Ohrožené informace

Zbožím naší doby se staly informace. Na tom, jak zvládnou proces tvorby,

zpracování, ukládání a distribuce informací, jsou podniky a instituce životně

závislé. Stále aktuálněji proto vystupuje do popředí otázka ochrany a

bezpečnosti informací.

Auditorská společnost PriceWaterhouse Coopers, časopis Data Security Management

a Národní bezpečnostní úřad vypracovaly první průzkum věnovaný stavu informační

bezpečnosti v České republice (PSIB99), jehož výsledky vám dnes přinášíme.

Celkem se průzkumu zúčastnilo 311 společností. PSIB99 byl zaměřen na

organizace se 100 a více zaměstnanci. Nejvíce respondentů (48 %) představovaly

podniky se 100–500 zaměstnanci, 23 % zúčastněných podniků mělo 500–1 000

pracovníků a 29 % tvořily podniky s více než 1 000 zaměstnanců. Pokud jde o

oborové členění, v průzkumu byly zastoupeny instituce státní správy, organizace

z oboru IT/telekomunikací, financí/bankovnictví, strojírenství, energetiky,

chemie, dále zde byla skupina nazvaná Ostatní průmysl, kam patřily především

podniky z oboru textilního průmyslu, a konečně poslední skupinu tvořila jiná,

neprůmyslová odvětví.

Za organizace nejčastěji odpovídali na dotazy ředitelé a vedoucí oddělení IT/IS

(64 %). V každém desátém případě zodpovídal dotazy ředitel podniku, jednatel

nebo majitel organizace. Desetiprocentní zastoupení měli i správci a

administrátoři sítí. Pouze ve 4 % případů odpovídali ředitelé nebo specialisté

oddělení bezpečnosti.

A teď už k výsledkům:

Pouze u 38 % organizací je za informační bezpečnost zodpovědná osoba z řad

nejvyššího vedení. Přitom zodpovědnost na této úrovni je většinou základním

předpokladem pro úspěšné budování a řízení informační bezpečnosti. Funkční

zodpovědnost za informační bezpečnost většinou spadá pod útvar IT (71 %). U 13

% organizací pak ne-ní za informační bezpečnost zodpovědný žádný útvar. Pouze u

4 % organizací mají ve své organizační struktu-ře vytvořen specializovaný útvar

bezpečnosti.

Dosti tristní je v současnosti situace, pokud jde o školení pracovníků v

oblasti informační bezpečnosti. Probíhají totiž jen v 16 % organizací. O tom co

má vliv na prosazení informační bezpečnosti v podniku vypovídá graf č. 1.

Bezpečnostní politika a standardy

Své cíle v oblasti informační bezpečnosti má formálně stanovené jedna třetina

organizací. Přijetí takového dokumentu je ovšem nutným první krokem při

budování kvalitního systému zabezpečení informací. Mnohem častěji (v 55 %)se

přitom tento dokument vyskytuje v těch organizacích, ve který za informační

bezpečnost odpovídá osoba z vedení podniku. Tam, kde osoba odpovídající za

bezpečnost není ve vedení, jsou bezpečnostní standardy definovány pouze ve 23 %

případů.

Výskyt bezpečnostní politiky ve více než 50 % najdeme pouze u firem z oblasti

IT/telekomunikací a z oblasti financí/bankovnictví. Zajímavá je třetí příčka

státního sektoru. Tady zřejmě sehrál roli zákon 148/1998 Sb. s prováděcími

vyhláškami, který existenci bezpečnostní politiky v definovaných případech

přímo požaduje. Jak vypadá bezpečnostní politika podle oborů působnosti podniků

informuje graf č. 2.

Většinou nedostatečný je rozsah bezpečnostní politiky. Pouze ve 28 % případů se

objevuje jedna z nejdůležitějších součástí bezpečnostní politiky: reakce na

bezpečnostní incidenty, a jen ve 13 % případů můžeme hovořit o komplexní

bezpečnostní politice v těchto podnicích je pokryto 10 a více oblastí uvedených

v následujícím grafu. Rozsah bezpečnostní politiky v organizacích

charakterizuje graf č. 3.

Bezpečnostní incidenty a hrozby

Jednoznačně dominující bezpečnostní incident v uplynulých dvou letech

představovaly pro oslovené firmy výpadky proudu (91 %). Na druhém místě se pak

se 79 % umístily poruchy hardwaru. Druhou skupinu incidentů, jejichž výskyt se

pohyboval kolem 50 %, představovala selhání LAN (55 %), viry zvenčí organizace

(také 55 %), chyby programového vybavení (54 %) a chyby uživatelů (48 %). Virus

zevnitř organizace se vyskytl ve 40 % případů, chyby administrátora sítě nebo

obsluhy poškodily organizaci ve 33 % případů, k selhání WAN pak došlo ve 30 %

případů. Ve 28 % organizací zaznamenali krádež zařízení a v 17 % pak příčinou

ohrožení bezpečnosti dat byla přírodní katastrofa (tady je třeba podotknout, že

na relativně vysokém procentu měly lví podíl předloňské a loňské povodně).

Nepovolený přístup k datům zevnitř společnosti byl příčinou 10 % bezpečnostních

incidentů, ke zneužití zařízení došlo v 6 % případů a jen 2 % organizací

doplatila na nepovolený přístup k datům zevnitř.

Jiná je ovšem situace, pokud jde o dopad bezpečnostních incidentů. Jako

nejzávažnější hodnotily organizace poruchy hardwaru, následoval výpadek proudu

a jako třetí nejnebezpečnější uváděli respondenti chybu programového vybavení.

Tady ovšem možná můžeme hovořit o subjektivním pocitu dotázaných, protože

pořadí bezpečnostních incidentů podle prokazatelných finančních škod vypadá

úplně jinak. Viz graf č. 4.

Vidíme, že jednoznačně „vedou“ přírodní katastrofy a na třetí místo se

probojovaly škody způsobené nepovoleným přístupem zvenčí, ačkoliv co do

četnosti skončily na posledním místě se 2 %. Z toho je patrné, že se jedná o

mimořádně nebezpečný faktor, který sice není příliš častý, ale vyskytne-li se,

jsou jeho dopady nedozírné.

Zajímavé byly představy respondentů o potenciálních hrozbách. Za

nejnebezpečnější označili dotázaní ( 48 %) vlastní uživatele. Následuje

Internet (42 %) a dále neexistující nebo nefunkční bezpečnostní management (29

%). Ve 22 % případů se respondenti domnívají, že největší potenciální hrozbou

je neadekvátní technická infrastruktura či zastaralé technologie, 19 %

organizací se obává roku 2000 a 9 % má strach z elektronického obchodování.

Provozované aplikace považuje za rizikové 8 % dotázaných a například nikdo se

nebojí přechodu na euro. Vzhledem k tomu, že téměř polovina dotázaných se

domnívá, že největší hrozbu bezpečnosti jejich dat představují vlastní

uživatelé, je poněkud paradoxní, že pouhých 16 % organizací provádí pravidelné

proškolování zaměstnanců v oblasti bezpečnosti.

Zabezpečení dat

A jak tedy vypadá bezpečnostní politika organizací v praxi? Pouze 8 % podniků a

institucí používá kromě hesel také jiné ochranné identifikační a autentizační

prvky pro přístup do systémů. Autentizace prostřednictvím hesla zadaného z

klávesnice je tak stále nejrozšířenějším způsobem přístupu do systému.

Nepříliš povzbuzující je situace v oblasti auditu a vyhodnocování

bezpečnostních událostí. Pouze 16 % organizací vědomě zaznamenává bezpečnostní

události a jen 13 % podrobuje auditní záznamy pravidelné kontrole.

Dotazník zjišťoval i to, v jakých souvislostech používají organizace šifrování.

Nejčastěji je to v případě komunikace mimo organizaci (40 %). Výrazně méně je

to pak při zálohování dat (15 %), při ochraně dat na serverech (12 %) a při

komunikaci uvnitř organizace (11 %). Většina (57 %) organizací očekává, že v

nejbližších dvou letech u nich dojde k mírnému zvýšení objemu šifrovaných dat

nebo k nasazení šifrovací technologie. Velké zvýšení pak očekává 20 %

organizací.

Další dotaz směřoval k typickým způsobům fyzického zabezpečení klíčových

komponent informačního systému.

Podle předpokladů je nejvyužívanějším způsobem fyzického zabezpečení místnosti

s mechanickým zámkem. Jen asi polovina organizací využívá i dalších mechanismů,

jako např. elektronické zabezpečovací zařízení a požární signalizaci.

Pokud jde o způsoby uchovávání záložních pásek (médií) za jedině správné je v

současné době považováno ukládat pásky v trezoru v jiné budově, než je budova s

originálními daty (serverem). Budovy by od sebe měly být dostatečně vzdáleny.

Takto má svá data uložena jedna třetina organizací. Nejběžnějším způsobem je

dnes uchovávání dat mimo místnost s originálními daty, ale ve stejné budově.

Každá čtvrtá organizace ovšem ještě dnes uchovává svá zálohovaná data ve stejné

místnosti jako originály, mimo trezor, což představuje naprosto nepřijatelnou

míru rizika.

„Klasickým“ rizikem bezpečnosti dat jsou viry. Dvě třetiny dotázaných

organizací brání šíření virů ve svém podniku pomocí jednotného a

centralizovaného způsobu distribuce a instalace antivirových programů. Jen

každá devátá organizace však provádí povinnou kontrolu čistoty externích dat.

V souvislosti s legálností používaného softwaru je alarmující, že celých 30 %

organizací neprovádí žádná organizační ani technická opatření proti

neoprávněnému zavádění nových programů do systému a vše nechává na dobré vůli

svých zaměstnanců.

Internet

Přístup k Internetu má v současné době 17 % zaměstnanců zkoumaných organizací.

Za rok by se ovšem toto číslo mělo zvýšit o 6 %. U pouhých 6 % ovšem mají

přístup k Internetu všichni pracovníci. Větší šanci „dostat se na Web“ mají

zaměstnanci organizací se 100 až 500 pracovníky, u větších podniků se procento

„připojených“ snižuje.

Jak vypadá využívání Internetu v organizacích podle oboru působnosti, ukazuje

graf č. 5.

Používání Internetu ovšem s sebou přináší i bezpečnostní rizika. Plných 62 %

organizací připojených na Internet se setkalo s virem v příloze k elektronické

poště a 31 % s virem ze souborů stažených z Internetu. Další bezpečnostní

incidenty v souvislosti s Internetem (např. neautorizovaný přístup do systému

organizace nebo zničení WWW stránek) nejsou statisticky významné.

Pokud jde o způsoby zabezpečení Internetu, je nejčastější ochranou před riziky

s ním spojenými podle očekávání firewall (52 %). U organizací, kde je připojeno

více než tři čtvrtiny zaměstnanců je procento používání firewallu ještě vyšší

(70 %). Dalším způsobem ochrany je fyzické oddělení Internetu od vnitřní sítě.

Tento způsob používají většinou ty organizace, které mají méně než 10 %

připojených zaměstnanců. U těchto podniků je tento způsob používán ve 41 %.

Tam, kde jsou připojeni všichni, používají této ochrany v 19 % případů.

Plány obnovy funkčnosti

V případě, že dojde k havárii bezpečnostního systému, je velice důležitá

existence plánu obnovy funkčnosti informačního systému. Téměř polovina

dotázaných organizací uvedla, že takovýto plán má. Nejlépe je na tom v tomto

směru sektor telekomunikací, IT a elektroniky (70 %), chemický průmysl (66 %) a

sektor financí a bankovnictví (64 %).

Plán na obnovu funkčnosti IS, ovšem ztrácí smysl, pokud není pravidelně

testován. Za nejvhodnější periodu testování je považován 1 rok. Alespoň jednou

ročně testuje svůj plán na obnovu funkčnosti 51 % organizací, naopak 8 %

organizací jej netestuje vůbec.

Stejně tak ztrácí plán smysl, není-li pravidelně aktualizován. Jednou do roka

tak činí 45 % organizací, naopak vůbec neaktualizují 3 % podniků.

Plných 75 % organizací, kte-ré mají plán obnovy funkčnosti IS, jej bylo již

nuceno použít. V 80 % případů se plány ukázaly jako účinné. Pouze v jednom

procentu případů plán totálně selhal.

Analýza rizik

Jednu z klíčových činností při řešení bezpečnosti v organizacích představuje

analýza rizik. Její závěry jsou využívány např. při tvorbě bezpečnostních

politik, v procesu sestavování plánů obnovy funkčnosti a při auditu

bezpečnostních informačních systémů. Cílem analýzy rizik je poskytnout

objektivní informace o hrozbách, jimž je zkoumaný informační systém vystaven, a

umožnit tak implementaci cenově a funkčně optimalizovaných bezpečnostních

protiopatření.

Alespoň jednou za rok je detailní analýza rizik informačního systému prováděna

ve 14 % organizací. Ve 12 % pak jednou za dva roky, méně často než jednou za

dva roky u 28 % organizací a u 46 % není analýza rizik prováděna nikdy. Problém

roku 2000

Pozdě, ale snad přece se Y2K stává evergreenem i v České republice. A jak

vypadá postup řešení problému roku 2000 u dotazovaných organizací? To vidíme na

grafu č. 6.

Pouze každá desátá organizace neočekává v souvislosti s rokem 2000 žádné

problémy. Největší část respondentů (80 %) očekává jednotlivé dílčí problémy,

které budou rychle a snadno zvládnutelné. Organizací, které očekávají celkové

problémy s náročným řešením, je 8 %.

Největší překážky informační bezpečnosti

Nakonec se ještě podíváme na dva grafy, které přibližují představy respondentů

o tom, jaké jsou nejvýznamnější bariéry rychlejšího prosazení informační

bezpečnosti v České republice.

Tabulka č. 1 uvádí celkové shrnutí odpovědí na tuto otázku, tabulka č. 2 pak

znázorňuje největší překážky z pohledu oborů působnosti organizací.

Závěr

Jaká jsou tedy hlavní zjištění průzkumu? Incidenty, se kterými se nejčastěji v

uplynulých dvou letech organizace setkávaly, byly výpadky proudu, poruchy

hardware, selhání LAN, viry zvenčí organizace, chyby programového vybavení a

chyby uživatelů.

Finanční ztráty z těchto incidentů se pohybovaly v rozmezí od několika desítek

tisíc po 150 milionů Kč. Pro 7 % organizací představovala incident s

nejvážnějšími důsledky přírodní katastrofa, přičemž průměrný finanční dopad byl

v tomto případě 11 milionů Kč.

Proti haváriím a jiným neočekávaným událostem je adekvátně zabezpečena pouze

čtvrtina organizací. Jen třetina respondentů disponuje bezpečnostní politikou a

pouhý zlomek z nich

má skutečně komplexně pokryt všechny oblasti případných rizik.

V souvislosti s používáním Internetu je nejčastějším incidentem virus z přílohy

v elektronické poště a frekvence tohoto incidentu se neustále zvyšuje.

Na rok 2000 je v současnosti plně připravena (tedy včetně třetích stran) pouze

každá desátá organizace, dalších 16 % je připraveno v rámci organizace.

Z hlediska plnění primárních cílů má informační bezpečnost význam pro více než

90 % organizací.

9 1936 / jafn



Obecně nízké bezpečnostní vědomí31

Finanční náročnost20

Neexistence českého bezpečnostního standardu14

Nedostatečná podpora ze strany vedení organizace13

Nedostatečná a nevyvážená legislativa ČR10

Nedostatek informací6

Nezájem a nekompetentnost státních orgánů4

Nedostatek tuzemských expertů1

Technologická náročnost1

Státní sektorFinanční náročnost 28 %

IT/telekomunikaceObecně nízké bezpečnostní vědomí 28 %

Finance/bankovnictvíNeexistence českého bezpečnostního standardu 46 %

StrojírenstvíObecně nízké bezpečnostní vědomí 42 %

EnergetikaNedostatečná podpora ze strany vedení organizace 39 %

ChemieFinanční náročnost 43 %

Ostatní průmyslObecně nízké informační vědomí 36 %

Jiné oboryObecně nízké informační vědomí 26 %