Autorizace uživatelů v českých společnostech

Téměř každá organizace používá systém přihlašovacích hesel V souvislosti s bezpečností informačních systémů...


Téměř každá organizace používá systém přihlašovacích hesel

V souvislosti s bezpečností informačních systémů se nejčastěji hovoří o útocích
z vnějšího prostředí, nicméně neoddělitelnou součástí komplexní ochrany IS je
také její zabezpečení před útoky ze strany pracovníků. Hovořit v této
souvislosti o "útocích" je však možná trochu přehnané, neboť většina incidentů
podobného druhu mívá charakter pokusů o neoprávněný přístup k datům či
provádění zakázaných (nedovolených) operací. Z již publikovaných výsledků
provedeného výzkumu vyplynulo, že proti útokům z externího prostředí se téměř
všechny z dotazovaných organizací brání používáním antivirových programů a
nasazením firewallů. Jaký způsob zabezpečení však organizace používají proti
"vnitřnímu nepříteli"?
Téměř každá ze zkoumaných organizací (99 %) používá systém přihlašovacích
hesel. Toto opatření se zdá být nezbytným minimem jak pro vlastní identifikaci
uživatelů a případný monitoring činnosti na jednotlivých klientských
pracovištích, tak také jako prostředek pro přidělení uživatelských oprávnění.
Při takovéto úrovni penetrace nemá smysl hledat specifické charakteristiky
zbylého jednoho procenta dotazovaných subjektů, nicméně zajímavou informací pro
dokreslení je, že tento zanedbatelný podíl organizací nejenže přihlašovací
hesla nepoužívá, ale dokonce ani neplánuje jejich využití v budoucnu.

Čipové karty
Z dalších technologií, které se v organizacích v současné době používají,
vystupuje do popředí technologie na bázi čipových karet, s níž se lze setkat v
15 % zkoumaných subjektů. Další přibližně desetina organizací používá k
identifikaci uživatelů jiný předmět a dvě procenta z dotazovaných pak používají
otisk prstu. Z podrobnějšího vyhodnocení aktuální situace v jednotlivých
organizacích plyne, že čipové karty využívají ve větší míře subjekty s vyšším
počtem zaměstnanců, přičemž zásadní rozdíl v penetraci této technologie je
zřejmý mezi subjekty s více než 500 zaměstnanci oproti organizacím menším.
Skutečnost, že technologie čipových karet se častěji objevuje ve větších
organizacích, dokládá také závislost na výši IT rozpočtu. Z pohledu na
jednotlivé vertikály se ukazuje poměrně vyšší míra penetrace této technologie v
segmentu veřejné správy oproti podnikatelskému sektoru. Výrazně nižší míra
využití technologie čipových karet je však patrná u utilit a telekomunikačních
společností a také mezi takzvanými ostatními organizacemi (stavebnictví,
zemědělství, služby apod.). Komerční organizace častěji využívají buď zcela
jiné typy technologií (viz např. otisk prstu; o biometrických metodách
identifikace jsme psali v CW 15/2005) nebo používají jiný identifikační předmět
než čipovou kartu (to platí zejména o institucích finančního sektoru).
Z odpovědí dotazovaných organizací lze dovodit rovněž to, že technologie
čipových karet sice tvoří součást komplexní bezpečnostní politiky jednotlivých
organizací (ve větší míře ji používají subjekty, které si zpracovaly svou
vlastní bezpečnostní strategii), současně však nesouvisí s reálným ohrožením či
napadením systému (v tomto ohledu není patrný žádný rozdíl mezi organizacemi,
které zaznamenaly bezpečnostní incident v posledním období a které nikoliv). Je
zřejmé, že technologie čipových karet plní v tomto ohledu i jiné funkce, než je
samotná identifikace uživatelů a jejich autentizace.
Z krátkodobých (tedy ještě během roku 2005) i dlouhodobějších plánů
jednotlivých organizací vyplývá, že technologie čipových karet si svůj náskok
před ostatními způsoby udrží. V průběhu roku 2005 totiž plánuje tuto
technologii zavést přibližně jedna organizace z dvaceti, čímž míra penetrace
čipových karet dosáhne přibližně dvojnásobku ve srovnání s technologií
identifikace pomocí jiných předmětů, která dosahuje druhé nejvyšší penetrace.
Podstatně zajímavější je však dlouhodobý výhled, z něhož plyne, že implementaci
systému čipových karet zvažuje v dlouhodobějším časovém horizontu přibližně
pětina organizací. Z analýzy těchto dlouhodobějších plánů je zřejmé, že hlavní
cílová skupina koncových zákazníků se oproti současnému stavu příliš nezmění
technologii čipových karet plánují implementovat zejména organizace s počtem
zaměstnanců 500-1 000 (v tomto segmentu zvažuje čipovou technologii přibližně
jedna organizace ze tří). Pravděpodobně dojde k tomu, že se tato technologie
bude rozšiřovat kromě veřejné správy i v podnikatelském sektoru, zejména pak v
segmentu velkých průmyslových podniků.
Identifikace uživatelů jiným předmětem než čipovou kartou je v současnosti
využívána zejména institucemi finančního sektoru, přičemž ostatní
charakteristiky stávajících uživatelů se neodlišují od celkové struktury
dotazovaných subjektů. Výhled do budoucna však naznačuje, že v tomto segmentu
již tato technologie dále nebude zvyšovat svůj podíl, zato se však rozšíří do
jiných vertikál zejména pak mezi společnostmi z oblasti utilit a mezi
telekomunikačními firmami.

Budoucnost nejistá
Obecně však lze na základě odpovědí kompetentních pracovníků dotazovaných
organizací shrnout, že v roce 2005 nečeká žádnou z uvedených technologií
výrazné rozšíření. Koncový trh zkrátka nevnímá tyto technologie jako svou
prioritu. Podobně i dlouhodobější záměry naznačují, že cesta technologií pro
autorizaci uživatelů na trh nebude nijak snadná a pohodlná. Technologie pro
autorizaci uživatelů tak zůstanou výsadou relativně úzké skupiny organizací.



O výzkumu
Pro přípravu tohoto článku byly použity údaje z unikátního výzkumného projektu,
který exkluzivně pro IDG Czech realizuje společnost Markent. V rámci tohoto
výzkumu, jehož aktuální fáze byla realizována na počátku roku 2005, byl
podroben detailnímu zkoumání korporátní koncový trh konkrétně organizace, které
jsou předplatiteli týdeníku Computerworld. Celkem byly (podobně jako v minulých
letech) zpracovány odpovědi zástupců 303 organizací, vybraných takovým
způsobem, aby přesně kopírovali strukturu předplatitelů týdeníku.
Vzhledem k tomu, že výzkum probíhá již od roku 2000, je na základě získaných
dat možné nejen popisovat aktuální stav, ale lze sledovat i dlouhodobé vývojové
trendy v širokém spektru jednotlivých segmentů IT trhu.
Relevanci prezentovaných zjištění dokládá dlouhodobě ověřovaná informace o tom,
že institucionální předplatitelé časopisu Computerworld učiní přibližně
polovinu z celkového objemu investic do informačních technologií v ČR.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.