Porušením informační bezpečnosti ročně firmy přicházejí o miliony dolarůNarušení informační bezpečnosti firmy může znamenat milionové škody a dlouhodobé poškození její pověsti. Investice do prevence je přitom vždy levnější než náprava utrpěných škod.
Porušením informační bezpečnosti ročně firmy přicházejí o miliony dolarů
Narušení informační bezpečnosti firmy může znamenat milionové škody a dlouhodobé poškození její pověsti. Investice do prevence je přitom vždy levnější než náprava utrpěných škod.
Zatím neznámý počítačový pirát se v USA dostal v únoru k identifikačním číslům zhruba osmi milionů platebních karet. Za své vzala poslední známá verze, podle které se napadení týkalo „jen“ pěti milionů karet, uvedla televizní stanice CNN. Hacker získal navíc přístup nejen k číslům platebních karet vydavatelských asociací MasterCard a Visa, ale i k jiným. Jde patrně o karty asociací Discover Financial Services a American Express. Hacker prolomil bezpečnostní systém clearingové společnosti, která má za úkol zpracovávat transakce uskutečněné u obchodníků. Asociace American Express a Discover nebyly ochotny zveřejnit, kolik účtů bylo takto napadeno. Asociace MasterCard vydala sdělení, podle něhož odhaduje celkový počet napadených účtů na osm milionů, z čehož má být asi 2,2 milionu karet MasterCard. Asociace Visa již oznámila, že jí se týká přibližně 3,4 milionu karet. Asociace však nezveřejnily jméno napadené clearingové firmy. Visa tvrdí, že z karet, jejichž čísla byla prozrazena, nebyla žádná zneužita, Mastercard je však v tomto tvrzení opatrnější. O žádných podvodech neví ani American Express. Visa a MasterCard ve Spojených státech vedou karty k přibližně 574 milionům účtů a ty, které byly napadeny, tak představují méně než procento.
Nejvyšší ztráta způsobená virem
Společnost KPMG nedávno provedla rozsáhlé celosvětové šetření o informační bezpečnosti. Závěr je jednoznačný: prevence je lepší než léčba. Průměrná přímá ztráta pro organizace v důsledku porušení bezpečnosti jejich informačních systémů činí 108 000 USD. K tomu je však nutné připočítat náklady na prostoje a sníženou produktivitu práce a také další náklady na zlepšení bezpečnosti v době po porušení bezpečnostních pravidel (přičemž tyto náklady jsou obvykle mnohem vyšší než náklady na vybudování bezpečnosti vynaložené na začátku). Připočítáme-li k těmto nákladům ještě dlouhodobé poškození pověsti, které by porušení bezpečnosti mohlo způsobit, celkový dopad může být obrovský. Z dlouhodobé perspektivy je mnohem levnější a méně nepříjemné, když firma efektivně investuje do prevence a nikoliv do nápravy utrpěných škod. Obecně je možné poradit následující - hledejte nejslabší místo. Právě nejslabší článek může totiž být počátkem útoku s rozsáhlým dopadem na celou firmu. Každý rok se ztrácejí miliony dolarů kvůli bezpečnostním incidentům, protože existují tyto nejslabší články. Organizace nejsou tak dobře chráněny, jak si myslí, v úrovni ochrany existují významné regionální i odvětvové rozdíly a jenom několik málo organizací měří úroveň bezpečnosti a předkládá o ní výkazy/hlášení. Spolu s miliony dolarů se ztrácí i důvěra zákazníků a obchodních partnerů. O příležitostech, které se nemusí opakovat, ani nemluvě.
Ochrana dat v organizacích
Porovnali jsme získané odpovědi oslovených organizací se skutečným ochranným mechanizmem uplatňovaným v těchto firmách a zjistili jsme, že mnoho z nich není tak dobře chráněno, jak si myslí. Z organizací, které odpověděly, že rozhodně souhlasí s tím, že jsou přiměřeně chráněny: 10 % netestuje svá ochranná opatření, a proto nemůžou vědět, zda jsou tato opatření v praxi účinná, 52 % nemá žádný systém na odhalení nežádoucího vniknutí, 87 % učinilo zkušenost s nějakou formou porušení bezpečnostních pravidel. Respondenti byli také požádáni o informaci, zda fungují na národní, regionální či celosvětové bázi a v jakém odvětví působí. Na základě analýzy jednotlivých odpovědí jsme zjistili, jaké úrovně ochrany se používají v různých organizacích a odvětvích na celém světě. Organizace působící v asijsko-pacifickém regionu a na Středním východě a v Africe (ESVA) trpí častějšími útoky virů (64 % a 62 %) než organizace působící na americkém kontinentu (55 %). Organizace v asijsko-pacifickém regionu však uplatňují zásady pokrývající útok virů v menším měřítku (82 %) než organizace v ESVA (92 %) a na americkém kontinentu (88 %). Organizace v asijsko-pacifickém regionu také méně (64 %) testují svá bezpečnostní opatření, aby zjistily, zda fungují (v ESVA 82 % a na americkém kontinentě 80 %). Organizace působící ve finančním odvětví hrají v oblasti informační bezpečnosti prim. Více organizací ve finančním odvětví než v odvětvích jiných zavedlo mezinárodní standard o řízení informační bezpečnosti ISO 17799 (finanční organizace 25 %, ostatní 16 %), systém na odhalování nežádoucího vniknutí (finanční organizace 44 %, ostatní 38 %) a více jich měří bezpečnostní opatření (finanční organizace 42 %, ostatní 33 %). Organizace působící ve finančním odvětví mají tedy téměř ve všech oblastech nižší počet bezpečnostních incidentů než ostatní organizace (např. virové útoky: finanční organizace 53 %, ostatní 63 %; nežádoucí vniknutí prostřednictvím webové stránky/hacking: finanční organizace 9 %, ostatní 13 %).
Stav informační bezpečnosti
Pouze 43 % pracovníků odpovědných za informační bezpečnost nám bylo schopno říci, jaká částka byla v letošním roce vynaložena na oblast informační bezpečnosti a 30 % respondentů nevědělo, jaké procento rozpočtu na informační technologie se vynakládá na informační bezpečnost. Kromě toho pouze 60 % respondentů využívalo nějakou formu hlášení bezpečnostních incidentů. Na dotaz, zda jejich organizace měří a připravuje výkazy/hlášení o stavu bezpečnosti, pouze 35 % respondentů odpovědělo, že tak učinili nyní a jen dalších 17 % řeklo, že to plánují do budoucna. Měření stavu bezpečnosti představuje rostoucí oblast zájmu. Pokud něco nelze změřit, není možné to ani účinně řídit. Výsledky našeho šetření ukazují, že společnosti stav bezpečnosti neměří, a tudíž o něm ani nepřipravují hlášení/výkazy. Jak tedy mohou tyto společnosti vědět, že na ochranu svých systémů a dat vynakládají dostatečné částky (resp. že nevynakládají příliš mnoho)? Získávají za své peníze opravdu hodnoty, které potřebují? Bezpečnostní opatření jsou důležitá, protože společnostem umožňují sledovat, jak dobře si vedou ve srovnání s konkrétními kritérii účinnosti a efektivity a také rizikovými kritérii. Dokud společnosti nebudou schopny měřit stav bezpečnosti, nebudou si moci být jisty, že mají svá informační aktiva tak dobře chráněna, jak si myslí. (V rámci šetření byly v širokém měřítku kontaktovány největší světové firmy s obratem nad 50 milionů USD. Šetření bylo prováděno telefonicky s těmi členy vedení, kteří jsou odpovědní za bezpečnost informací. Organizace byly vybrány tak, aby zvolený vzorek pokrýval všechny sektory podnikání a státních služeb v Evropě, v ESVA, v asijsko-pacifickém regionu a na americkém kontinentu. Sponzory šetření byly CheckPoint, RSA, Symantec a Secure Computing Magazine.)
Porušení bezpečnostních pravidel
(Mnoho organizací zjistilo, že u nich v uplynulém roce došlo k následujícím závažným porušením bezpečnostních pravidel)
1. Počet org. hlásících porušení bezpečnosti
2. Porušení bezpečnosti v %
3. Prům. počet ztracených dnů za rok
4. Prům. ztráta v USD za rok
5. Nejvyšší hláš. ztráta v USD za rok
VIRUS
1. 39
0
2. 61
3. 68
4. 162 000
5. 10 000 000
KRÁDEŽ IT VYBAVENÍ
1. 246
2. 38
3. 21
4. 98 000
5. 3 000 000
VNIKNUTÍ PROSTŘ. E-MAILU (NAPŘ. SPAMMING)
1. 183
2. 29
3. 12
4. 16 000
5. 200 000
ZTRÁTA SOFTWARU
1. 102
2. 16
3. 19
4. 104 000
5. 3 000 000
POPŘENÍ ÚTOKU SLUŽBOU
1. 91
2. 14
3. 24
4. 53 000
5. 500 000
VNIKNUTÍ DO WEBOVÉ STRÁNKY (NAPŘ. HACKING)
1. 79
2. 12
3. 84
4. 32 000
5. 200 000
SELHÁNÍ DŮLEŽITÉHO SYSTÉMU
1. 79
2. 12
3. 80
4. 155 000
5. 4 000 000
ZTRÁTA DOKUMENTŮ SPOLEČNOSTI
1. 78
2. 12
3. 11
4. 37 000
5. 200 000
ZTRÁTA DŮVĚRNÝCH DAT
1. 35
2. 5
3. 18
4. 197 000
5. 1 500 000
MANIPULACE NA VSTUPU/VÝSTUPU
1. 23
2. 4
3. 14
4. 14 000
5. 100 000
Pramen:autorka
Jste si jisti, že má vaše organizace zajištěnu bezpečnou ochranu dat?
určitě ano 58 %
spíše ano 38 %
nevím 1 %
spíše ne 2 %
rozhodně ne 1 %
