Více než 40 % organizací v České republice bylo v uplynulých dvou letech postiženo bezpečnostními incidenty s prokazatelnými přímými finančními dopady, přičemž průměrná výše těchto dopadů na incident dosáhla 415.000 Kč. Nějaký bezpečnostní incident v oblasti informačních systémů - bez ohledu na přítomnost finančních dopadů - postihl v daném období 99 % dotazovaných společností. K těmto závěrům dospěl Průzkum stavu informační bezpečnosti v České republice v roce 2001 (PSIB'01), který byl realizován ve spolupráci společnosti PricewaterhouseCoopers (oddělení Řízení podnikatelských a informačních rizik), časopisu DSM-data security management a Národního bezpečnostního úřadu.

Průzkum byl zpracován již podruhé, a kromě podrobných informací o situaci v oblasti bezpečnosti informačních systémů v ČR tak nabízí i srovnání se situací v roce 1999.

Informační technologie jsou ve srovnání s rokem 1999 stabilnější a spolehlivější a počet incidentů způsobených technologickým selháním poklesl. Nejčastějším bezpečnostním incidentem v uplynulých dvou letech byl výpadek proudu (zaznamenalo jej 85 % všech organizací), následovaný poruchami hardware (74 % společností) a počítačovými viry. S přítomností viru v příloze elektronické pošty se potýkalo 89 % organizací, což představuje nárůst o 27 % oproti roku 1999.

Celá polovina společností se domnívá, že velkou bezpečnostní hrozbou jsou jejich vlastní zaměstnanci - uživatelé, neboť právě oni se dopouštějí velkého počtu bezpečnostních incidentů. Počet společností, u nichž došlo k bezpečnostním incidentům způsobeným chybami uživatelů, vrostl během posledních dvou let ze 48 na 61 %.

Za další velké bezpečnostní riziko je organizacemi stále více považován Internet - své obavy z něj udává 56 % organizací (nárůst o 14 % oproti roku 1999). V současnosti má k Internetu přístup průměrně 32 % zaměstnanců, což představuje téměř zdvojnásobení oproti situaci před dvěma lety (17 %). Celkově již tři čtvrtiny organizací používají k ochraně před riziky Internetu firewall, což představuje nárůst o 24 % ve srovnání s rokem 1999.

Významně vzrostl také počet incidentů v důsledku nepovoleného přístupu k datům zvenčí (ze 2 na 6 %).

Všechny společnosti, které byly postiženy nepovoleným přístupem k datům zvenčí, navíc uvedly, že přestože incident neměl vážné přímé finanční dopady, měl prokazatelné či významné nepřímé negativní důsledky ve formě poškození pověsti společnosti či ztráty klientů.

K poklesu výskytu došlo u bezpečnostních incidentů způsobených chybou administrátora, selháním LAN a přírodní katastrofou.

Dohromady 30 % organizací uvedlo, že u nich probíhá bude probíhat zpracování osobních údajů ve smyslu zákona č. 101/2000 Sb. o ochraně osobních údajů, jež vyžaduje registraci u Úřadu na ochranu osobních údajů.

Celkově platí, že od roku 1999 došlo v ČR ke zřetelnému pokroku v řešení informační bezpečnosti. Ta je v současnosti významným tématem pro 97 % organizací v ČR (nárůst o 7 %), na druhou stranu se jen 54 % společností domnívá, že věnuje informační bezpečnosti dostatečnou pozornost. Hlavní překážkou pro rychlejší prosazování informační bezpečnosti jsou dnes nízké bezpečnostní vědomí a nedostatečná pozornost ze strany vedení podniku, naopak finanční náklady na zabezpečení informační bezpečnosti představují ve srovnání s rokem 1999 méně závažnou překážku.

Pozn.: Průzkum byl zaměřen na střední a velké společnosti se 100 a více zaměstnanci. Celkem se ho zúčastnilo 358 společností, převládaly přitom společnosti s počtem zaměstnanců mezi 100 a 500.

Průzkum nepreferoval žádné odvětví, oproti situaci před dvěma lety však došlo ke zvýšení zastoupení organizací ze státní správy. Společnosti odpovídaly anonymně formou dotazníků na celkem 55 podrobných otázek z oblasti informační bezpečnosti rozdělených do 15 tematických okruhů.