaz relativní propojenost celého světa, firmám v souvislosti se službami a podnikovými modely na bázi cloudu nezbývá než objevit způsob, jak na nová rizika reagovat a přezkoumat, zda není nutné přehodnotit přístup k této oblasti. Pozornost podniků se musí přesunout od krátkodobých, spíše nápravných opatření, ke komplexním řešením a dlouhodobým strategickým cílům.“

Financování zabezpečení

Povzbudivé je, že 59 % společností plánuje v příštích dvanácti měsících navýšit svůj rozpočet na zabezpečení informací. Naproti tomu pouze 51 % podniků disponuje zdokumentovanou strategií informační bezpečnosti. Respondenti průzkumu uvádějí, že v souvislosti se zabezpečením informací plánují během příštího roku investovat právě do cloud computingu. Nejvyšší prioritou z hlediska financování vůbec se v celkovém hodnocení již druhým rokem po sobě stalo zajištění kontinuity podnikání.

Využívání mobilních technologií

Zavádění tabletů a chytrých telefonů figuruje na druhé pozici v žebříčku nejzávažnějších technologických úkolů, přičemž více než polovina účastníků průzkumu považuje zvládnutí tohoto kroku za obtížné či dokonce velmi obtížné. Postupy, které se kvůli rizikům týkajícím se těchto nových technologií nejčastěji uplatňují, zahrnují úpravu bezpečnostních zásad a také nejrůznější osvětové programy. Implementace samotných bezpečnostních a softwarových prvků však stále zaostává – například šifrování uplatňuje méně než polovina (47 %) společností.

Budování důvěry v architekturu cloudu

Jakkoli pádně mohou argumenty pro přechod ke cloudu znít, mnohé firmy stále vyhodnocují případné důsledky této infrastruktury na svůj chod a snaží se důkladně analyzovat relevantní dopady a rizika. V rámci letošních odpovědí označuje 48 % implementaci cloud computingu jako obtížný, případně velmi obtížný úkol a více než 50 % respondentů přiznává, že jejich společnost nezavedla za účelem zmírnění příslušných rizik žádná kontrolní opatření. K nejčastěji zmiňovaným patří silnější dohled nad řízením smluvních vztahů s poskytovateli cloudových služeb, který i tak praktikuje pouze 20 % firem. To poukazuje na vysoký stupeň důvěry, jež ovšem nemusí být na místě.
„Zdá se, že při absenci jasných pravidel se řada společností rozhoduje na základě nedostatečných informací a aplikační prostředí cloudu implementuje buď předčasně, aniž by zvážila případná rizika, nebo se této cestě naopak úplně vyhýbá. Ačkoli mnoho firem řešení na bázi cloudu využívá, činí tak spíše neochotně a váhavě,“ vysvětluje Petr Plecháček.

Téměř 90 % zástupců společností se vyslovilo pro externí certifikaci poskytovatelů uvedených služeb, bezmála polovina (45 %) je pak přesvědčena, že by takové ověřování mělo probíhat podle všeobecně akceptovaného standardu.

„Přestože existují aliance, která tento cíl sledují, spoléhat na vnější subjekty při posuzování kompletního souboru rizik spojených s cloud computingem nestačí,“ říká Jan Fanta. „Rizika, o nichž zde hovoříme, mohou zásadně ovlivňovat fungování celé společnosti a musí tudíž spadat pod řádné procesy řízení podnikových rizik a rizik v oblasti IT.“

Sociální média

Většina respondentů (72 %) se nejvíce obává rizik spojených se škodlivými útoky zvenčí. K takovým útokům mohou být zneužity informace získané prostřednictvím sociálních médií, například phishingových zpráv zaslaných konkrétním osobám. Firmy zaujímají vůči podobným hrozbám nekompromisní postoj. Více než polovina společností (53 %) trend využívání sociálních médií odmítá a místo implementace odpovídajících celopodnikových opatření přístup na vybrané servery raději zcela blokuje.

Zabezpečení je prioritou

Podle průzkumu se pouze 12 % společností zabývá otázkami zabezpečení informací na každém setkání managementu. Přitom méně než polovina (49 %) respondentů je přesvědčena, že úroveň zabezpečení odpovídá potřebám firmy.

„Na místě je spíše pragmatický a aktivní přístup, nikoliv ten reaktivní. Zabezpečením informací se musí zabývat vrcholné orgány společnosti a stanovit jasnou strategii, na níž se podnik bude moci spolehnout nejen při využívání služeb v cloudu. Většina podniků musí v tomto ohledu urazit ještě dlouhou cestu,“ vysvětluje Jan Fanta a dodává: „Efektivní řízení rizik v oblasti IT vyžaduje široký a komplexní přehled o veškerých rizicích. Jedině celkový pohled umožní společnostem identifikovat a řídit nejen stávající rizika a problémy týkající se informačních technologií, ale vypořádat se rovněž s riziky, které mohou přijít v budoucnu.“