V České republice byl v roce 2003 již potřetí (dříve v letech 1999 a 2001) proveden průzkum stavu informační bezpečnosti. Průzkum prováděly následující organizace: Ernst and Young, časopis DSM - data security management a Národní bezpečnostní úřad. Text čerpá z výsledků vydaných v materiálu [1], ze kterého jsou převzaty veškeré použité číselné údaje a grafy.



Tento průzkum probíhal od března do června 2003. Bylo osloveno celkem 1100 společností, z nichž 380 dotazník vrátilo, 362 z nich bylo zpracováno. Jednalo se o střední a velké společnosti, s počtem pracovníků větším než 100, 60 % z nich bylo do 500 pracovníků. Průzkum byl prováděn anonymně, bylo položeno celkem 56 otázek. V následujícím textu jsou shrnuty některé závěry průzkumu a je poukázáno na některé zajímavé a případně neočekávané výsledky. Navíc vzhledem k tomu, že průzkum probíhal již potřetí, je možno sledovat určité trendy. Respondenti průzkumu byly z různých resortů, nevětší podíl jich byl ze státní správy a strojírenství, ze kterých bylo vždy kolem 18 % respondentů, ostatní obory nepřesahovaly v průzkumu 10 %. V organizaci mohl na průzkum odpovídat kdokoliv, nebylo dopředu určeno, kdo by to přesně měl být. Nejčastěji odpovídala osoba v pozici vedoucí oddělení IS/IT (41 %). Pracovníci bezpečnosti odpovídali pouze v 7 %. To bohužel odpovídá současné situaci v podnicích, kdy specializovaný útvar na bezpečnost je spíše výjimka a většinou je bezpečnost svěřena oddělení IS/IT.




Další otázky zkoumaly vztah velikosti organizace, jejího zaměření a významu informační bezpečnosti pro organizaci. Význam byl určován ve škále velký význam, význam, malý význam. Celkem 95 % organizací uvedlo, že pro ně má informační bezpečnost význam nebo velký význam. Největší význam uvádějí organizace z oblasti bankovnictví a financí, kde velký význam má pro 93 % organizací. Mezi těmito organizacemi nejsou žádné, pro které by informační bezpečnost měla malý význam. Na dalších místech se umístila státní správa a potravinářství. U potravinářství je tento výsledek vcelku nečekaný, naopak u státní správy, kde jsou jistě osobní a často i citlivé údaje, je význam informační bezpečnosti očekávaný. Naopak na druhé straně se umístila elektrotechnika, pouze pro 36 % organizací z tohoto resortu má informační bezpečnost velký význam. Další část otázek zjišťovala, kdo se v organizaci bezpečnosti věnuje, jaký má plat a jaké se očekávají schopnosti. Ukázalo se, že 13 % procent organizací má nejméně jednoho pracovníka, který se věnuje informační bezpečnosti jako své hlavní pracovní činnosti. Ačkoliv nároky kladené na takové pracovníky jsou velmi vysoké, je u 29 % z nich finanční ohodnocení (hrubá měsíční mzda) nižší než 25 000 Kč a u dalších 49 % je do 40 000 Kč. Mezi nejvíce postrádané vlastnosti patří znalost finančního řízení, prezentační schopnosti a schopnost efektivní komunikace s vedením organizace, naopak nejvíce ceněné jsou např. analytické schopnosti, technologické znalosti IS/IT a věcná znalost informační bezpečnosti. Dá se říci, že zřejmě převládají spíše technické znalosti, ale vedení organizace by také přivítalo určité manažerské schopnosti, např. schopnost prezentovat. To je ovšem nedostatek mnoha pracovníků s technickým vzděláním. Na druhou stranu prezentované platy odpovídají spíše technickým než manažerským pozicím.

Oddělení odpovědné za informační bezpečnost v podniku je v České republice v drtivé většině oddělení IS /IT, navíc tento podíl dokonce roste. Celkem to je 78 % organizací. Pouze zcela výjimečně se jedná o útvar bezpečnosti, pouze ve 3 %. To je zcela nevyhovující situace, neboť bezpečnost by měla být od IS /IT oddělena a rozhodně by pracovník či pracovníci zodpovědní za bezpečnost neměli podléhat vedené IS/IT. Pokud má budování informační bezpečnosti mít nějaký význam, je nutno neustále zvyšovat bezpečnostní vědomí zaměstnanců. To činí organizace různými způsoby. Nejčastěji (72 %) se jedná o interně publikované směrnice a kontrolní činnost (37 %). Dále jsou zaměstnanci školeni, mají přílohu k pracovní smlouvě nebo je vydána zaměstnanecká příručka. Vzhledem k tomu, že vlastní uživatelé představují jednu z nejvýznamnějších hrozeb pro počítačovou bezpečnost, zdá se, že organizace tuto oblast značně podceňují. Jsou-li směrnice interně publikovány, ještě z toho vůbec nevyplývá, že je zaměstnanci skutečně znají a řídí se jimi. Vzhledem k tomu, že již řadu let působím jako lektor v oblasti počítačové bezpečnosti, nedělám si o této situaci vůbec iluze. Pokud není dodržování směrnic zakotveno v pracovní smlouvě a zaměstnancům není jasné, jaké postihy mohou očekávat, není podle mého názoru šance na zlepšení situace. Základním dokumentem, ze kterého by mělo vycházet budování informační bezpečnosti, je bezpečnostní politika. Je to zásadní dokument, ze kterého by pak mělo vycházet budování bezpečnostního projektu, měla by být formálně dokumentována, schválena nejvyšším vedením atd. Přesto ve formě dokumentu má tuto bezpečnostní politiku přijatou pouze 46 % organizací. Jde ovšem o nárůst proti roku 1999 (35 %) i proti roku 2001 (42 %). Navíc i pokud má organizace bezpečnostní politiku přijatou, není jisté, jaké vlastně pokrývá oblasti. To ukazuje obrázek č. 2.


Obr. 2: Rozsah bezpečnostní politiky

Navíc jsem se setkala již několikrát se situací, kdy sice v podniku byla jakási politika přijata, ale nikdo z řadových zaměstnanců neměl potuchy, co v ní je, a někteří ji ani nikdy nespatřili. Další část průzkumu se týkala bezpečnostních incidentů, se kterými se organizace setkala. Nejčastějším bezpečnostním incidentem je výpadek proudu (89 %), počítačový virus (79 %) a porucha HW (77 %). Naopak mezi velmi řídké incidenty - pod 10 % - organizace počítají zneužití zařízení, nepovolený přístup k datům zvenku a nepovolený přístup k datům zevnitř. To ovšem vůbec neznamená, že je podobné incidenty nepotkaly, možná je prostě jen nezaznamenaly. Dále 20 % organizací udává v minulých dvou letech přírodní katastrofu, což znamená vzrůst. Protože průzkum byl prováděn v roce 2003, je zde jasná souvislost s povodněmi v roce 2002. Další zkoumanou otázkou bylo, jaké škody organizace utrpěly. Celkem 49 % organizací přiznalo přímé finanční dopady. Průměrná výše přímých dopadů byla 810 tisíc Kč. Největší přímý dopad měla v průměru přírodní katastrofa, bylo to 3 055 000 Kč, další závažnou chybou byla chyba programového vybavení s průměrným dopadem 1 900 000 Kč.

Co je největší hrozbou z hlediska informační bezpečnosti?
Pro 58 % organizací je to internet a/nebo elektronická pošta. Ovšem již pro 51 % jsou to vlastní uživatelé!!! Celkový přehled ukazuje obrázek č. 3.


Obr. 3: Největší hrozby z hlediska informační bezpečnosti

Kvalitní identifikace a autentizace je jedním z významných prvků zabezpečení. Identifikace a autentizace je pro přístup uživatelů do systému vyžadována u 99 % organizací. Některé organizace (13 %) vyžadují i jinou identifikaci a autentizaci kromě hesla, např. biometrickou autentizaci apod. Většina organizací sice provádí záznamy logování u hlavních systémů, ovšem většina organizací již tyto logy nevyhodnocuje. Pravidelně je vyhodnocuje 23 % organizací. Tyto záznamy jsou přitom cenným zdrojem informací, které by měly sloužit k dalšímu zlepšení bezpečnosti v organizaci. Jak již bylo uvedeno, největší hrozbou pro organizace je připojení k internetu a využívání služeb e-mailu apod., proto další skupina otázek byla věnována internetu. Zatímco v roce 1999 mělo 17 % zaměstnanců přístup k internetu, v roce 2003 to již bylo 47 % zaměstnanců. Stejně rychlým tempem ale roste zejména počet virů stažených z internetu. Obrázek č. 4 ukazuje výskyt bezpečnostních incidentů v souvislosti s využitím internetu.


Obr. 4: Bezpečnostní incidenty a internet

Stejně jako roste riziko bezpečnostních incidentů v souvislosti s internetem, tak se také vyvíjí způsoby zabezpečení internetu (obr. 5). Pokud je v grafu hodnota 0, nebyl údaj zjišťován.


Obr. 5: Způsoby zabezpečení internetu

Po povodních v roce 2002 se všeobecně očekávalo, že bude větší pozornost věnována tvorbě havarijních plánů včetně plánů na obnovu funkčnosti. Ovšem kupodivu počet organizací, které mají zpracovaný plán obnovy funkčnosti, poklesl o 3 % (nyní je situace 52 % ne, 48 % ano). Se vzrůstem velikosti organizace roste procento organizací, které tyto plány mají. Aby plány obnovy měly nějaký smyl, je nutné je pravidelně aktualizovat a testovat. Většina organizací ale tuto aktualizaci a testování provádí nedostatečně často. Další zjišťovanou otázkou je, kdo v organizaci bezpečnost řeší. Nabízí se možnost vlastními silami, nebo zcela externí firmou, nebo nějaký kompromis. Zatímco v roce 2001 byl poměr řešení vlastními silami a spolupráce s externí firmou vyrovnaný, loni již zcela převažovalo řešení ve spolupráci s externí firmou/firmami (57%). Pouze 2 % organizací řeší bezpečnost výhradně dodavatelsky. Hitem poslední doby je použití elektronického podpisu. Proto se část otázek týkala i jeho využití stejně jako problémů s výběrem certifikační autority apod. Bylo zjištěno, že 31 % organizací již podpis využívá a 20 % ho hodlá využít během roku. Jak organizace, které podpis využívají, tak i ty, které jeho využití teprve plánují, preferují nejvíce externí komunikaci se známými a definovanými subjekty, méně často pak interní komunikaci. Zábavné ovšem je, že 20 % z těch, kteří využití plánují, ještě vůbec nevědí, k čemu vlastně elektronický podpis využijí. Co se týče výběru certifikační autority, jasně převládá výběr externí certifikační autority. Dá se říci, že v některých oblastech se situace od minulého průzkumu zlepšila (existence bezpečnostní politiky, využití firewallu, antivirové zabezpečení). V některých oblastech stav stagnuje a neočekávaně je v některých oblastech i horší - existence plánů obnovy. Celkově je Průzkum stavu informační bezpečnosti velmi zajímavý materiál, který stojí za to prostudovat.

Zdroj:
[1] PSIB ´03, Ernst and Young, časopis DSM - data security management a Národní bezpečnostní úřad, ISBN 80-902858-8-0.

Autorka článku, Dagmar Brechlerová, působí na Provozně ekonomické fakultě ČZU a také jako lektor a konzultant v oblasti bezpečnosti IS.