Slovenské firmy sú v zásade ochotné investovať do bezpečnosti svojich informácií, mnohým nechýbajú technické opatrenia. To, čo im chýba, sú bezpečnostné procesy. Taký je názor konzultantky bratislavskej spoločnosti Tempest Karin Gubalovej.
Pod procesmi myslí systematické vypracúvanie pravidiel zaobchádzania s informáciami, záväzných pre všetkých zamestnancov. Na rozdiel od technických opatrení zavádzanie procesov nevyžaduje veľa financií. Potrebuje však veľa času a trpezlivosti pri vzdelávaní zamestnancov a pri ich motivovaní, aby zmenili svoje zabehnuté návyky. Čo nejde bez autority najvyššieho vedenia. Vedúci IT oddelenia nemá dostatočné kompetencie na to, aby prinútil všetkých ľudí vo firme správať sa zodpovedne. Inými slovami, slovenským firmám chýba najmä celostný pohľad na informačnú bezpečnosť.
Relatívne zlepšenie
Na druhej strane časopis DSM – data security management tvrdí, že prístup k informačnej bezpečnosti sa v slovenských firmách za posledné dva roky mierne zlepšil. Aspoň tak interpretuje porovnania svojich dvoch prieskumov. Uskutočnil ich v rokoch 2004 a 2006 v spolupráci so spoločnosťou KPMG Slovensko a Národným bezpečnostným úradom.
Bližší pohľad na výsledky však ukazuje, že oproti roku 2004 vzrástli skôr subjektívne ukazovatele. Podiel spoločností presvedčených, že sa u nich venuje riešeniu informačnej bezpečnosti dostatočná pozornosť, stúpol zo 60 na 67 percent. Alebo 40 percent respondentov sa domnieva, že v porovnaní s vyspelými západoeurópskymi štátmi je situácia na Slovensku rovnaká alebo dokonca lepšia. Pred dvoma rokmi si to myslelo 34 percent. Odpovede na otázky týkajúce sa konkrétnych opatrení už nevyzneli tak optimisticky.
Podiel organizácií, kde sa niekto venuje informačnej bezpečnosti ako hlavnej pracovnej náplni, klesol z 15 na 13 percent. Až 18 percent oslovených organizácií vôbec nemá pracovníka zodpovedného za túto oblasť. Len v 17 percentách prípadov leží zodpovednosť za bezpečnosť priamo na pleciach najvyššieho vedenia.
Na otázky v prieskume zväčša odpovedali vedúci IT oddelení či iní IT špecialisti, ktorých touto zodpovednosťou poverujú najčastejšie. Najvyššie vedenie ich zväčša necháva konať podľa ich uváženia a otázky bezpečnosti rieši len v prípade vzniknutých incidentov.
Úroveň riadenia IT bezpečnosti v organizácii
(% respondentov)
PRAMEŇ: KPMG Slovensko, september - november 2006, N=175
Ideálne riešenie neexistuje
Svedčí to o nepochopení informačnej bezpečnosti ako komplexnej problematiky. Tá sa stále vníma predovšetkým ako zabezpečenie IT systému pred útokmi zvonka (hackeri, vírusy...) či zneužitím zvnútra (keď by sa vlastní zamestnanci mohli dostať k informáciám, na ktoré nemajú oprávnenie). K. Gubalová však upozorňuje, že problematika bezpečnosti je v skutočnosti omnoho širšia. V teórii sa rozlišujú jej tri kategórie: dostupnosť, dôvernosť a integrita podnikových informácií.
Softvérové či fyzické opatrenia, ktoré majú zabrániť, aby sa informácie dostali do nepovolaných rúk, spadajú do kategórie dôvernosti. Dostupnosť znamená, že informácie sú k dispozícii vždy vtedy, keď ich niekto kompetentný potrebuje. Čakaním na informácie vznikajú vo firme prestoje a utekajú peniaze.
Kritická nedostupnosť, pre ktorú by napríklad mohlo prísť k zastaveniu výroby, môže spôsobiť viac škody ako hackerský útok. Pod integritou sa myslí požiadavka, aby dáta v informačnom systéme zodpovedali skutočnosti. Aj rozhodovanie na základe nesprávnych informácií môže mať ďalekosiahle následky.
Neexistuje ideálne riešenie, ktoré by dokonale pokrylo všetky tri bezpečnostné kategórie. V praxi také ani nie je potrebné. Treba si uvedomiť, že napríklad zvyšovaním opatrení v oblasti dôvernosti informácií sa spravidla zhoršuje ich dostupnosť. Ak je informácia chránená fyzicky v trezore alebo virtuálne systémom niekoľkých prístupových hesiel, nejaký čas trvá, kým sa k nej používateľ vôbec dostane. Preto by si firmy mali pri každom type informácie zvážiť, ktoré riziko pre nich znamená najväčšiu potenciálnu škodu, a na to sa sústrediť. Zabezpečiť vysokú dostupnosť aj na úkor dôvernosti alebo naopak.
V dnešnej dobe sa teda pod informačnou bezpečnosťou myslí znižovanie akýchkoľvek rizík, ktoré by mohli vzniknúť pri práci s informáciami. Väčšina slovenských firiem si však takto širokú definíciu bezpečnosti dosiaľ neosvojila. A preto si neuvedomuje, že informačná bezpečnosť môže byť účinne riešená, len ak sa zapoja všetky oddelenia, ktoré zastreší vrcholové vedenie či ním poverený človek.
Kto je zodpovedný za IT bezpečnosť?
(% respondentov)
PRAMEŇ: KPMG Slovensko, september - november 2006, N=175
Predchádzanie incidentom
Firma by mala analyzovať všetky svoje procesy a v každom sa snažiť odhaliť riziká, ktoré si doteraz nevšímala. V žiarskom výrobcovi hliníka Slovalcu si pri bezpečnostných analýzach napríklad všimli, že hoci dáta v počítačoch boli chránené dobre, na papierové dokumenty sa myslelo menej.
Teraz sú roztriedené do štyroch bezpečnostných kategórií. Ku každej sú vypracované podrobné zásady zaobchádzania. Tie napríklad určujú, či sa dokument môže posielať faxom alebo musí byť uzamknutý v trezore. V spoločnosti tiež existujú podrobné manuály na riešenie všetkých možných krízových situácií, ktoré by mohli nastať. Nad bezpečnostnými rizikami sa musia zamýšľať zodpovední pracovníci na všetkých úsekoch, ktorých určilo priamo najvyššie vedenie.
Aj Železiarne Podbrezová (ŽP) vytvorili jednotný systém na kontrolu bezpečnosti, ktorý neskôr rozšírili na svoje dcérske spoločnosti. Na jeho čele je bezpečnostný manažér, pričom každá dcéra má svojho administrátora bezpečnosti. Všetky spoločnosti skupiny ŽP sú potom prepojené multimediálnou aplikáciou na hlásenie bezpečnostných incidentov.
Pod incidentom sa nechápe len narušenie bezpečnosti, ale akékoľvek vybočenie zo stanovených pravidiel (ktoré vytvára len potenciálne nebezpečenstvo). A to nielen v informačnom systéme, ale aj vo fyzických priestoroch. Administrátori do systému vkladajú hlásenia o incidentoch, doplnené o naskenované dokumenty, fotografie či videozáznamy situácie. Predtým krízové situácie riešili operatívne manažéri úsekov, na ktorých vznikli. Nový systém má za úlohu krízam skôr predchádzať.
Prieskum DSM naznačuje, že taký kompletný pohľad na informačnú bezpečnosť, aký používajú v Slovalcu či ŽP, je v slovenských podmienkach stále v menšine. Na prvý pohľad to nevyzerá tak zle. Až sedemdesiat percent spoločností uviedlo, že má vypracovanú a najvyšším vedením schválenú bezpečnostnú politiku. Otázna však je kvalita týchto dokumentov.
Viac ako tretina spomínaných bezpečnostných politík venuje najväčší priestor ochrane osobných údajov. Spoločnosti tak síce splnili požiadavky zákona o ochrane osobných údajov, ostatné oblasti bezpečnostnej politiky však odsunuli na okraj záujmu. Pritom osobné údaje tvoria len jednu z mnohých oblastí, ktorým treba venovať pozornosť.
Posledná analýza IT rizík
(% respondentov)
PRAMEŇ: KPMG Slovensko, september - november 2006, N=175
Rizikové notebooky
Podľa prieskumu tiež výrazne klesol podiel spoločností, ktoré majú vypracované plány obnovy informačného systému pre prípad mimoriadnej udalosti alebo katastrofy. Znížil sa zo 46 na 38 percent. Zhoršila sa aj situácia v analyzovaní bezpečnostných rizík, firmy ju vykonávajú menej často, dokonca o jedno percento stúpol podiel tých, ktoré ju nevykonávajú vôbec.
Pozitívnym je výrazný nárast používateľov elektronického podpisu. Ich podiel za dva roky narástol z 18 percent na takmer dvojnásobok. Prieskum sa nezaoberal otázkou, ktorú K. Gubalová považuje za veľkú slabinu slovenských firiem – ochranou dát v externom prostredí, mimo sídlo spoločnosti. Týka sa to najmä dát v notebookoch zamestnancov, ktorí sa pohybujú v teréne.
Nedávno tento problém riešili v žilinskom Variase. Konzultanti spoločnosti sa väčšinou pohybujú v teréne a k dátam svojich klientov pristupujú zo svojich notebookov. Kým ochrana dát vo vnútrofiremnej sieti bola dostatočná, vzdialený prístup cez telefónne linky nebol celkom bezpečný. Minulý rok boli preto všetky notebooky vybavené GSM modulmi na mobilné pripojenie, ako aj kryptovacím softvérom.
Takmer štyridsať percent opýtaných sa v oboch prieskumoch zhodlo, že najväčšou prekážkou rozvoja informačnej bezpečnosti na Slovensku je nízke povedomie o jej dôležitosti. Ako druhý najčastejší dôvod s veľkým odstupom skončila finančná náročnosť. Dnes ju však oslovené firmy považujú za menší problém ako pred dvoma rokmi. Svedčí o tom aj mierny nárast počtu spoločností, ktoré zaviedli osobitný rozpočet na informačnú bezpečnosť. Stále však tvoria len pätinu všetkých respondentov. Celkovo tieto údaje podporujú názor K. Gubalovej, že peniaze sú, chýba väčšia angažovanosť manažmentu.
Prekážky rozvoja IT bezpečnosti v SR
(% respondentov)
PRAMEŇ: KPMG Slovensko, september - november 2006, N=175
Ilustračné foto – Profimedia.cz
