„Typowy współczesny biznes opiera się na infrastrukturze złożonej z tysięcy urządzeń, obejmujących nie tylko komputery stacjonarne, ale również własne gadżety pracowników oraz smartfony i laptopy firmowe. Kultura korporacyjna szybko się zmienia – pracownicy stają się coraz bardziej aktywni na forach społecznościowych oraz wykorzystują zasoby sieciowe jako sposób wymiany informacji firmowych. Zapewnia to większą elastyczność, a jednocześnie sprawia, że sieci są bardziej narażone na cyberprzestępczość. Dlatego koncentrujemy się na rozwoju skutecznych i łatwo zarządzanych rozwiązań bezpieczeństwa, które potrafią sprostać wymagania naszych czasów” – powiedział Aleksander Jerofiejew, dyrektor ds. marketingu w Kaspersky Lab.

Niejednolite zagrożenia

Badanie pokazuje, że cyberzagrożenia występują coraz częściej i stają się coraz bardziej różnorodne, stanowiąc większe niebezpieczeństwo niż kiedykolwiek wcześniej dla firm na całym świecie. Według połowy badanych cyberprzestępczość, w różnych formach, stanowi drugie największe zagrożenie dla biznesu. Ich firmy najczęściej padają ofiarą szkodliwego oprogramowania, spamu oraz nieautoryzowanych prób przeniknięcia do systemu. Co ważniejsze, respondenci przewidują, że w przyszłości obawy związane z tymi zagrożeniami wzrosną – przewyższając w ciągu najbliższych dwóch lat nawet strach związany z sytuacją gospodarczą.      

Nieprzygotowanie na cyberprzestępczość

Wyniki badania pokazują, że specjaliści IT są świadomi zagrożeń, jakie stanowi cyberprzestępczość. Jednak tylko 59% respondentów uważa, że w mniejszym lub większym stopniu są na nie przygotowani. Według badania, główny problem dotyczy pieniędzy: 44% respondentów wskazało na ograniczenia budżetowe, a 37% - na duży brak zrozumienia kwestii z zakresu bezpieczeństwa IT wśród osób odpowiedzialnych za budżet. Okazuje się, że głównym problemem dla specjalistów IT jest problem z przekonaniem kadry zarządzającej do tego, jak istotna jest ochrona korporacyjna przed cyberzagrożeniami.     

Badanie

W badaniu Global IT Security Risks, które zostało przeprowadzone w lipcu 2012 r., przyjrzano się opiniom ekspertów ds. bezpieczeństwa IT na całym świecie na temat głównych problemów w tej sferze. W ramach badania swoje opinie przedstawiło 3 300 starszych ekspertów IT z 22 państw na świecie. Wszyscy respondenci aktywnie uczestniczą w procesach podejmowania decyzji, w tym w sferze bezpieczeństwa IT.   

Mimo dużej świadomości potrzeb takich działań tylko kilkanaście procent organizacji posiada procedury na wypadek utraty danych (Disaster Recovery),  aż 25 % prowadzi backup „ręczny” bez dedykowanego oprogramowania, natomiast aż 10% instytucji powierza stałe wykonywanie backupu danych „przypadkowemu” pracownikowi np. sekretarce lub księgowej.

„Wyniki ankiety powinny być sygnałem ostrzegawczym i motywacją dla podjęcia działań dla osób odpowiedzialnych za bezpieczeństwo strategicznych danych i zapewnienie ciągłości działania w firmach czy urzędach. Prawie wszyscy ankietowani wykazali się dużą świadomością potrzeby backupu danych. Jednak kolejne pytania odkrywały, że są to działania często pozorne. Nie zapewniają one realnego bezpieczeństwa danych i ciągłości pracy systemów w sytuacjach krytycznych dla organizacji.” – mówi Paweł Mączka, Dyrektor Działu Technicznego Pamięci Masowe & Systemy Bezpieczeństwa Danych  w Infonet Projekt.

• Mimo, faktu że przytłaczająca większość ankietowanych instytucji prowadzi backup danych i uważa że odpowiednio zabezpiecza dane w nadzorowanych systemach (ponad 90% instytucji publicznych i  99 % firm) po analizie stosowanych rozwiązań i procedur okazuje się w większości przypadków nie gwarantują one pełnego bezpieczeństwa danych. Zaniedbania mogą doprowadzić nawet do utraty strategicznych danych dla firm albo też dla instytucji publicznych jak np. szpitali, które muszą przechowywać dokumentację chorobową pacjentów.
• Już pytanie dotyczące procesu prowadzenia backupu wskazuje, że  tylko 3/4 ankietowanych (72% instytucji publicznych,  78 % firm) wykorzystuje do tego dedykowane oprogramowanie zapewniające prawidłowe i systemowe prowadzenie tego procesu. Oznaczać to może, że ponad 25% badanych firm i urzędów stosuje np.  „ręczne” sposoby i metody prowadzenia backupu. Takie podejście sprawia, że nie tylko pozostawiają one backup na „łaskę dobrej pamięci” opiekunów, ale także rezygnują z zalet jakie daje automatyka oraz unifikacja procesu backupu.
• Kolejnym bardzo istotnym brakiem jest powierzanie opieki nad tymi systemami pojedynczej osobie.
• W badaniu ankietowani wskazali, że zdecydowana większość instytucji powierza odpowiedzialność za rotację taśm jednej osobie. Jest to wewnętrzny lub zewnętrzny administrator IT (86% instytucji publicznych,  79 % firm). Jednak to co jest bardziej niepokojące to fakt, że ponad  10% ankietowanych deklaruje, że backup danych wykonuje przypadkowa osoba. Jest to najczęściej pracownik biurowy lub działu księgowości, który został jedynie zapoznany z procesem i wykonuje go bez stałego nadzoru.
• Jednym z najbardziej niepokojących wskazań ankiety jest brak opisanych procesów oraz procedur związanych z bezpieczeństwem danych, czyli Disaster Recovery. Jak pokazują przeprowadzone wywiady, taka sytuacja występuje aż w 84% ankietowanych firm prywatnych i ponad 81% instytucji publicznych. Tym samym w przypadku awarii instytucje te pozbawione są procedur i polityk, które pozwolą na szybkie wznowienie działania infrastruktury, systemów i aplikacji IT oraz dostępu do danych krytycznych dla działalności instytucji. Taka sytuacja jest szczególnie niebezpieczna dla przedsiębiorstw prywatnych, gdzie dostęp do danych i możliwość prowadzenia biznesu jest kluczowa dla ich istnienia. 
• Odpowiedzi ankietowanych podmiotów wskazują wyraźne, że wbrew oczekiwaniom rynku i zapowiedziom analityków, większość instytucji – ponad 3/4 podmiotów (74% instytucji publicznych,  83 % firm) prowadzi nadal tradycyjny backup na taśmach (metoda Disk to Tape).

„Taka sytuacja może dziwić bo zdaniem ekspertów taśmy powinny być dzisiaj traktowane głównie jako archiwum a nie nośnik, do którego się często sięga albo którzy wykorzystuje się do codziennego backupu danych. Na szczęście widzimy, że coraz więcej firm zmienia swoje polityki zakupowe  rezygnując ze składowania danych na taśmach, wybiera metodę disk to disk (D2D), wykorzystując przy tym deduplikację danych.  Przy tym podejściu, nośnik taśmowy jest traktowany  jako dodatkowa kopia bezpieczeństwa.  Właśnie w odpowiedzi na te potrzeby wprowadziliśmy  w naszej ofercie urządzenie TSMbox, pierwszy na polskim rynku backup appliance, w całości bazujący na komponentach IBM, który jest gotową do użycia platformą do backupu danych. – ocenia Paweł Mączka.

Badanie przeprowadzone na zlecenie Infonet Projekt S.A., firmy specjalizującej się w audytach bezpieczeństwa i dostarczaniu rozwiązań do backupu oraz archiwizacji danych, objęło grupę ponad 300 decydentów odpowiedzialnych za kwestie IT. Wśród przebadanych były zarówno instytucje z sektora publicznego (urzędy samorządowe i inne instytucje komunalne np. szpitale) oraz prywatnego  (głównie małe i średnie firmy). 

Wyniki badania firmy DAGMA, przy współpracy z TÜV Rheinland Polska oraz PKPP Lewiatan pozwalają stwierdzić, że rodzime przedsiębiorstwa poważnie podchodzą do kwestii ochrony swoich komputerów przed wirusami – prawie wszyscy ankietowani zadeklarowali, że w ich firmach zainstalowano oprogramowanie antywirusowe (98%).

• I jak się wydaje jest to działanie słuszne - 36% ankietowanych przyznało, że przedsiębiorstwa, którymi zarządzają lub w których pracują, odnotowały w ostatnich 12 miesiącach incydenty związane z bezpieczeństwem IT. Najczęściej wiązały się one właśnie z infekcją wirusa. Niestety wizerunek odpowiedzialnych i poważnie podchodzących do bezpieczeństwa informatycznego przedsiębiorstw psuje fakt, iż polskie firmy zapominają o konieczności zabezpieczania jednych z najcenniejszych swoich aktywów – danych zapisanych na dyskach twardych komputerów. Taka sytuacja jest bardzo często równoznaczna z łamaniem przez rodzime przedsiębiorstwa przepisów polskiego prawa.

• 79% ankietowanych przyznało, że przechowuje na dyskach firmowych laptopów dane osobowe, jednak tylko 22% pytanych wiedziało o ustawowym obowiązku szyfrowania takich komputerów, jeśli są one wynoszone poza siedzibę przedsiębiorstwa.
• Aż 46% ankietowanych zadeklarowało, że w Polsce nie ma obowiązku stosowania rozwiązania kryptograficznego. Tymczasem obowiązująca regulacja stanowi jednoznacznie, że „Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania (…) stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.” [rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.].

Nieznajomość prawa nie oznacza jednak, że polskie firmy nie zauważają niebezpieczeństw, na jakie może narazić je lekceważące podejście do ochrony danych. Większość ankietowanych przyznała (88%), że utrata danych wpłynęłaby negatywnie na ich działalność, powodując konsekwencje finansowe, prawne lub utratę zlecenia, a nawet klienta. Wśród negatywnych konsekwencji utraty danych ankietowani wskazali również na niebezpieczeństwo zaistnienia konieczności zawieszenia lub zamknięcia działalności gospodarczej!

• Sytuację pogarsza fakt, że ewentualne sytuacje kryzysowe firmy prowokują samodzielnie - 41% ankietowanych przyznało, iż w ich przedsiębiorstwach pracownicy mogą kopiować na nośniki zewnętrzne dowolne dane! Oznacza to, że w firmach tych realny jest scenariusz, kiedy to szeregowy pracownik kopiuje na swój pendrive firmową bazę klientów lub projekt, nad którym przedsiębiorstwo pracuje od wielu miesięcy. Zdobyte w ten sposób pliki mogą być później sprzedane konkurencji lub posłużyć do szantażu. Takie przypadki kradzieży danych naprawdę się zdarzają - potwierdzili to sami ankietowani.

"Informatycy rozumieją konsekwencje utraty czy ujawnienia danych i znają konkretne przypadki nadużyć w tym zakresie. Wyzwaniem dla tych samych informatyków jest jednak tłumaczenie trudnego świata IT ludziom biznesu, czyli zarządom i prezesom przedsiębiorstw. Te dwa światy nie potrafią się ze sobą skutecznie porozumieć, przez co w rodzimych firmach brakuje zasobów na odpowiednią ochronę danych i brak jest konsekwentnych polityk bezpieczeństwa" – mówi Paweł Jurek, wicedyrektor ds. rozwoju katowickiej firmy DAGMA, specjalizującej się w bezpieczeństwie informatycznym.

• Polskie firmy wydają się dostrzegać problem zapewnienia sobie należytego bezpieczeństwa IT i jak twierdzi ponad połowa badanych (56%) ich przedsiębiorstwa szkolą swoich pracowników z zakresu reguł bezpieczeństwa informatycznego obowiązujących w pracy. Podczas tego typu szkoleń pracownicy dowiadują się, m.in. których stron nie powinni odwiedzać w godzinach pracy, czy też dlaczego nie powinno się podawać haseł, zabezpieczających dostęp do firmowego komputera osobom trzecim itd.
• Niestety 36% rodzimych przedsiębiorstw tego typu szkoleń nie organizuje w ogóle, wymawiając się najczęściej brakiem środków finansowych lub brakiem czasu. Tymczasem prawidłowa edukacja pracowników, połączona z wprowadzeniem spójnej polityki bezpieczeństwa, mogłaby zlikwidować ryzyko kosztownych i często kłopotliwych konsekwencji, związanych z utratą firmowych danych.

Badanie

Badanie zostało przeprowadzone na grupie 112 przedstawicieli polskich przedsiębiorstw za pomocą ankiety elektronicznej, udostępnionej na platformie ebadania.pl.  Partnerem merytorycznym projektu był instytut Millward Brown SMG/KRC.

autor: Mariola Czapkiewicz