Globální průzkum kybernetické bezpečnosti za letošní rok provedla společnost EY v období od června do září 2015. Dotazování byli pracovníci na pozicích CIO, CISO, CFO a CEO ze 1 755 organizací z 67 zemí světa včetně České republiky. Cílem průzkumu bylo mimo jiné srovnání regionálních rozdílů v přístupu firem k IT bezpečnosti.

„Priority kybernetické bezpečnosti jsou v ČR odlišné od okolních zemí, hlavní hrozby se však příliš neliší. Zatímco ve světě patří mezi hlavní priority ochrana úniku dat, řízení kontinuity činností, plány obnovy, řízení identit a přístupů, čeští respondenti považují vedle řízení identit a přístupů za priority především řešení incidentů a privilegovaná přístupová práva. Mezi hlavní hrozby pak ve světě i v ČR patří především demotivovaní zaměstnanci a phishing,“ říká Petr Plecháček, senior manažer oddělení IT poradenství společnosti EY v České republice. „Zajímavé je, že čeští respondenti příliš nevnímají zvyšující se hrozby vyplývající z mobilních technologií či zneužití sociálních sítí. Je to poměrně překvapivý výsledek, protože nechtěné úniky informací či cílená manipulace s médii jsou podle našeho názoru závažnými hrozbami, které je třeba proaktivně řešit.“

Ve srovnání se světem investují české firmy do kybernetické bezpečnosti málo. V Česku deklaruje jen 7 % účastníků růst rozpočtu na zajištění bezpečnosti o více než 5 %, zatímco ve světě to byla rovná polovina firem (50 %). Podobný rozdíl panuje i v plánech do budoucna, rozpočet na kybernetickou bezpečnost chce v příštím roce alespoň o 5 % zvýšit jen pětina (21 %) českých firem, globálně opět více než polovina (54 %). I ve srovnání s našimi nejbližšími sousedy jsou na tom české firmy výrazně hůře, v Maďarsku hodlá investovat každá třetí (31 %) firma, v Polsku to pak plánuje více než polovina dotázaných (57 %).

Vlivem nízkých investic do kybernetické bezpečnosti a chybějících odborníků jsou české firmy pomalejší i v odhalování bezpečnostních incidentů. Dotazované české firmy deklarují, že do hodiny odhalí útok jen třetina z nich (33 %), ve světě je zatím na bezpečnostní rizika schopna stejně rychle reagovat každá druhá firma (50 %). Podobně nízký podíl rychlých reakcí jako u nás zaznamenalo jen Polsko a Maďarsko. Vylepšení zabezpečení svých systémů přitom v České republice plánuje jen polovina firem (55 %), přičemž ve světě chystá nová bezpečnostní opatření až 78 % společností.

„Organizace s nadšením přijímají moderní technologie a výdobytky digitálního světa, je však zapotřebí, aby nezapomínaly na odpovídající opatření proti stále promyšlenějším kybernetickým útokům. Potenciální rizika spojená s bezpečnostními průniky by neměly přehlížet ani podceňovat. Naopak, kybernetická bezpečnost by se měla stát jednou z priorit, na jejíž zajištění půjdou potřebné investice. Digitální svět bude dlouhodobě fungovat jedině tehdy, dokáží-li firmy ochránit samy sebe i své klienty a získat tak dostatečně důvěryhodné postavení,“ říká Petr Plecháček.

A koho se firmy v oblasti kybernetických útoků bojí nejvíce? Kriminálních spolků (59 %), vlastních zaměstnanců (56 %) a hacktivistů (54 %). Na dalších místech pak figurují například státem sponzorované útoky (35 %). Pořadí první trojice se tak od loňského roku prakticky nezměnilo.

Z průzkumu také vyplývá, že v současné době se firmy cítí více ohroženy útoky typu phishing a prostřednictvím škodlivého software. Za nejvýraznější hrozbu aktuálně považuje phishing 44 % respondentů, oproti 39 % před rokem, škodlivý software pak 43 %, zatímco loni jej takto označilo pouze 34 %.

Závěry letošní studie poukazují mimo jiné i na nedostatečnou schopnost organizací kybernetickému útoku zabránit, resp. jej potlačit:

• 54 % společností uvedlo, že postrádají oddělení či zaměstnance, jež by zkoumali nově vznikající technologie a jejich dopady na bezpečnost, v Česku pak chybí rovnou 77 % respondentů
• 22 % respondentů nepřipravuje vylepšení v oblasti kybernetické bezpečnosti, mezi českými firmami jde dokonce o 45 % dotázaných
• 36 % nedisponuje žádným programem zaměřeným na analýzu relevantních hrozeb, v Česku takzvanou threat intelligence neřeší dokonce 62 % společností

Více než polovina dotazovaných (57 %) aktuálně připouští, že celkový význam a hodnotu podnikové funkce pro zajištění kybernetické bezpečnosti snižuje nedostatek kvalifikovaných odborníků. V roce 2014 zastávalo tento názor pouze 53 % respondentů. To naznačuje, že situace se spíše horší, než že by se zlepšovala.

„Zajišťování kybernetické bezpečnosti má ve své podstatě obranný charakter. Organizace by však neměly čekat, až k nějakému napadení dojde. K dané problematice by naopak měly přistupovat aktivně, aby odhalily potenciální útočníky a dokázaly analyzovat, vyhodnotit a neutralizovat hrozby dříve, než napáchají škody. Je nezbytné, aby organizace vnímaly kybernetickou bezpečnost jako prostředek, který jim pomůže získat a udržet důvěru zákazníků,“ dodává Petr Fojtů, bezpečnostní specialista oddělení IT poradenství společnosti EY v České republice.