Zajímavá data přinesl čerstvě zveřejněný průzkum stavu informační bezpečnosti, realizovaný konzultační společností Ernst & Young a národním bezpečnostním úřadem mezi reprezentativním vzorkem středních a velkých společností. Krize sice dočasně zmrazila období velkých investic do rozvoje a nových implementací, ale zároveň vedla k optimalizaci současných aplikací a hlavně zvýšené pozornosti o tom, co v IT systémech provádějí jejich uživatelé.
Nějaká data? Podle zrealizovaného průzkumu přes tři čtvrtiny českých firem monitorují své zaměstnance během přístupu na Internet z pracovních počítačů. Téměř šedesát procent společností z 280 dotázaných firem přitom přístup zaměstnanců na síť a Internet omezuje. Těch svobodomyslných zaměstnavatelů, kteří se aktivně vůbec nesnaží omezovat a monitorovat své pracovníky při používání Internetu, není ani celá desetina.
Taková strategie je částečně dána i tím, že v posledních letech rapidně vzrostl počet zaměstnanců, kteří Internet potřebují ke své práci. Ve 46 procentech společností má tak k Internetu přístup něco mezi 80 až 100 procent zaměstnanců a ve dvou třetinách podniků mají přístup k PC čtyři z pěti zaměstnanců. Stále přitom platí, že zaměstnanci tvoří něco mezi 90 -95 procenty incidentů ve společnostech.
Kde končí relaxace a začíná zanedbávání pracovních povinností
Téměř pětina českých firem je na tom tak, že jejich zaměstnanci tráví na Internetu přes 30 minut denně mimopracovní činností. V případě téměř padesáti procent společností je to však tolerovatelných 15 a 30 minut vyhrazených soukromím aktivitám. Čistě pracovně se ovšem na Internetu pohybují zaměstnanci pouze 12 procent v Česku působících podniků.
Jiné průzkumy ovšem poukazují na mnohem dramtičtější situaci. Podle IDC nemá dnes 40 % pracovního času, který zaměstnanci tráví na Internetu nic společného s náplní jejich práce. Lehce trendová studie společnosti Morse pro změnu ukázala, že používání Facebooku a Twitteru v pracovní době stojí firmy ve Velké Británii každý rok 1,38 miliardy liber.
Porušují firmy zákon o ochraně osobních údajů a informační bezpečnosti?
Odpověď zní spíše ano, přes čtyři pětiny společností (77 % firem) v rámci svých standardních procesů kontroluje aktivity svých zaměstnanců na Internetu a považuje to za zcela normální. Přes polovinu dotázaných firem se přitom domnívá, že dopad zákona o ochraně osobních údajů na informační bezpečnost je pouze mizivý, v horším případě v podnikové praxi vůbec žádný není.
Zaměstnavatelé argumentují zejména nízkým povědomím svých pracovníků o informační bezpečnosti. „Do popředí v pomyslném žebříčku překážek dalšího zlepšování se tak dostává řešení tzv. „měkkých“ aspektů bezpečnosti s tím, že nejčastěji respondenti poukazují na obecně nízké bezpečnostní povědomí. Zaměstnanci firem neumějí správně identifikovat nebezpečí, kterým jsou data vystavena a ohrožují tak bezprostředně informační bezpečnost firmy např. instalováním nepovoleného softwaru,“ vysvětluje Jan Fanta, partner oddělení podnikového poradenství a řízení rizik společnosti Ernst & Young, která se na průzkumu podílela.
Ještě dramatičtěji situaci vidí advokát Mgr. Jiří Brož z kanceláře Profous Legal: „Poskytne-li firma svým zaměstnancům neomezený přístup na internet, vystavuje se zvýšenému riziku toho, že její technické zařízení bude využito některým z jejích zaměstnanců ke spáchání trestného činu. Jedním z důsledků může být i zabavení počítačové techniky jako důkazního materiálu a s tím spojené de facto zastavení provozu firmy,“ varuje.
Monitorovat – ano či ne?
-
Pro
- rapidní snížení možných rizik ze strany zaměstnance
- kontrola efektivního využívání pracovního času
- snížení možnosti ztráty zákazníka kvůli chybné reakci zaměstnance
- kontrola nad tím, aby zaměstnanec nepředával důvěrné informace konkurenci
- prevence firmy před rizikem ilegálních, nebo pololegálních internetových aktivit
- sledování zaměstnanců bez jejich souhlasu není V ČR povoleno
- zaměstnavatel má zákonnou povinnost v případě dohody o sledování zajistit dostatečnou ochranu před přístupem třetích stran k datům osobní povahy
- monitoring zaznamenává jako externalitu také osobní aktivity zaměstnance, s nimiž firma nemá právo nijak nakládat
Proti
Velký bratr jako daň za cloud a virtualizaci
„Pro polovinu společností je z hlediska bezpečnosti v současnosti největší hrozbou virtualizace serverů. Zde je patrně významně cítit dopad ekonomické krize a zesílených snah po zefektivnění fungování a provozu IT ve všech firmách. Nastupujícím „hitem“ se stávají přenosná datová média, která 40 % respondentů považuje za nejvyšší hrozbu pro bezpečnost a chystá se této problematice věnovat v následujícím roce zvýšenou pozornost,“ doplňuje další klíčová zjištění Jaroslav Šmíd, náměstek ředitele Národního bezpečnostního úřadu.
Průzkum mimo jiné také ukázal, že rapidně ubývá společností, u kterých není jednoznačně definována osoba, která je za problém zodpovědná a dvě třetiny společností mají programově vydefinovanou vlastní bezpečnostní politiku. Analýzu rizik jako prevenci nepodceňuje 84 % společností, ale pouze jedna třetina z nich má dostatečně zpracované postupy reakce na bezpečnostní incidenty. „Bez dobře propracovaných a odzkoušených postupů existuje značné riziko, že incidenty nebudou odhaleny včas. Zároveň pak reakce na ně jsou v takové situaci v nejlepším případě zdařilou improvizací, která může vlivem spěchu, stresu a nedostatečné analýzy přinést více škody než užitku“, myslí si o výsledcích průzkumu Lukáš Mikeska, senior manažer IT poradenství a řízení technologických rizik v Ernst & Young.
Lze efektivně outsourcovat bezpečnost?
Dalším zajímavým zjištěním průzkumu je fakt, že takřka 70 % společností řeší informační bezpečnosti prostřednictvím externí společnosti. Takovéto řešení sice sráží dolů náklady, ale není úplně bez rizika. “Koordinace činností s externími společnostmi při výskytu bezpečnostního incidentu musí mít jasně definované postupy, jinak představují časovanou bombu v rukou managementu,” myslí si například Mikeska.
Z jednotlivých segmentů trhu přikládají největší význam informační bezpečnosti energetické společnosti, zejména pak firmy v oblasti plynárenství a ropného průmyslu, finanční sektor (banky a spořitelny) a naopak s podceňováním rizik se nejčastěji setkáme elektrotechnického a chemického průmyslu.
Největší hrozby
Zajímavé je, že mezi nejčastější bezpečnostní hrozby je většinou společností řazen SPAM a výpadek proudu. Tento poznatek by totiž mohl snadno svědčit i o nízké schopnosti identifikovat sofistikovanější typy útoků, které začínají sociálním inženýringem a končí odposlechy sítového provozu. Jako největší brzdu přitom většina společností vnímá nízké obecné bezpečnostní povědomí. Tento problém je dokonce větší, než finanční náročnost sofistikované bezpečnostní politiky.
Vlastní aktivní program pro zvyšování bezpečnostního povědomí zaměstnanců u nás zavedlo asi jen 21 % organizací. Zbývající čtyři pětiny společností nemají na informační bezpečnost vlastní rozpočet. Nejčastější výdaje do bezpečnosti tvoří pouze interval od 1 do 5 % celkového rozpočtu na IS/IT.
Ať již se dá tato situace vyhodnotit jakkoli, co našim společnostem rozhodně nechybí, je sebedůvěra. Téměř tři čtvrtiny (74%) společností si totiž myslí, že je informační bezpečnost v ČR stejná, ne-li lepší, než v zemích politického západu Evropy.
Můžeme se učit od USA?
Ve Spojených státech je monitorování zaměstnanců běžné a stalo se již také nedílnou součástí soudních sporů v případech, kdy zaměstnanec svým jednáním poškozuje svého zaměstnavatele a zvýhodňuje sebe či konkurenci. Prosazení podobného modelu v Evropě zatím brání legislativa, uvidíme, zda-li to ovšem není jen otázka času.
Přečtěte si také
IT byznys: bývalí zaměstnanci rostoucí hrozbou pro informační bezpečnost