Polscy przedsiębiorcy wciąż przedkładają oszczędności nad bezpieczeństwo informacji. W czasie kryzysu bezpieczeństwo jest postrzegane jako niepotrzebny koszt. Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji- to główne wnioski pierwszego polskiego badania poświęconego tym kwestiom przeprowadzonego przez firmę doradczą Deloitte we współpracy z portalem Gazeta.pl.
Przedmiotem badania było wykorzystanie Internetu przez współczesne społeczeństwo informacyjne, jego świadomości na temat bezpieczeństwa IT, a także analiza zaangażowania przedsiębiorców w proces zapewnienia bezpieczeństwa informacji w firmach. Raport powstał na podstawie sondażu przeprowadzonego w lipcu 2009 adresowanego do dwóch grup: internautów, użytkowników poczty elektronicznej oferowanej przez Grupę Gazeta.pl oraz ekspertów zajmujących się bezpieczeństwem IT w polskich firmach, klientów Deloitte. Liczebność ankietowanych grup wyniosła odpowiednio 363 i 30.
Mimo dynamicznej informatyzacji oraz rozwoju społeczeństwa informacyjnego, wzrost budżetów przeznaczanych na bezpieczeństwo w obszarze IT jest znikomy. Ponad 70% respondentów potwierdziło brak oddzielnego budżetu pionu bezpieczeństwa danych w swojej firmie. Wśród najczęściej stosowanych rozwiązań są urządzenia i produkty ochrony infrastruktury oraz programy antywirusowe (70%). W drugiej kolejności stosowane są zabezpieczenia fizyczne takie jak drzwi lub sejfy ognioodporne (60%) oraz usługi doradców ds. bezpieczeństwa (40%) lub wdrożenie systemów reakcji na ataki (13%).
Według ekspertów Deloitte w polskich firmach brak jest zaangażowania w zagadnienie bezpieczeństwa firmy. Aż 1/3 respondentów wykazała, że struktury biznesowe nie są zaangażowane w budowę strategii ochrony danych. „Na świecie powszechnym jest, iż dział bezpieczeństwa jest samodzielnym działem podległym bezpośrednio pod zarząd oraz tym samym posiada swój własny budżet. Niestety w Polsce wciąż pokutuje stereotypowe myślenie o bezpieczeństwie IT widzianym przez pryzmat ochrony informacji niejawnych czy też ustawowym obowiązku ochrony danych osobowych. Bez zmiany tego podejścia nie będzie można mówić o efektywnym zarządzaniu bezpieczeństwem informacji. W dzisiejszych czasach organizacje muszą przeciwstawić się ogromnej ilości zagrożeń, które dotyczą bardzo wielu aspektów działalności spółki. Jednocześnie ilość oraz wartość przechowywanych i przetwarzanych informacji jest ogromna i stale rośnie”- podkreśla Cezary Piekarski, menedżer w polskim dziale Zarządzania Ryzykiem Deloitte.
Według badania firmy Deloitte i portalu Gazeta.pl większość przedsiębiorców za zagrożenie uważa portale społecznościowe. Jednocześnie najchętniej stosowanym rozwiązaniem mającym zabezpieczyć organizacje przed ryzykiem jest blokowanie do nich dostępu. Powszechność portali społecznościowych sprawia, że coraz większa liczba ludzi umieszcza na nich coraz więcej danych wrażliwych, które powinny podlegać ochronie. Aż 40% respondentów uważa, że informacje o fizycznej lokalizacji, w tym planowanych podróżach pracowników, nie powinny podlegać ochronie, a kolejne 20% nie ma w tej kwestii zdania. Równocześnie 47% ankietowanych sądzi, że informacje o kontaktach biznesowych (prezentowanych np. na portalach typu LinkedIn, GoldenLine) nie powinny podlegać ochronie.
„Dane te świadczą o znikomej świadomości zagrożeń, jakie mogą płynąć z korzystania przez pracowników z portali społecznościowych. Narzędzia takie jak TripIT (informacja na temat planowanych podróży służbowych) mogą stanowić realne zagrożenie dla bezpieczeństwa spółki. Inteligentny przeciwnik może w bardzo prosty sposób powiązać dane zawarte w ogólnodostępnych portalach oraz serwisach społecznościowych, wchodząc w posiadanie informacji, które jeszcze niedawno dostępne były jedynie przy wykorzystaniu technik szpiegostwa przemysłowego”– podkreśla Jakub Bojanowski, partner odpowiedzialny za usługi audytu informatycznego Deloitte w Europie Środkowej. „Zasadne wydaje się rozważenie zagrożeń oraz ryzyk, jakie wynikają z tego typu działań pracowników oraz podjęcie odpowiednich czynności minimalizujących ryzyka. Bardziej stosownym wydają się przy tym wszelkiego typu szkolenia, akcje uświadamiające pracowników oraz wypracowanie odpowiednich procedur niż zwykłe blokowanie dostępu do określonych stron na poziomie infrastruktury teleinformatycznej”– dodaje.
„Z badania wynika, że świadomość internautów odnośnie bezpieczeństwa informacji także pozostawia wiele do życzenia. Większość z nich potwierdza, że stają się ofiarami różnego rodzaju ataków cyberprzestępców. Za największe zagrożenia internauci uważają wirusy, spam oraz programy szpiegujące. Zagrożenia te pośrednio wynikają z konfiguracji oraz sposobu wykorzystania komputera, które w pełni zależą od użytkownika”– mówi Arkadiusz Kustra, kierownik zespołu badań i analiz w Grupie Gazeta.pl.
Ankietowani internauci nie doceniają zatem znaczenia własnej działalności. Zaledwie 19% respondentów uważa, że jakość stosowanych przez nich haseł ma duże znaczenie dla bezpieczeństwa. Zaledwie 25% sądzi, że zarządzanie zmianą ma duże znaczenie, podczas, gdy w oczach ekspertów jest to jedna z kluczowych kwestii bezpieczeństwa środowisk informatycznych.
Źródło: Deloitte Polska
