České firmy do kybernetické bezpečnosti dostatečně neinvestují, kybernetické útoky většinou odhalí se zpožděním

  • Share

► Bezpečnostní incident do hodiny odhalí jen třetina českých společností, podobně nízký podíl zaznamenaly i polské a maďarské firmy
► 88 % respondentů mezinárodního průzkumu EY považuje vlastní opatření uplatňovaná v souvislosti s kybernetickou bezpečností za nedostatečná
► 69 % účastníků průzkumu je přesvědčeno o nutnosti vynaložit na kybernetickou bezpečnost, resp. ochranu dat, více prostředků
► Jen u 7 % českých respondentů přitom rozpočet na kybernetickou bezpečnost vloni významně vzrostl (o více než 5 %), ve světě to ale bylo 50 %, v Polsku 43 % a v Maďarsku 38 %
► Mezi nejobávanější původce kybernetických útoků se aktuálně řadí kriminální spolky, hacktivisté a různými státy sponzorované skupiny

► Češi se tolik neobávají hrozeb vyplývajících z mobilních technologií a zneužití sociálních sítí

Praha, 2. prosince 2015 85 % firem v České republice se domnívá, že zabezpečení jejich podnikových informací nevyhovuje nebo jen částečně vyhovuje jejich obchodním potřebám. Ukazuje to nový mezinárodní průzkum kybernetické bezpečnosti pro rok 2015 (EY Global Information Security Survey 2015 - Creating trust in the digital world), který každoročně provádí poradenská společnost EY. Odpovědi 1 755 zástupců firem z celkem 67 zemí světa včetně České republiky ukazují na nejvýznamnější otázky z oblasti kybernetické bezpečnosti, kterým dnes organizace čelí.

„Priority kybernetické bezpečnosti jsou v ČR odlišné od okolních zemí, hlavní hrozby se však příliš neliší. Zatímco ve světě patří mezi hlavní priority ochrana úniku dat, BCM/DR [1] a řízení identit a přístupů, čeští respondenti považují vedle řízení identit a přístupů za priority především řešení incidentů a privilegovaná přístupová práva. Mezi hlavní hrozby pak ve světě i v ČR patří především demotivovaní zaměstnanci a phishing,“ říká Petr Plecháček, senior manažer oddělení IT poradenství společnosti EY v České republice. „Zajímavé je, že čeští respondenti příliš nevnímají zvyšující se hrozby vyplývající z mobilních technologií či zneužití sociálních sítí. Je to poměrně překvapivý výsledek, protože nechtěné úniky informací či cílená manipulace s médii jsou podle našeho názoru závažnými hrozbami, které je třeba proaktivně řešit.“

Více než třetina (36 %) dotázaných společností dnes dostatečně nedůvěřuje vlastním bezpečnostním opatřením na odhalování sofistikovaných kybernetických útoků. Téměř devět z deseti firem ve světě i u nás si dokonce myslí, že jejich kybernetická bezpečnost vůbec nevyhovuje nebo vyhovuje jen částečně jejich obchodním potřebám (88 % svět, 85 % ČR). Hlavní překážkou je přitom výše rozpočtu na kybernetickou bezpečnost. Sedm z deseti (69 %) firem zastává názor, že mají-li sladit nezbytná bezpečnostní opatření s mírou tolerance vůči riziku stanovenou vedením společnosti, potřebují svůj rozpočet navýšit až o polovinu.

Ve srovnání se světem investují české firmy do kybernetické bezpečnosti málo, incident do hodiny odhalí jen třetina z nich

V Česku přitom růst rozpočtu větší než 5 % v loňském roce deklaruje jen 7 % účastníků, ve světě to byla rovná polovina (50 %). Podobný rozdíl panuje i v plánech do budoucna, rozpočet na kybernetickou bezpečnost chce v příštím roce alespoň o 5 % zvýšit jen pětina (21 %) českých firem, globálně opět více než polovina (54 %). I ve srovnání s našimi nejbližšími sousedy jsou na tom české firmy výrazně hůře, v Maďarsku hodlá investovat každá třetí (31 %) firma, v Polsku to pak plánuje více než polovina dotázaných (57 %).

2015-GISS-report-infografika

Vlivem nízkých investic do kybernetické bezpečnosti a chybějících odborníků jsou české firmy pomalejší i v odhalování bezpečnostních incidentů. Dotazované české firmy deklarují, že do hodiny odhalí útok jen třetina z nich (33 %), ve světě je zatím na bezpečnostní rizika schopna stejně rychle reagovat každá druhá firma (50 %). Podobně nízký podíl rychlých reakcí jako u nás zaznamenalo jen Polsko a Maďarsko. Vylepšení zabezpečení svých systémů přitom v České republice plánuje jen polovina firem (55 %), přičemž ve světě chystá nová bezpečnostní opatření až 78 % společností.

„Organizace s nadšením přijímají moderní technologie a výdobytky digitálního světa, je však zapotřebí, aby nezapomínaly na odpovídající opatření proti stále promyšlenějším kybernetickým útokům. Potenciální rizika spojená s bezpečnostními průniky by neměly přehlížet ani podceňovat. Naopak, kybernetická bezpečnost by se měla stát jednou z priorit, na jejíž zajištění půjdou potřebné investice. Digitální svět bude dlouhodobě fungovat jedině tehdy, dokáží-li firmy ochránit samy sebe i své klienty a získat tak dostatečně důvěryhodné postavení,“ říká Petr Plecháček.

Slabá místa a hrozby zabezpečení: posun ve vnímání

A koho se firmy v oblasti kybernetických útoků bojí nejvíce? Kriminálních spolků (59 %), vlastních zaměstnanců (56 %) a hacktivistů (54 %). Na dalších místech pak figurují například státem sponzorované útoky (35 %). Pořadí první trojice se od loňského roku prakticky nezměnilo, ovšem vnímání kriminálních spolků, hacktivistů a státem sponzorovaných útoků jako potenciálních hrozeb posílilo (v roce 2014: 53 %, resp. 46 % a 27 %).

Z průzkumu také vyplývá, že obavy firem z rizik souvisejících s nevědomým či nedbalým přístupem zaměstnanců (44 %) a zastaralostí systémů (34 %) ve srovnání s loňským rokem poklesly (z 57 %, resp. 52 % v rámci GISS 2014). Naopak se v současné době cítí víc ohroženy útoky typu phishing a prostřednictvím škodlivého software. Za nejvýraznější hrozbu aktuálně považuje phishing 44 % respondentů, oproti 39 % před rokem, škodlivý software pak 43 %, zatímco loni jej takto označilo pouze 34 %.

Závěry letošní studie poukazují mimo jiné na nedostatečnou schopnost organizací kybernetickému útoku zabránit, resp. jej potlačit:

  • 54 % společností uvedlo, že postrádají oddělení či zaměstnance, jež by zkoumali nově vznikající technologie a jejich dopady na bezpečnost, v Česku pak chybí rovnou 77 % respondentů
  • 22 % respondentů nepřipravuje vylepšení v oblasti kybernetické bezpečnosti, mezi českými firmami jde dokonce o 45 % dotázaných
  • 36 % nedisponuje žádným programem zaměřeným na analýzu relevantních hrozeb, v Česku takzvanou threat intelligence neřeší dokonce 62 % společností

Více než polovina dotazovaných (57 %) aktuálně připouští, že celkový význam a hodnotu podnikové funkce pro zajištění kybernetické bezpečnosti snižuje nedostatek kvalifikovaných odborníků. V roce 2014 zastávalo tento názor pouze 53 % respondentů. To naznačuje, že situace se spíše horší, než že by se zlepšovala.

 „Zajišťování kybernetické bezpečnosti má ve své podstatě obranný charakter. Organizace by však neměly čekat, až k nějakému napadení dojde. K dané problematice by naopak měly přistupovat aktivně a využívat pokročilá centra pro řízení bezpečnosti provozu (tzv. SOC) k tomu, aby odhalily potenciální útočníky a dokázaly analyzovat, vyhodnotit a neutralizovat hrozby dříve, než napáchají škody. Je zcela nezbytné, aby organizace vnímaly kybernetickou bezpečnost jako prostředek, který jim pomůže získat a udržet důvěru zákazníků,“ dodává Petr Fojtů, bezpečnostní specialista oddělení IT poradenství společnosti EY v České republice.

Přehled aspektů vybraných odvětví:

 

Globální průzkum kybernetické bezpečnosti za rok 2015 – hlavní zjištění

Průmyslové odvětví

Pravděpodobné zdroje kybernetických útoků

Priority programu na
zabezpečení informací

Podíl společností s nezměněnou výší rozpočtu na zajištění kybernetické bezpečnosti v příštím roce

Spotřební zboží

Zaměstnanci: 61 %

 

Kriminální spolky: 52 %

 

Externí dodavatelé: 43 %

Zajištění kontinuity podnikání / obnovy po havárii: 59 %

 

Zabránění únikům a ztrátám dat: 50 %

 

Účinné zvládání bezpečnostních incidentů 40 %

38 %

Bankovnictví a kapitálové trhy

Kybernetické útoky zaměřené na krádež finančních údajů: 21 %

 

Škodlivý software: 20 %

 

Podvodné jednání: 19 %

Zabránění únikům a ztrátám dat: 67 %

 

Zajištění kontinuity podnikání / obnovy po havárii: 56 %

 

Řízení identit a přístupů: 56 %

33 %

Energetika a veřejné služby

Zastaralé bezpečnostní předpisy, nevědomý či nedbalý přístup zaměstnanců, škodlivý software: 20 % jednotlivě

Zajištění kontinuity podnikání / předcházení haváriím: 52 %

 

Zabránění únikům a ztrátám dat: 44 %

 

Bezpečnost provozu, mj. antivirové produkty, instalace oprav a záplat, šifrování: 43 %

33 %

 

Informace o průzkumu

Globální průzkum kybernetické bezpečnosti za letošní rok provedla společnost EY v období od června do září 2015. Zúčastnilo se jej 1 755 organizací z 67 zemí světa; zastoupena byla veškerá významná průmyslová odvětví. V rámci každoročního průzkumu jsme dotazovali pracovníky na pozicích CIO, CISO, CFO, CEO a další vedoucí pracovníky zabývající se problematikou kybernetické bezpečnosti.



[1] Řízení kontinuity činností/Plány obnovy