Zbožím naší doby se staly informace. Na tom, jak zvládnou proces tvorby,
zpracování, ukládání a distribuce informací, jsou podniky a instituce životně
závislé. Stále aktuálněji proto vystupuje do popředí otázka ochrany a
bezpečnosti informací.
Auditorská společnost PriceWaterhouse Coopers, časopis Data Security Management
a Národní bezpečnostní úřad vypracovaly první průzkum věnovaný stavu informační
bezpečnosti v České republice (PSIB99), jehož výsledky vám dnes přinášíme.
Celkem se průzkumu zúčastnilo 311 společností. PSIB99 byl zaměřen na
organizace se 100 a více zaměstnanci. Nejvíce respondentů (48 %) představovaly
podniky se 100-500 zaměstnanci, 23 % zúčastněných podniků mělo 500-1 000
pracovníků a 29 % tvořily podniky s více než 1 000 zaměstnanců. Pokud jde o
oborové členění, v průzkumu byly zastoupeny instituce státní správy, organizace
z oboru IT/telekomunikací, financí/bankovnictví, strojírenství, energetiky,
chemie, dále zde byla skupina nazvaná Ostatní průmysl, kam patřily především
podniky z oboru textilního průmyslu, a konečně poslední skupinu tvořila jiná,
neprůmyslová odvětví.
Za organizace nejčastěji odpovídali na dotazy ředitelé a vedoucí oddělení IT/IS
(64 %). V každém desátém případě zodpovídal dotazy ředitel podniku, jednatel
nebo majitel organizace. Desetiprocentní zastoupení měli i správci a
administrátoři sítí. Pouze ve 4 % případů odpovídali ředitelé nebo specialisté
oddělení bezpečnosti.
A teď už k výsledkům:
Pouze u 38 % organizací je za informační bezpečnost zodpovědná osoba z řad
nejvyššího vedení. Přitom zodpovědnost na této úrovni je většinou základním
předpokladem pro úspěšné budování a řízení informační bezpečnosti. Funkční
zodpovědnost za informační bezpečnost většinou spadá pod útvar IT (71 %). U 13
% organizací pak ne-ní za informační bezpečnost zodpovědný žádný útvar. Pouze u
4 % organizací mají ve své organizační struktu-ře vytvořen specializovaný útvar
bezpečnosti.
Dosti tristní je v současnosti situace, pokud jde o školení pracovníků v
oblasti informační bezpečnosti. Probíhají totiž jen v 16 % organizací. O tom co
má vliv na prosazení informační bezpečnosti v podniku vypovídá graf č. 1.
Bezpečnostní politika a standardy
Své cíle v oblasti informační bezpečnosti má formálně stanovené jedna třetina
organizací. Přijetí takového dokumentu je ovšem nutným první krokem při
budování kvalitního systému zabezpečení informací. Mnohem častěji (v 55 %)se
přitom tento dokument vyskytuje v těch organizacích, ve který za informační
bezpečnost odpovídá osoba z vedení podniku. Tam, kde osoba odpovídající za
bezpečnost není ve vedení, jsou bezpečnostní standardy definovány pouze ve 23 %
případů.
Výskyt bezpečnostní politiky ve více než 50 % najdeme pouze u firem z oblasti
IT/telekomunikací a z oblasti financí/bankovnictví. Zajímavá je třetí příčka
státního sektoru. Tady zřejmě sehrál roli zákon 148/1998 Sb. s prováděcími
vyhláškami, který existenci bezpečnostní politiky v definovaných případech
přímo požaduje. Jak vypadá bezpečnostní politika podle oborů působnosti podniků
informuje graf č. 2.
Většinou nedostatečný je rozsah bezpečnostní politiky. Pouze ve 28 % případů se
objevuje jedna z nejdůležitějších součástí bezpečnostní politiky: reakce na
bezpečnostní incidenty, a jen ve 13 % případů můžeme hovořit o komplexní
bezpečnostní politice v těchto podnicích je pokryto 10 a více oblastí uvedených
v následujícím grafu. Rozsah bezpečnostní politiky v organizacích
charakterizuje graf č. 3.
Bezpečnostní incidenty a hrozby
Jednoznačně dominující bezpečnostní incident v uplynulých dvou letech
představovaly pro oslovené firmy výpadky proudu (91 %). Na druhém místě se pak
se 79 % umístily poruchy hardwaru. Druhou skupinu incidentů, jejichž výskyt se
pohyboval kolem 50 %, představovala selhání LAN (55 %), viry zvenčí organizace
(také 55 %), chyby programového vybavení (54 %) a chyby uživatelů (48 %). Virus
zevnitř organizace se vyskytl ve 40 % případů, chyby administrátora sítě nebo
obsluhy poškodily organizaci ve 33 % případů, k selhání WAN pak došlo ve 30 %
případů. Ve 28 % organizací zaznamenali krádež zařízení a v 17 % pak příčinou
ohrožení bezpečnosti dat byla přírodní katastrofa (tady je třeba podotknout, že
na relativně vysokém procentu měly lví podíl předloňské a loňské povodně).
Nepovolený přístup k datům zevnitř společnosti byl příčinou 10 % bezpečnostních
incidentů, ke zneužití zařízení došlo v 6 % případů a jen 2 % organizací
doplatila na nepovolený přístup k datům zevnitř.
Jiná je ovšem situace, pokud jde o dopad bezpečnostních incidentů. Jako
nejzávažnější hodnotily organizace poruchy hardwaru, následoval výpadek proudu
a jako třetí nejnebezpečnější uváděli respondenti chybu programového vybavení.
Tady ovšem možná můžeme hovořit o subjektivním pocitu dotázaných, protože
pořadí bezpečnostních incidentů podle prokazatelných finančních škod vypadá
úplně jinak. Viz graf č. 4.
Vidíme, že jednoznačně "vedou" přírodní katastrofy a na třetí místo se
probojovaly škody způsobené nepovoleným přístupem zvenčí, ačkoliv co do
četnosti skončily na posledním místě se 2 %. Z toho je patrné, že se jedná o
mimořádně nebezpečný faktor, který sice není příliš častý, ale vyskytne-li se,
jsou jeho dopady nedozírné.
Zajímavé byly představy respondentů o potenciálních hrozbách. Za
nejnebezpečnější označili dotázaní ( 48 %) vlastní uživatele. Následuje
Internet (42 %) a dále neexistující nebo nefunkční bezpečnostní management (29
%). Ve 22 % případů se respondenti domnívají, že největší potenciální hrozbou
je neadekvátní technická infrastruktura či zastaralé technologie, 19 %
organizací se obává roku 2000 a 9 % má strach z elektronického obchodování.
Provozované aplikace považuje za rizikové 8 % dotázaných a například nikdo se
nebojí přechodu na euro. Vzhledem k tomu, že téměř polovina dotázaných se
domnívá, že největší hrozbu bezpečnosti jejich dat představují vlastní
uživatelé, je poněkud paradoxní, že pouhých 16 % organizací provádí pravidelné
proškolování zaměstnanců v oblasti bezpečnosti.
Zabezpečení dat
A jak tedy vypadá bezpečnostní politika organizací v praxi? Pouze 8 % podniků a
institucí používá kromě hesel také jiné ochranné identifikační a autentizační
prvky pro přístup do systémů. Autentizace prostřednictvím hesla zadaného z
klávesnice je tak stále nejrozšířenějším způsobem přístupu do systému.
Nepříliš povzbuzující je situace v oblasti auditu a vyhodnocování
bezpečnostních událostí. Pouze 16 % organizací vědomě zaznamenává bezpečnostní
události a jen 13 % podrobuje auditní záznamy pravidelné kontrole.
Dotazník zjišťoval i to, v jakých souvislostech používají organizace šifrování.
Nejčastěji je to v případě komunikace mimo organizaci (40 %). Výrazně méně je
to pak při zálohování dat (15 %), při ochraně dat na serverech (12 %) a při
komunikaci uvnitř organizace (11 %). Většina (57 %) organizací očekává, že v
nejbližších dvou letech u nich dojde k mírnému zvýšení objemu šifrovaných dat
nebo k nasazení šifrovací technologie. Velké zvýšení pak očekává 20 %
organizací.
Další dotaz směřoval k typickým způsobům fyzického zabezpečení klíčových
komponent informačního systému.
Podle předpokladů je nejvyužívanějším způsobem fyzického zabezpečení místnosti
s mechanickým zámkem. Jen asi polovina organizací využívá i dalších mechanismů,
jako např. elektronické zabezpečovací zařízení a požární signalizaci.
Pokud jde o způsoby uchovávání záložních pásek (médií) za jedině správné je v
současné době považováno ukládat pásky v trezoru v jiné budově, než je budova s
originálními daty (serverem). Budovy by od sebe měly být dostatečně vzdáleny.
Takto má svá data uložena jedna třetina organizací. Nejběžnějším způsobem je
dnes uchovávání dat mimo místnost s originálními daty, ale ve stejné budově.
Každá čtvrtá organizace ovšem ještě dnes uchovává svá zálohovaná data ve stejné
místnosti jako originály, mimo trezor, což představuje naprosto nepřijatelnou
míru rizika.
"Klasickým" rizikem bezpečnosti dat jsou viry. Dvě třetiny dotázaných
organizací brání šíření virů ve svém podniku pomocí jednotného a
centralizovaného způsobu distribuce a instalace antivirových programů. Jen
každá devátá organizace však provádí povinnou kontrolu čistoty externích dat.
V souvislosti s legálností používaného softwaru je alarmující, že celých 30 %
organizací neprovádí žádná organizační ani technická opatření proti
neoprávněnému zavádění nových programů do systému a vše nechává na dobré vůli
svých zaměstnanců.
Internet
Přístup k Internetu má v současné době 17 % zaměstnanců zkoumaných organizací.
Za rok by se ovšem toto číslo mělo zvýšit o 6 %. U pouhých 6 % ovšem mají
přístup k Internetu všichni pracovníci. Větší šanci "dostat se na Web" mají
zaměstnanci organizací se 100 až 500 pracovníky, u větších podniků se procento
"připojených" snižuje.
Jak vypadá využívání Internetu v organizacích podle oboru působnosti, ukazuje
graf č. 5.
Používání Internetu ovšem s sebou přináší i bezpečnostní rizika. Plných 62 %
organizací připojených na Internet se setkalo s virem v příloze k elektronické
poště a 31 % s virem ze souborů stažených z Internetu. Další bezpečnostní
incidenty v souvislosti s Internetem (např. neautorizovaný přístup do systému
organizace nebo zničení WWW stránek) nejsou statisticky významné.
Pokud jde o způsoby zabezpečení Internetu, je nejčastější ochranou před riziky
s ním spojenými podle očekávání firewall (52 %). U organizací, kde je připojeno
více než tři čtvrtiny zaměstnanců je procento používání firewallu ještě vyšší
(70 %). Dalším způsobem ochrany je fyzické oddělení Internetu od vnitřní sítě.
Tento způsob používají většinou ty organizace, které mají méně než 10 %
připojených zaměstnanců. U těchto podniků je tento způsob používán ve 41 %.
Tam, kde jsou připojeni všichni, používají této ochrany v 19 % případů.
Plány obnovy funkčnosti
V případě, že dojde k havárii bezpečnostního systému, je velice důležitá
existence plánu obnovy funkčnosti informačního systému. Téměř polovina
dotázaných organizací uvedla, že takovýto plán má. Nejlépe je na tom v tomto
směru sektor telekomunikací, IT a elektroniky (70 %), chemický průmysl (66 %) a
sektor financí a bankovnictví (64 %).
Plán na obnovu funkčnosti IS, ovšem ztrácí smysl, pokud není pravidelně
testován. Za nejvhodnější periodu testování je považován 1 rok. Alespoň jednou
ročně testuje svůj plán na obnovu funkčnosti 51 % organizací, naopak 8 %
organizací jej netestuje vůbec.
Stejně tak ztrácí plán smysl, není-li pravidelně aktualizován. Jednou do roka
tak činí 45 % organizací, naopak vůbec neaktualizují 3 % podniků.
Plných 75 % organizací, kte-ré mají plán obnovy funkčnosti IS, jej bylo již
nuceno použít. V 80 % případů se plány ukázaly jako účinné. Pouze v jednom
procentu případů plán totálně selhal.
Analýza rizik
Jednu z klíčových činností při řešení bezpečnosti v organizacích představuje
analýza rizik. Její závěry jsou využívány např. při tvorbě bezpečnostních
politik, v procesu sestavování plánů obnovy funkčnosti a při auditu
bezpečnostních informačních systémů. Cílem analýzy rizik je poskytnout
objektivní informace o hrozbách, jimž je zkoumaný informační systém vystaven, a
umožnit tak implementaci cenově a funkčně optimalizovaných bezpečnostních
protiopatření.
Alespoň jednou za rok je detailní analýza rizik informačního systému prováděna
ve 14 % organizací. Ve 12 % pak jednou za dva roky, méně často než jednou za
dva roky u 28 % organizací a u 46 % není analýza rizik prováděna nikdy. Problém
roku 2000
Pozdě, ale snad přece se Y2K stává evergreenem i v České republice. A jak
vypadá postup řešení problému roku 2000 u dotazovaných organizací? To vidíme na
grafu č. 6.
Pouze každá desátá organizace neočekává v souvislosti s rokem 2000 žádné
problémy. Největší část respondentů (80 %) očekává jednotlivé dílčí problémy,
které budou rychle a snadno zvládnutelné. Organizací, které očekávají celkové
problémy s náročným řešením, je 8 %.
Největší překážky informační bezpečnosti
Nakonec se ještě podíváme na dva grafy, které přibližují představy respondentů
o tom, jaké jsou nejvýznamnější bariéry rychlejšího prosazení informační
bezpečnosti v České republice.
Tabulka č. 1 uvádí celkové shrnutí odpovědí na tuto otázku, tabulka č. 2 pak
znázorňuje největší překážky z pohledu oborů působnosti organizací.
Závěr
Jaká jsou tedy hlavní zjištění průzkumu? Incidenty, se kterými se nejčastěji v
uplynulých dvou letech organizace setkávaly, byly výpadky proudu, poruchy
hardware, selhání LAN, viry zvenčí organizace, chyby programového vybavení a
chyby uživatelů.
Finanční ztráty z těchto incidentů se pohybovaly v rozmezí od několika desítek
tisíc po 150 milionů Kč. Pro 7 % organizací představovala incident s
nejvážnějšími důsledky přírodní katastrofa, přičemž průměrný finanční dopad byl
v tomto případě 11 milionů Kč.
Proti haváriím a jiným neočekávaným událostem je adekvátně zabezpečena pouze
čtvrtina organizací. Jen třetina respondentů disponuje bezpečnostní politikou a
pouhý zlomek z nich
má skutečně komplexně pokryt všechny oblasti případných rizik.
V souvislosti s používáním Internetu je nejčastějším incidentem virus z přílohy
v elektronické poště a frekvence tohoto incidentu se neustále zvyšuje.
Na rok 2000 je v současnosti plně připravena (tedy včetně třetích stran) pouze
každá desátá organizace, dalších 16 % je připraveno v rámci organizace.
Z hlediska plnění primárních cílů má informační bezpečnost význam pro více než
90 % organizací.
9 1936 / jafn
Obecně nízké bezpečnostní vědomí31
Finanční náročnost20
Neexistence českého bezpečnostního standardu14
Nedostatečná podpora ze strany vedení organizace13
Nedostatečná a nevyvážená legislativa ČR10
Nedostatek informací6
Nezájem a nekompetentnost státních orgánů4
Nedostatek tuzemských expertů1
Technologická náročnost1
Státní sektorFinanční náročnost 28 %
IT/telekomunikaceObecně nízké bezpečnostní vědomí 28 %
Finance/bankovnictvíNeexistence českého bezpečnostního standardu 46 %
StrojírenstvíObecně nízké bezpečnostní vědomí 42 %
EnergetikaNedostatečná podpora ze strany vedení organizace 39 %
ChemieFinanční náročnost 43 %
Ostatní průmyslObecně nízké informační vědomí 36 %
Jiné oboryObecně nízké informační vědomí 26 %