85 % firem v České republice se domnívá, že zabezpečení jejich podnikových informací nevyhovuje nebo jen částečně vyhovuje jejich obchodním potřebám. Ukazuje to nový mezinárodní průzkum kybernetické bezpečnosti pro rok 2015 (EY Global Information Security Survey 2015 - Creating trust in the digital world), který každoročně provádí poradenská společnost EY. Dotazováno bylo 1.755 zástupců firem z celkem 67 zemí světa včetně České republiky.
„Priority kybernetické bezpečnosti jsou v ČR odlišné od okolních zemí, hlavní hrozby se však příliš neliší. Zatímco ve světě patří mezi hlavní priority ochrana úniku dat, BCM/DR1 a řízení identit a přístupů, čeští respondenti považují vedle řízení identit a přístupů za priority především řešení incidentů a privilegovaná přístupová práva. Mezi hlavní hrozby pak ve světě i v ČR patří především demotivovaní zaměstnanci a phishing,“ říká Petr Plecháček, senior manažer oddělení IT poradenství společnosti EY v České republice. „Zajímavé je, že čeští respondenti příliš nevnímají zvyšující se hrozby vyplývající z mobilních technologií či zneužití sociálních sítí. Je to poměrně překvapivý výsledek, protože nechtěné úniky informací či cílená manipulace s médii jsou podle našeho názoru závažnými hrozbami, které je třeba proaktivně řešit.“
Více než třetina (36 %) dotázaných společností dnes dostatečně nedůvěřuje vlastním bezpečnostním opatřením na odhalování sofistikovaných kybernetických útoků. Téměř devět z deseti firem ve světě i u nás si dokonce myslí, že jejich kybernetická bezpečnost vůbec nevyhovuje nebo vyhovuje jen částečně jejich obchodním potřebám (88 % svět, 85 % ČR). Hlavní překážkou je přitom výše rozpočtu na kybernetickou bezpečnost. Sedm z deseti (69 %) firem zastává názor, že mají-li sladit nezbytná bezpečnostní opatření s mírou tolerance vůči riziku stanovenou vedením společnosti, potřebují svůj rozpočet navýšit až o polovinu.
Ve srovnání se světem investují české firmy málo do kybernetické bezpečnosti málo
V Česku přitom růst rozpočtu větší než 5 % v loňském roce deklaruje jen 7 % účastníků, ve světě to byla rovná polovina (50 %). Podobný rozdíl panuje i v plánech do budoucna, rozpočet na kybernetickou bezpečnost chce v příštím roce alespoň o 5 % zvýšit jen pětina (21 %) českých firem, globálně opět více než polovina (54 %). I ve srovnání s našimi nejbližšími sousedy jsou na tom české firmy výrazně hůře, v Maďarsku hodlá investovat každá třetí (31 %) firma, v Polsku to pak plánuje více než polovina dotázaných (57 %).
Vlivem nízkých investic do kybernetické bezpečnosti a chybějících odborníků jsou české firmy pomalejší i v odhalování bezpečnostních incidentů. Dotazované české firmy deklarují, že do hodiny odhalí útok jen třetina z nich (33 %), ve světě je zatím na bezpečnostní rizika schopna stejně rychle reagovat každá druhá firma (50 %). Podobně nízký podíl rychlých reakcí jako u nás zaznamenalo jen Polsko a Maďarsko. Vylepšení zabezpečení svých systémů přitom v České republice plánuje jen polovina firem (55 %), přičemž ve světě chystá nová bezpečnostní opatření až 78 % společností.
Nazory na slabá místa a hrozby zabezpečení se mění
Koho se firmy v oblasti kybernetických útoků bojí nejvíce? Kriminálních spolků (59 %), vlastních zaměstnanců (56 %) a hacktivistů (54 %). Na dalších místech pak figurují například státem sponzorované útoky (35 %). Pořadí první trojice se od loňského roku prakticky nezměnilo, ovšem vnímání kriminálních spolků, hacktivistů a státem sponzorovaných útoků jako potenciálních hrozeb posílilo (v roce 2014: 53 %, resp. 46 % a 27 %).
Z průzkumu také vyplývá, že obavy firem z rizik souvisejících s nevědomým či nedbalým přístupem zaměstnanců (44 %) a zastaralostí systémů (34 %) ve srovnání s loňským rokem poklesly (z 57 %, resp. 52 % v rámci GISS 2014). Naopak se v současné době cítí víc ohroženy útoky typu phishing a prostřednictvím škodlivého software. Za nejvýraznější hrozbu aktuálně považuje phishing 44 % respondentů, oproti 39 % před rokem, škodlivý software pak 43 %, zatímco loni jej takto označilo pouze 34 %.
Závěry letošní studie poukazují mimo jiné na nedostatečnou schopnost organizací kybernetickému útoku zabránit, resp. jej potlačit:
54 % společností uvedlo, že postrádají oddělení či zaměstnance, jež by zkoumali nově vznikající technologie a jejich dopady na bezpečnost, v Česku pak chybí rovnou u 77 % respondentů.
Více než polovina dotazovaných (57 %) aktuálně připouští, že celkový význam a hodnotu podnikové funkce pro zajištění kybernetické bezpečnosti snižuje nedostatek kvalifikovaných odborníků. V roce 2014 zastávalo tento názor pouze 53 % respondentů. To naznačuje, že situace se spíše horší, než že by se zlepšovala.
Zdroj: EY Global Information Security Survey 2015
PŘEDPLATNÉ
ČLÁNKY DO MAILU