Počítačová zranitelnost neklesá

6. 11. 2006

Sdílet

Devadesát procent společností v USA pociťuje oproti minulému roku stejnou nebo menší míru počítačové zranitelnosti, a to navzdory faktu, že se firmy mnohem více soustřeďují na bezpečnost - jak ve svých prioritách, tak i ve výdajích

Otázky zabezpečení dat trápí většinu IT profesionálů po celé planetě, i když si většina z nich zranitelnost svých vlastních firem vůči počítačovým útokům plně neuvědomuje. To je jedno ze zjištění, které vyplynulo z průzkumu Global Information Security Survey 2006, který byl letos proveden již podeváté. I v nadcházejícím roce lze tedy očekávat další zvýšení investic do bezpečnosti.
Průzkumu se zúčastnilo více než 2 000 technických a bezpečnostních specialistů z osmi zemí, kteří v něm odhalili, zda to, co jim nedá spát, jsou hackeři, "záškodničtí programátoři", prolomení ochrany zákaznických dat nebo krádež osobní identity. Experti podtrhli i další priority, jako třeba zvýšení povědomí uživatelů počítačů o tom, jak se mají chovat (41 % dotazovaných považuje tento úkol za důležitý), prosazování bezpečnostních politik v rámci organizací (36 %), kontrolu přístupu k informačním systémům (26 %) a získání více zdrojů pro lepší bezpečnost (23 %). Přesto při dotazu, zda jsou jejich společnosti více zranitelné vůči útokům a prolomení bezpečnostní ochrany než před rokem, si pouze 11 % respondentů ze společností v USA, 13 % v Evropě, 16 % v Číně a celých 25 % v Indii myslí, že ano. Drtivá většina firem je toho názoru, že jejich zranitelnost se oproti minulým letům snížila nebo je stejná, dokonce zmiňují vyšší stupeň důvěry, než jaká vyplynula z loňského zkoumání.
Již devátým rokem, od doby, kdy je on-line průzkum prováděn, je zaznamenán nárůst prostředků plynoucích do informační bezpečnosti. Je třeba také zmínit, že výdaje na bezpečnost již nejsou skryty v rozpočtu IT, ale tvoří transparentní a oddělenou položku, kterou se často zabývá i představenstvo nebo správní rada. "Je dobrým znamením, že tomu, jak se společnosti vypořádávají s úkoly jako hodnocení rizik a ochrana dat o zákaznících, věnuje stále zvyšující se pozornost i senior management společností", říká Rob Preston, šéfredaktor InformationWeek. "Je nicméně kritické, aby vyšší stupeň důvěry a rostoucí množství nákladů vydávaných na bezpečnost nevyústilo ve falešný pocit vlastní nedotknutelnosti."
Obecné globální trendy zahrnují:
n IT profesionálové v zemích mimo USA byli o něco opatrnější při hodnocení vlastní zranitelnosti. 13 % respondentů v Evropě, 16 % v Číně a 24 % v Indii zmiňuje větší zranitelnost vůči bezpečnostním hrozbám než před rokem.
n Očekává se, že výdaje na bezpečnost tento rok významně porostou. 57 % respondentů v Indii zastává názor, že na bezpečnost vynaloží v letošním roce více prostředků než tomu bylo v minulých letech. Obdobně se vyjadřuje téměř polovina dotázaných ve Spojených státech amerických, 42 % v Číně a 25 % expertů v Evropě.
n V loňském roce byl zaznamenám větší počet útoků. Více než polovina dotázaných v USA (přesněji 57 %) uvedla, že se v loňském roce potýkala s útoky virů, 34 % respondentů se muselo vypořádat s červy, 18 % bylo zasaženo útoky odmítnutí služby (DoS), 9 % zaznamenalo síťové útoky a 8 % krádeže identity.
n Mezi zeměmi existují odlišnosti ve způsobu, jak vnímají a řeší otázky bezpečnosti. Zvládání komplexity je vnímáno jako největší výzva v USA, zatímco v Evropě a v Číně se více věnují kontrole přístupu uživatelů. Oproti tomu v Indii jsou v centru současného dění otázky komplexity a vynucení bezpečnostní politiky.
n Outsourcing bezpečnosti se stává v celém světě stále běžnějším. Přibližně čtvrtina společností dotázaných v Číně se v nadcházejícím roce chystá zvýšit své výdaje, a to konkrétně na správu firewallů, výhledově také na řešení umožňující zotavení z havárie a testování zranitelností. Obdobně 23 % evropských firem očekává navýšení prostředků vynakládaných na externí zajištění firewallů, ochranu textových forem komunikace a řízení bezpečnosti. Přibude k nim i testování zranitelností a jejich správa. Přibližně 16 % amerických společností je připraveno směřovat více prostředků do outsourcingu bezpečnosti, a to zejména u tréninků a školení.
Zákonné požadavky pohánějí bezpečnostní politiky a postupy firem. Zlepšení bezpečnosti infrastruktury, aplikací a řízení dokumentů bylo dosaženo například díky zákonu Sarbanes-Oxley v USA či Direktivě na ochranu dat v EU.
"Nejsme překvapeni očekáváním, že v letošním roce dojde k dramatickému zvýšení výdajů", říka Alastair MacWillson, globální manažer oblasti bezpečnosti společnosti Accenture. "Společnosti vynakládají mnoho úsilí a finančních prostředků na to, aby vyhověly zákonným požadavkům s vírou, že by to současně mohlo zvýšit i bezpečnost. To může být v některých případech pravda, ale nevěřím, že to je efektivní způsob, jak nalézt slabá místa informační bezpečnosti v oblastech, na kterých společnosti skutečně záleží."
"Společnosti, které se informační bezpečnosti skutečně věnují, integrují bezpečnost do všech svých procesů a nakonec zjistí, že vysoký bezpečnostní standard, jehož dosáhly, jim umožňuje věnovat se kvalitativně novým aktivitám. Zároveň jsou pak lépe schopny hodnotit podnikatelské přínosy, které jim investice do bezpečnosti přinášejí", pokračuje MacWillson. "Vezměme si příklad internetového bankovnictví. Takovou službu nelze provozovat bez toho, že použité bezpečnostní mechanismy jsou skutečně neprůstřelné."

Odpověď na útoky a Risk Management
n Společnosti v průměru vynakládají na informační bezpečnost asi 10 % svého rozpočtů na IT, nicméně to se geograficky mění. Například 30 % společností v USA uvádí, že jejich výdaje jsou větší než 100 000 dolarů, ale v Evropě už stejnou sumu vydává jen 10 % dotazovaných společností, v Číně již pouhých 5 %.
n Bezpečnostními prioritami pro nadcházející rok se podle respondentů stane monitorování bezpečnostního souladu s normativními požadavky, instalace a monitorování nástrojů pro detekci průniku. Pro některé společnosti je důležitá i bezpečnost telekomunikačních technologií, zejména s ohledem na aplikace VoIP (Voice over Internet Protocol).

Fakta o narušení bezpečnosti
n Nejčastější metodou bezpečnostního útoku se staly zfalšované informace v přílohách e-mailů. Kategorií, která zaznamenala největší vzestup, je zneužití existujících uživatelských účtů a souvisejících práv.
n Nejaktivnějšími útočníky jsou hackeři, následovaní tvůrci záškodnických aplikací. Nelze nezmínit ani bývalé a současné zaměstnance a jiné autorizované uživatele.
n Prevence nevyžádané pošty (spamu) je celosvětovou prioritou, a to zejména kvůli svému dopadu na produktivitu práce. Únik dat zákazníků a krádeže identity jsou také na vzestupu.
n Nejčastějším důsledkem událostí narušení bezpečnosti je nedostupnost sítí nebo aplikací. Polovina společností v Číně uvedla, že zaznamenala narušení důvěrnosti informací a někdy i zničení systému. Většina společností se nezabývá tím, že by vyčíslovala případné finanční ztráty plynoucí z destrukce. Metriku zde zastupuje čas zaměstnanců, kteří se musí věnovat napravení problému.

Odpovědnost a protiopatření
n Za bezpečnost, jež má jak interní, tak externí vstupy, je ve společnostech odpovědných mnoho částí a oddělení. Ve Spojených státech a Číně jsou to primárně CIO (Chief Information Oficer) a členové jeho týmu, kteří určují bezpečnostní politiky. Naproti tomu v Evropě je často v bezpečnosti zainteresován i ředitel společnosti (CEO, Chief Executive Officer) nebo prezident, téměř třetina firem má ve své organizační struktuře zavedenu pozici CISO (Chief Information Security Officer), který je zodpovědný CIO nebo CEO.
n Prezident, případně CEO osobně ovlivňuje směřování financí do bezpečnosti v téměř polovině amerických a evropských firem a ve třetině čínských a indických.
n Pro účely ochrany interních dat zákazníků jsou na místě opatření, prováděná formou školení zaměstnanců o bezpečnostních standardech, zabezpečení transakcí na webu a šifrování komunikace po síti. V současnosti mnoho společností monitoruje aktivity svých zaměstnanců v různých oblastech - sledují například jejich e-mailovou komunikaci a navštívené webové stránky, užívání programů pro rychlou textovou komunikaci a obsah ochozích e-mailových zpráv.

Dodavatelé bezpečnostních řešení a outsourcing
Společnosti při nákupu bezpečnostních technologií posuzují mnoho faktorů. Ve Spojených státech a v Číně například věnují pozornost zejména technickým vlastnostem řešení, celkovým nákladům na vlastnictví, službám a uživatelské podpoře dodavatele, ceně a možnostem integrace. V Evropě jsou nejdůležitějšími posuzovanými oblastmi užitek plynoucí z produktu a cena, zatímco v Číně se nejvíce soustředí na podporu a integrovatelnost.
Většina firem je ochotna podřídit se tomu, že všechna bezpečnostní řešení budou pocházet od jednoho dodavatele, výměnou za lepší a méně komplikovanou ochranu. Americké společnosti zmiňují snížení komplexity jako klíčový faktor pro rozhodnutí o tom, zda zůstat jen u jednoho dodavatele, naopak pro evropské, čínské a indické firmy je důležitá vyšší bezpečnost plynoucí z integrovaného řešení, dodaného jedním výrobcem.

Metodologie
Výzkum Global Information Security Survey 2006 byl proveden on-line magazínem InfoWeek v průběhu měsíců května a června 2006, společnost Accenture byla jedním z jejích sponzorů. Celkově bylo dotázáno 2 193 bezpečnostních expertů v osmi zemích (USA, Čína, Indie, Velká Británie, Francie, Německo, Itálie, Španělsko).

Článek přeložili a upravili Josef Herynek a Martin Másílko ze společnosti Accenture Global Technology Consulting.