IT specialisté v bankách nemají podporu managementu

Podle nového průzkumu společnosti Deloitte sice incidenty v oblasti bezpečnosti IT přitahují pozornost top managementu finančních institucí, avšak řešení problémů je stále vnímáno převážně jen jako úkol IT oddělení. Jen u 10 procent respondentů je informační bezpečnost součástí řídící agendy ředitelů obchodních divizí.

Tato zjištění jsou podle Deloitte důkazem objevujícího se bezpečnostního paradoxu: obrovského rozdílu mezi povědomím o problému na straně jedné a chybějící aktivní podporou pro hledání vhodných řešení, na straně druhé.

Méně než dvě třetiny (63 %) respondentů, kteří se v roce 2007 účastnili Globálního průzkumu bezpečnosti v oblasti IT ve finančních institucích (Global Security Survey), mají vypracovánu strategii v oblasti informační bezpečnosti.

Průzkum zároveň odhalil, že nejčastější příčinou vnějších narušení bezpečnosti zůstává „lidský faktor“: vlastní zaměstnanci instituce, její klienti, třetí strany a obchodní partneři.

„Letošní protichůdná zjištění skutečně potvrzují bezpečnostní paradox, kterému finanční instituce čelí,“ říká Petr Brich, ředitel poradenství pro finanční instituce Deloitte ČR a SR. „Na jedné straně je evidentní, že účastníci průzkumu bez výjimky identifikovali hlavní bezpečnostní problémy včetně opatření, která musí přijmout, aby se zvýšila bezpečnost i ochrana soukromých dat. Na straně druhé však řada finančních institucí stále váhá s realizací konkrétních kroků, přes množící se incidenty narušení bezpečnosti z poslední doby, jak vnitřní tak vnější.
I v našem regionu již byly finanční instituce předmětem externích cílených útoků především na systémy internetového bankovnictví, vyskytlo se i několik úspěšných případů vnitřního narušení provozních systémů, manipulace klientských dat a defraudace. “

Jedním z článků, který organizacím dělá asi největší starosti – hovoříme-li o narušení bezpečnosti – jsou klienti. Průzkum společnosti Deloitte identifikoval následující tři typy nejčastějších pokusů o narušení bezpečnosti. Jsou to počítačové viry a červi, dále útoky na systémy elektronické pošty (nevyžádaná pošta – spam) a podvodné techniky k získání citlivých údajů jako např. tzv. phishing a pharming. Ke všem těmto útokům dochází prostřednictvím klientů, kteří se tak stávají nevědomými poskytovali citlivých informací a kanály vedoucími do nitra finančních institucí. Avšak přestože jsou finanční instituce těmito útoky přímo ohrožovány, nejsou zatím ochotné přijmout odpovědnost za bezpečnost počítačů svých klientů, zřejmě z důvodů obrovského rozsahu takového podniku. Na otázku, zda by měli nést odpovědnost za zajištění ochrany počítačů svých klientů, kteří s nimi komunikují online, odpověděly dvě třetiny respondentů (66 procent), že nikoliv.

Kromě narušení bezpečnosti prostřednictvím klientů fungujících jako jakýsi kanál do finančního domu, průzkum poukazuje na to, že vysoký počet narušení lze připsat také vlastním zaměstnancům: buď zneužívají svou pozici a oprávnění (úmyslné jednání) nebo se dopouštějí se chyb a omylů (neúmyslné jednání). Naprosté většině respondentů (91 %) dělají zaměstnanci v tomto ohledu vážné starosti a uvádějí lidský faktor jako hlavní příčinu selhání informační bezpečnosti (79 %).

Mezi nejznámějšími finančními institucemi, zahrnutými do průzkumu byly: ABN Amro, Citibank, Commerzbank, Deutsche Bank, Fortis Bank, HSBC, ING a Raiffeisenbank.