Bezpieczeństwo w polskim Internecie 2009

Bezpieczeństwo ma znaczenieRaport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie

Bezpieczeństwo informacji w Polsce wciąż jest utożsamiane z zaplombowanym pokojem, stalowymi drzwiami i gaśnicami. Tymczasem rosnąca popularność Internetu oraz przyrost treści tworzonych przez samych użytkowników (a więc dzielenie się informacjami) stanowi dla biznesu szczególne wyzwanie

Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 3

Mamy przyjemność zaprezentować Państwu wyniki polskiej edycji badania na temat bezpieczeństwa informacji w Internecie. Mamy nadzieję, że wyniki naszych prac okażą się dla Państwa interesujące, a prowadzone przez nas inicjatywy przyczynią się do budowania świadomości polskiej społeczności informacyjnej, na temat zagrożeń i możliwości związanych z wykorzystaniem komputerów oraz Internetu.

Bezpieczeństwo informacji w Polsce wciąż jest utożsamiane z zaplombowanym pokojem, stalowymi drzwiami i gaśnicami. Tymczasem rosnąca popularność Internetu oraz przyrost treści tworzonych przez samych użytkowników (a więc dzielenie się informacjami) stanowi dla biznesu szczególne wyzwanie. Już ponad połowa Polaków korzysta z Internetu, co stwarza dla ochrony informacji nowe, niedoceniane wyzwania, którym zarówno internauci jak i przedsiębiorcy będą musieli w najbliższym czasie sprostać.

Firma Deloitte wraz z Grupą Gazeta.pl postanowiła przeprowadzić badanie dotyczące bezpieczeństwa informacji w Internecie. W ramach badania przeprowadzony został sondaż adresowany do dwóch grup: internautów-użytkowników serwisów internetowych z grupy Gazeta.pl, oraz ekspertów ds. IT i ochrony informacji z polskich firm. Przedmiotem analizy było wykorzystanie Internetu przez współczesne społeczeństwo informacyjne, badanie jego świadomości na temat bezpieczeństwa IT, a także analiza zaangażowania przedsiębiorców w proces zapewnienia bezpieczeństwa informacji w ich firmach. Analiza wyników uzyskanych na podstawie badań dwóch wymienionych grup, będąca konfrontacją spojrzenia z perspektywy internautów oraz pracodawców, pozwoliła nam uzyskać interesujące rezultaty, które zostały zaprezentowane w dalszej części raportu.

Badanie zostało przeprowadzone w nawiązaniu do wyników podobnych badań prowadzonych przez Deloitte na całym świecie. Wynikiem globalnych badań jest publicznie dostępny raport „Protecting what matters. The 6th Annual Global Security Survey”. Przeprowadzony sondaż pozwolił nam spojrzeć na bezpieczeństwo informacji w Polsce na tle innych regionów świata. Niniejszy raport zawiera główne wnioski oraz obserwacje dotyczące obecnego stanu bezpieczeństwa Informacji w Polsce.

Jakub BojanowskiPartner w Dziale Zarządzania Ryzykiem Deloitte

Arkadiusz KustraKierownik Zespołu Badań i Analiz Gazeta.pl

Wprowadzenie

Za największe zagrożenia internauci uważają wirusy, spam oraz programy szpiegujące. Żadne z tych zagrożeń nie jest bezpośrednio związane z działalnością samego internauty. Wynikają one jednak pośrednio z konfiguracji oraz sposobu wykorzystania komputera, które w pełni zależą od użytkownika.

Spis treści

3 Wprowadzenie 7 Główne wnioski z raportu 8 Firmy oszczędzają na bezpieczeństwie 13 Jak chronić informacje biznesowe w epoce serwisów społecznościowych 16 Bezpieczeństwo w branży energetycznej (komentarz) 17 Bezpieczeństwo w branży produkcyjnej (komentarz) 18 Rozbieżne rankingi zagrożeń w oczach ekspertów i internautów 21 Opis źródeł danych do raportu 22 Kontakt


6

Internauci nie doceniają wagi własnych działań w procesie zapewnienia bezpieczeństwa informacji, a winą za potencjalne nadużycia obarczają czynniki zewnętrzne, w tym firmy, których są klientami (np. banki, instytucje finansowe, dostawców usług internetowych).


2. Główne wnioski z raportu

Oszczędzamy na bezpieczeństwiePolscy przedsiębiorcy w czasach kryzysu przedkładają oszczędności nad bezpieczeństwo informacji. Mimo dynamicznej informatyzacji oraz rozwoju społeczności informacyjnej, wzrost budżetów przeznaczanych na bezpieczeństwo w obszarze IT jest znikomy. Dzieje się tak przede wszystkim dlatego, że oszacowanie korzyści, jakie niosą ze sobą inwestycje w bezpieczeństwo informacji jest niezwykle trudne. Nie jest także łatwo ocenić, jakie straty zostaną poniesione po zmniejszeniu budżetu przeznaczonego na ochronę informacji. Powoduje to, że mimo tego, że większość działów biznesowych wyraża jedynie umiarkowane zadowolenie ze wsparcia, jakie oferuje im jednostka odpowiedzialna za bezpieczeństwo informacji, budżety tych jednostek stają się celem znacznych oszczędności.

Brak zaangażowania i świadomościKolejną niepokojącą obserwacją jest brak zaangażowania przedstawicieli biznesu w zapewnienie bezpieczeństwa informacji. Wymagania odnośnie bezpieczeństwa powinny wynikać z potrzeb biznesowych, gdyż to właśnie linie biznesowe najlepiej znają wartość poszczególnych aktywów. Ich zaangażowanie w proces ochrony informacji może zapewnić efektywne wykorzystanie budżetu w miejscach, gdzie ochrona jest rzeczywiście potrzebna. Z naszych badań wynika jednak, że ochrona informacji jest traktowana jako zadanie zespołów IT, a nie całej organizacji. Przedsiębiorcy nie doceniają także proceduralnych i organizacyjnych aspektów bezpieczeństwa informacji, biorących pod uwagę ryzyka związane z czynnikiem ludzkim.

Świadomość internautów odnośnie bezpieczeństwa informacji wciąż pozostawia wiele do życzenia. Internauci nie doceniają wagi własnych działań w procesie zapewnienia bezpieczeństwa informacji, a winą za potencjalne nadużycia obarczają czynniki zewnętrzne, w tym firmy, których są klientami (np. banki, instytucje finansowe, dostawców usług internetowych). Paradoksalnie, niska świadomość konsumentów wiąże się często także z niskimi wymaganiami odnośnie bezpieczeństwa stawianymi wobec dostawców usług. Taki stan rzeczy działa na przedsiębiorców w sposób demobilizujący.

Między bezpieczeństwem a komfortem użytkowaniaGłównym obszarem inwestycji w bezpieczeństwo są rozwiązania techniczne. Jednak i ten obszar wymaga wielu usprawnień. Porównując wyniki naszych badań z raportami o zasięgu globalnym dostrzeżemy, że w Polsce wykorzystuje się mało zaawansowane technologie z obszaru bezpieczeństwa IT takie jak zarządzanie tożsamością, pozostając przy prostych i często nieskutecznych rozwiązaniach.

Przedsiębiorcy niechętnie inwestują w zabezpieczenia wiedząc, że nie zostanie to docenione przez ich klientów. Co więcej, często wzrost bezpieczeństwa wiąże się ze spadkiem wygody użytkowania, co doprowadza do sytuacji, w której użytkownik jest niezadowolony z wyższego poziomu bezpieczeństwa. Wyjściem z tej sytuacji mogą być nowoczesne rozwiązania techniczne pozwalające na podniesienie systemu bezpieczeństwa bez znacznego spadku komfortu użytkowania. Przy zmniejszających się budżetach poświęcanych na ochronę informacji ich wdrożenie w większości organizacji zostanie zapewne odłożone w czasie.

8

Oszczędności i zaangażowanie przedstawicieli biznesuIstnieją modele pozwalające podjąć próbę oszacowania zwrotu z inwestycji w bezpieczeństwo IT. Sam proces szacowania nie jest łatwy, wymaga przeprowadzenia odpowiednich analiz i pewnego nakładu pracy. Dlatego polskie firmy zwykle rezygnują z próby oceny opłacalności tego typu inwestycji. Jednostka odpowiedzialna za zapewnienie bezpieczeństwa postrzegana jest jako ośrodek kosztów, a korzyści z jego działania nie są do końca znane. Z tego powodu, w czasach spowolnienia gospodarczego, przedsiębiorcy szukają łatwych oszczędności znajdując je w zespołach zajmujących się ochroną informacji. Potwierdzają to przeprowadzone przez nas badania.

Ponad połowa respondentów badania uznała pion bezpieczeństwa danych za średnio efektywny pod względem zaspokajania potrzeb i oczekiwań organizacji na podstawie informacji zwrotnej od linii biznesowych oraz innych źródeł wewnętrznych. Jednocześnie 60% respondentów zauważyło, że obsada pionu bezpieczeństwa zmniejszyła się w ciągu ostatniego roku. Deklarowane wzrosty budżetów przeznaczonych na bezpieczeństwo danych w ostatnim roku były na bardzo niskim poziomie, co po uwzględnieniu inflacji oznacza ich realny spadek. Jednocześnie środki przeznaczane na ochronę informacji są wciąż częścią budżetów zespołów IT, co utrudnia ich monitorowanie i ocenę realnych korzyści. Jedynie 16.6% naszych respondentów było w stanie wskazać kwotę, jaką przeznaczają na ochronę informacji w przeliczeniu na jednego pracownika organizacji. Wszystkie te fakty skłaniają do smutnej konkluzji, że polskie spółki oszczędzają na bezpieczeństwie.

W Polsce wciąż pokutuje stereotypowe myślenie o bezpieczeństwie informacji widzianym przez pryzmat ochrony informacji niejawnych czy też ustawowego obowiązku ochrony danych osobowych. Powoduje to, że nie są analizowane rzeczywiste zagrożenia i rezultaty utraty informacji. Aż 1/3 respondentów wykazała, że biznesowi przedstawiciele biznesu nie są zaangażowani w budowę strategii ochrony danych. Bez zmiany tego podejścia nie będzie można mówić o efektywnym zarządzaniu bezpieczeństwem informacji.

Oszczędzamy na certyfikatach i dobrych praktykachPrawie 50% naszych respondentów nie wykazuje

zainteresowania certyfikacją według normy ISO 27001. Norma ta zawiera dobre i sprawdzone praktyki odnośnie bezpieczeństwa informacji. Praktyka pokazuje, że wzorowanie się na normie ISO 27001 podczas tworzenia systemu zarządzania bezpieczeństwem informacji, nawet w przypadku niewielkich środowisk IT, przynosi bardzo dobre efekty. Całkowite zaniechanie nie tylko kosztownej certyfikacji, ale i wdrożenia wybranych fragmentów normy jest ciekawym trendem, który może mieć istotny wpływ na rynek usług doradczych w obszarze ochrony informacji. Być może rynek oczekuje wprowadzenia nowych, mniej restrykcyjnych regulacji, które będą mniej kosztowne we wdrożeniu i utrzymaniu.

W dobie optymalizacji kosztów działalności spółki sięgają do ograniczania wydatków na bezpieczeństwo. Należy jednak pamiętać, że oszczędności w tym obszarze powinny być wynikiem świadomej analizy ryzyka, a nie ryzykownej optymalizacji krótkookresowego wyniku finansowego.

2.1. Firmy oszczędzają na bezpieczeństwie

Czy firma posiada oddzielny od budżetu IT budżet pionu bezpieczeństwa danych?

Częstość Procent

Tak 2 6,7

Nie 23 76,7

Nie wiem 5 16,7

Ogółem 30 100,0

Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30

W oparciu o informację zwrotną otrzymaną z linii biznesowych i innych źródeł wewnętrznych proszę określić efektywność działania pionu bezpieczeństwa danych pod względem zaspokajania potrzeb i oczekiwań organizacji. Proszę wybrać jedną odpowiedź

Częstość Procent

Bardzo efektywny 2 6,7

Średnio efektywny 16 53,3

Nieefektywny 1 3,3

Nie wiem 8 26,7

Wolę nie ujawniać 3 10,0

Ogółem 30 100,0

Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców (klientów Deloitte) jako odniesienie do Global Security Survey, n=30


Jak można scharakteryzować obsadę pionu bezpieczeństwa danych (bez outsourcingu) w okresie ostatnich 12 miesięcy? Proszę wybrać jedną odpowiedź

Częstość Procent

Zwiększyła się 3 10,0

Zmniejszyła się 18 60,0

Nie zmieniła się 3 10,0


Inne 4 13,3

Ogółem 30 100,0

Jaki poziom zaangażowania w strategię bezpieczeństwa danych obserwuje się na poziomie linii biznesowych w firmie?

Częstość Procent

Brak zaangażowania 9 30,0

Dostarczają materiał wsadowy 6 20,0

Kształtują strategię bezpieczeństwa 3 10,0

Realizują strategię bezpieczeństwa 4 13,3

Zatwierdzają strategię bezpieczeństwa 3 10,0

Nie wiem 5 16,7

Ogółem 30 100,0

Jaki poziom zaangażowania w strategię bezpieczeństwa danych obserwuje się na poziomie szefów pionów?

Częstość Procent

Nie dotyczy - firma nie posiada takiej strategii 3 10,0

Brak zaangażowania 8 26,7

Dostarczają materiał wsadowy 5 16,7

Kształtują strategię bezpieczeństwa 5 16,7

Realizują strategię bezpieczeństwa 3 10,0

Zatwierdzają strategię bezpieczeństwa 3 10,0

Nie wiem 3 10,0

Ogółem 30 100,0




10

Które z następujących pozycji obejmuje budżet pionu bezpieczeństwa danych firmy? Proszę wybrać wszystkie właściwe odpowiedzi

Częstość Procent

Urządzenia I produkty ochrony infrastruktury (zapory sieciowe, rutery filtrujące, systemy antywirusowe itp.)

21 70,0

Program antywirusowy zainstalowany w desktopach i na bramce itp. 21 70,0

Logiczna kontrola dostępu (oprogramowanie i sprzęt do autoryzacji/autentykacji taki jak tokeny, karty dostępu itp.)

18 60,0

Fizyczna kontrola dostępu (drzwi lub sejfy ognioodporne, gaśnice itp.) 18 60,0

Sprzęt i infrastruktura 18 60,0

Koszty personelu i organizacji (związane z definicją / administracją / działalności operacyjnej)

12 40,0

Doradcy ds. bezpieczeństwa 10 33,3

Koszty ubezpieczenia 10 33,3

Plan poawaryjnego odtworzenia danych 8 26,7

Koszty informacji / upowszechniania 6 20,0

Koszty badań / analiz 6 20,0

Koszty audytu lub certyfikacji 6 20,0

Zapewnienie kontynuacji działalności 5 16,7

System reakcji na zdarzenia losowe 4 13,3

Przestrzeganie przepisów i zarządzanie ryzykiem 4 13,3

Działalność badawczo-rozwojowa w zakresie bezpieczeństwa 2 6,7

Żadna z powyższych pozycji 1 3,3


Nie wiem 3 10,0

Jaki procent budżetu informatycznego firmy przeznaczony jest na zapewnienie bezpieczeństwa danych? (z wyłączeniem kosztów związanych z BCM, DRP i wbudowanymi elementami zabezpieczającymi)

Częstość Procent

1-3% 1 3,3

4-6% 1 3,3

7-9% 1 3,3

10-11% 3 10,0

Ponad 11% 3 10,0

Nie dotyczy 4 13,3

Nie wiem 9 30,0


Brak odpowiedzi 2 6,7




Jakie kwoty (w zł) firma przeznacza rocznie na zabezpieczenia w przeliczeniu na jednego pracownika? Proszę wybrać jedną odpowiedź

Częstość Procent

10 zł - 250 zł 3 10,0

251 zł - 500 zł 1 3,3

501 zł - 1000 zł 1 3,3

Nie mierzymy 9 30,0

Nie wiem 7 23,3


Ogółem 30 100,0

W jakim stopniu bezpieczeństwo działalności jest skoordynowane z bezpieczeństwem danych? Proszę wybrać jedną odpowiedź

Częstość Procent

Inicjatywy z zakresu bezpieczeństwa działalności są dobrze skoordynowane z inicjatywami dot. bezpieczeństwa danych

6 20,0

Inicjatywy z zakresu bezpieczeństwa działalności są w pewnej mierze skoordynowane z inicjatywami dot. bezpieczeństwa danych

16 53,3

Inicjatywy z zakresu bezpieczeństwa działalności nie są skoordynowane z inicjatywami dot. bezpieczeństwa danych

3 10,0

Nie wiem 4 13,3


Ogółem 30 100,0



12

42%

13%

34%

8%

3%

Raczej obniżył sięRaczej wzrósłNie dotyczy, firma nie angażuje się w temat bezpieczeństwaNie wiemWolę nie ujawniać

24%

30%8%

30%

8%

Bardzo efektywnyŚrednio efektywnyNieefektywnyNie wiemWolę nie ujawniać

Czy nacisk na bezpieczeństwo danych w firmie/instytucji, gdzie Pan/Pani pracuje zmienił się od zeszłego roku? Proszę wybrać jedną odpowiedź

Jak efektywne są w Pana/Pani przekonaniu działania na rzecz bezpieczeństwa danych pod względem zaspokajania potrzeb i oczekiwań firmy/instytucji gdzie Pan/Pani pracuje?

Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników

(pozyskanych do badania spośród użytkowników Gazeta.pl), n=363

Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników

(pozyskanych do badania spośród użytkowników Gazeta.pl), n=363

Nacisk na bezpieczeństwo jedynie zdaniem 13% pracowników, rośnie:

Sami pracownicy mają przeświadczenie o stosunkowo wysokiej efektywności działań na rzecz bezpieczeństwa w swoich firmach, jedynie 8% uczestników sondażu uznaje te działania za nieefektywne.


2.2. Jak chronić informacje biznesowe w epoce serwisów społecznościowych

Firmy nie zdają sobie sprawy z tego, że aktywność pracowników w serwisach społecznościowych może być zagrożeniem i nie podejmują działań związanych z ochroną tych informacji.

Obserwujemy dynamiczny wzrost popularności oraz coraz szersze zastosowania Internetu w życiu prywatnym. Potwierdzają to wyniki przeprowadzonego badania. Jednak świadomość społeczeństwa na temat bezpieczeństwa w obszarze IT wciąż pozostaje niska. Korzystanie z komputera służbowego, nawet w celach pozasłużbowych, niesie ze sobą wiele ryzyk. Według badania większość przedsiębiorców za zagrożenie uważa portale społecznościowe. Jednocześnie, najchętniej stosowanym rozwiązaniem mającym zabezpieczyć organizacje przed ryzykiem ze strony tychże portali jest blokowanie dostępu do nich. Można powiedzieć, że koncentracja pracodawców na blokowaniu korzystania z serwisów społecznościowych w czasie pracy nie sprzyja ochronie informacji. Jedynie część pracowników przyznaje się do korzystania z serwisów w czasie pracy, natomiast informacje niejawne związane z wykonywaną pracą mogą równie dobrze być ujawniane poza czasem pracy. Słusznym kierunkiem myślenia o serwisach społecznościowych w kontekście bezpieczeństwa informacji wydaje się nacisk na zwiększanie świadomości pracowników odnośnie informacji zawodowych ujawnianych przez nich online poza czasem pracy.

Powszechność portali społecznościowych sprawia, że coraz więcej ludzi umieszcza tam dużą ilość informacji zarówno o swoim życiu prywatnym jak również służbowym. Często są to informacje, które w sposób bezpośredni bądź pośredni ujawniają dane wrażliwe, które powinny podlegać ochronie. Aż 40% respondentów uważa, że informacje o fizycznej lokalizacji, w tym planowanych podróżach pracowników, nie powinny podlegać ochronie a kolejne 20% respondentów nie ma w tej kwestii zdania. Równocześnie 47% respondentów uważa, że informacje o kontaktach biznesowych (prezentowanych np. na portalach typu LinkedIn, GoldenLine) nie powinny podlegać ochronie a kolejne 20% respondentów nie ma w tej kwestii zdania. Te dane świadczą o znikomej świadomości zagrożeń, jakie mogą płynąć z korzystania przez pracowników z portali społecznościowych. Funkcjonalności takie jak TripIT (informacja na temat planowanych podróży służbowych) mogą stanowić

realne zagrożenie dla bezpieczeństwa spółki. Inteligentny przeciwnik może w prosty sposób powiązać informacje zawarte w ogólnodostępnych portalach oraz serwisach społecznościowych wchodząc w posiadanie informacji, które jeszcze niedawno dostępne były jedynie przy wykorzystaniu technik szpiegostwa przemysłowego. Tymczasem kierownictwo spółki może nie zdawać sobie sprawy z wszechstronności informacji, jakie jego pracownicy umieszczają w tego typu portalach.

W firmach brakuje polityki bezpieczeństwa wobec social networking. Według pracowników, jedynie w co ósmej firmie istnieje kodeks bądź regulamin dotyczący korzystania z serwisów społecznościowych. Firmy chciałyby blokować serwisy społecznościowe w miejscu pracy, zamiast edukować w kwestii ochrony informacji w serwisach społecznościowych. Tymczasem pracownicy deklarują, że z serwisów społecznościowych korzystają przede wszystkim poza czasem pracy. Zasadne wydaje się rozważenie zagrożeń oraz ryzyk, jakie wynikają z tego typu działań pracowników oraz odpowiednich czynności minimalizujących te ryzyka. Bardziej stosowne wydają się przy tym szkolenia, akcje uświadamiające pracowników oraz wypracowanie odpowiednich procedur aniżeli blokowanie dostępu do tych stron na poziomie infrastruktury teleinformatycznej. Popularność serwisów społecznościowych i łatwość publikowania informacji w Internecie powinny być uwzględnione przez firmy w ich strategiach ochrony informacji.

Czy uważa Pan/Pani, że kontakty biznesowe (prezentowane np. na LinkedIn, Goldenline) są informacjami, które powinny podlegać ochronie?

Częstość Procent

Tak 10 33,3

Nie 14 46,7

Nie mam zdania 6 20,0

Ogółem 30 100,0

Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców (klientów Deloitte) jako odniesienie do Global Security Survey, n=30

Inteligentny przeciwnik może w prosty sposób powiązać informacje zawarte w ogólnodostępnych portalach oraz serwisach społecznościowych wchodząc w posiadanie informacji, które jeszcze niedawno dostępne były jedynie przy wykorzystaniu technik szpiegostwa przemysłowego

14

0% 20% 40% 60% 80% 100%

Bebo.com

Epuls.pl

Profeo

Flickr.com

LinkedIn

Myspace.com

Fotka.pl

Grono.net

GoldenLine

Facebook.com

Nasza-Klasa.pl

zarówno w czasie pracy jak i poza czasem pracy w czasie pracy poza czasem pracy Nie korzysta w ogóle

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Czy ma Pan/Pani świadomość, że informacje ujawniane przez

użytkowników w takich serwisach jak LinkedIn, Profeo albo

Goldenline mogą zostać użyte przeciwko ich obecnym lub byłym

pracodawcom?

Czy zamieścił/a Pan/Pani komentarze na temat swojego

pracodawcy na portalu społecznościowym?

Czy w Pana/Pani firmie jest wewnętrzny zbiór zasad

dotyczących korzystania z serwisów społecznościowych (np. kodeks,

regulamin)?

Nie wiem / wolę nie ujawniać

Nie

Tak

Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363




Chmura tagów powstała w odpowiedzi na pytanie „Które ze stron internetowych są lub powinny zostać Pana/Pani zdaniem zablokowane ze względu na niebezpieczeństwo dla sieci firmowej/sprzętu? Proszę wpisać przykładowy adres lub ogólną nazwę kategorii takich stron” (spontaniczne odpowiedzi 30 respondentów spośród przedsiębiorców, ekspertów ds. bezpieczeństwa IT):

Chmura tagów powstała w odpowiedzi na pytanie „Proszę podać - wpisując tylko jedno słowo - nazwę najbardziej niebezpiecznego Pana/Pani zdaniem miejsca w Internecie” (spontaniczne odpowiedzi 506 respondentów, pominięto 59 odpowiedzi „nie wiem”, „nie korzystam” itp.)


Badanie Deloitte i Gazeta.pl, część realizowana wśród internautów, w tym pracowników jako odniesienie do Global Security Survey, n=506

16

3. Bezpieczeństwo w branży energetycznej (komentarz)

Energetyka to branża, w której bezpieczeństwo teleinformatyczne ma szczególne znaczenie.W Polsce gałąź energetyki związana z energią elektryczną stała się przedmiotem wielu przemian i transformacji. W wyniku rządowego programu konsolidacji rynku energetycznego powstały duże energetyczne grupy kapitałowe. Grupy te powstały w wyniku połączenia wielu, niejednokrotnie małych, lokalnych jednostek energetycznych, które posiadały własne środowisko informatyczne, odrębną kulturę organizacyjną i różne podejście do zagadnień ochrony informacji. Sytuację skomplikował również wyraźny podział na operatorów oraz dystrybutorów energii elektrycznej, który odcisnął znaczne piętno na zagadnieniach ochrony informacji. Dziś osoby odpowiedzialne za bezpieczeństwo informacji w grupach energetycznych stoją przed wielkim wyzwaniem - wdrożeniem spójnych i elastycznych zasad ochrony informacji w organizacjach, w których skomplikowana sytuacja prawna i właścicielska utrudnia lub uniemożliwia zakrojone na szeroką skalę zmiany. Są potrzebne przede wszystkim w dwóch obszarach: niejednorodnej infrastruktury technicznej oraz procesów zarządzania bezpieczeństwem informacji.

Dokonanie połączeń i podziałów wielu heterogenicznych środowisk informatycznych zawsze prowadzi do problemów z zapewnieniem spójności zintegrowanej infrastruktury technicznej. Na świecie uważa się, że głównym celem ataków przestępców komputerowych na tę branżę mogą być systemy SCADA (systemy nadzorujące i kontrolujące procesy przemysłowe). Przykładowymi celami ataków na systemy SCADA może być przejęcie kontroli nad systemem sterowania elektrownią lub siecią przesyłową gazu. Powagę tego problemu obrazują wydarzenia, jakie miały miejsce w kwietniu 2009 roku. W Stanach Zjednoczonych wykryte zostało oprogramowanie szpiegujące w systemach sterowania siecią energetyczną. Oprogramowanie to posiadało funkcjonalność umożliwiającą całkowite wyłączenie zasilania. Polska elektroenergetyka ma dużo bardziej prozaiczne problemy. W wielu miejscach trudnością jest chociażby zapewnienie spójnego procesu zakupowego tak, aby w każdej spółce grupy kapitałowej funkcjonowały zabezpieczenia informacji podobnej klasy. Mimo wielu wysiłków osób odpowiedzialnych za ochronę informacji w tych organizacjach, dostarczenie zabezpieczeń technicznych na poziomie uznawanym za wystarczający zajmie jeszcze wiele lat.

Zarządzanie bezpieczeństwem informacji w branży energetycznej wymaga odnalezienia właściwego stanu równowagi między wymaganiami prawnymi, najnowszymi trendami w ochronie informacji oraz wymaganym, w wypadku tak istotnych instalacji, konserwatywnym podejściem do nowych technologii. Należy również pamiętać, że polskie grupy energetyczne są jednymi z największych dysponentów danych osobowych. Nakłada to wyjątkową odpowiedzialność na osoby zarządzające tymi organizacjami, a jednocześnie powinno je motywować do szczególnej pracy nad poprawną stanu ochorony informacji w ich organizacjach. Zagadnienie bezpieczeństwa teleinformatycznego sektora energetycznego zostało przedstawione na przykładzie elektroenergetyki. Problem ten dotyczy oczywiście także pozostałych segmentów tej branży. Udany atak na sieć ciepłowniczą lub paliwową, może mieć równie poważne konsekwencje, jak w przypadku sieci elektroenergetycznej.


Nowe wymagania dotyczące ochrony informacji stanowią wyzwanie w branży produkcyjnej.Bezpieczeństwo teleinformatyczne przedsiębiorstw produkcyjnych można rozpatrywać na różnych płaszczyznach. Jednym z kluczowych aspektów bezpieczeństwa w tej gałęzi gospodarki jest ochrona informacji będącej tajemnicą przedsiębiorstwa, stanowiącej podstawę do budowania przewagi konkurencyjnej. Zapewnienie odpowiedniego poziomu bezpieczeństwa informacji nie jest jedynie kwestią natury technicznej. Istnieje wiele aspektów proceduralnych oraz organizacyjnych mających kluczowe znaczenie z punktu widzenia ochrony informacji. Dziś producenci stają przed kolejnym wyzwaniem – nowe regulacje prawne nakazują zwracanie szczególnej uwagi na zagadnienie ochrony informacji.

Przykładem regulacji, która istotnie wpływa na bezpieczeństwo informacji w firmach produkcyjnych może być certyfikat AEO (Authorized Economic Operator, w Polsce Upoważniony Podmiot Gospodarczy) i powiązane z nim wymagania dla posiadaczy procedur uproszczonych. Ta nowa regulacja prawna wymusza między innymi posiadanie wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji, a w swoich zapisach bardzo często odwołuje się do wymagań standardów z rodziny ISO 27000. Uzyskanie zgodności organizacji z wymaganiami AEO może okazać się jednym z największych wyzwań dla osób odpowiedzialnych za informatykę i bezpieczeństwo. Zgodność z regulacjami ma duże znaczenie nie tylko dla właścicieli przedsiębiorstw. Posiadanie certyfikatu, potwierdzającego dbałość o bezpieczeństwo informacji oraz ciągłość działania, czyni z przedsiębiorcy godnego zaufania partnera biznesowego. Patrząc w kontekście zarządzania łańcuchem dostaw (Supply Chain Management), warto mieć dowód potwierdzający, że jest się pewnym ogniwem tego łańcucha.

Innym, niezwykle ważnym aspektem bezpieczeństwa informatycznego w branży produkcyjnej jest ciągłość działania. W dzisiejszych czasach większość procesów biznesowych jest uzależniona od IT. Przedsiębiorcy powinni odpowiedzieć sobie na następujące pytanie: „Przez jak długi okres czasu, zachowana będzie działalność operacyjna mojej spółki w przypadku awarii środowiska informatycznego?”. Odpowiedź na to pytanie powinna stać się podstawą do stworzenia biznesowych wymagań odnośnie dostępności

poszczególnych zasobów IT. Nie należy się spodziewać, że branża produkcyjna zacznie w najbliższym czasie wdrażać kompletne plany ciągłości działania obejmujące swoim zasięgiem nie tylko procesy informatyczne. Obecnie większość organizacji ogranicza się jedynie do podstawowych planów odtworzenia IT i taki trend powinien dominować w branży produkcyjnej przez najbliższe lata.

Branża produkcyjna w ciągu ostatnich lat „zapomniała” o bezpieczeństwie informacji traktując je jedynie, jako drobną pozycję w budżecie IT. Dzięki nowym regulacjom prawnym i silnemu naciskowi zagranicznych kontrahentów na spełnianie wysokich standardów bezpieczeństwa, także producenci będą musieli się zatroszczyć o informacje własne i swoich partnerów biznesowych.

4. Bezpieczeństwo w branży produkcyjnej (komentarz)

18

5. Rozbieżne rankingi zagrożeń w oczach ekspertów i internautów

Wyniki badania pokazują, że internauci nie doceniają zagrożeń związanych z niektórymi aspektami wykorzystania komputera. Równocześnie, część z nich przyznaje, że staje się ofiarami ataków cyberprzestępców.

Za największe zagrożenia internauci uważają wirusy, spam oraz programy szpiegujące. Żadne z tych zagrożeń nie jest bezpośrednio związane z działalnością samego internauty. Wynikają one jednak pośrednio z konfiguracji oraz sposobu wykorzystania komputera, które w pełni zależą od użytkownika. Ankietowani użytkownicy Internetu nie doceniają jednak znaczenia własnej działalności. Zaledwie 19% respondentów uważa, że jakość stosowanych przez nich haseł ma duże znaczenie dla bezpieczeństwa. Zaledwie 25% respondentów uważa, że zarządzanie zmianą ma duże znaczenie, podczas, gdy w oczach ekspertów jest to jedna z kluczowych kwestii bezpieczeństwa środowisk informatycznych. Niecałe 15% uważa, że inżynieria społeczna stanowi duże zagrożenie. Nie dziwi zatem fakt, że w ocenie ekspertów, inżynieria społeczna jest jedną z lepszych metod ataku. Prawie 90% badanych nie docenia roli bezpieczeństwa fizycznego w procesie zachowania bezpieczeństwa informacji. Rozbieżna jest także opinia ekspertów i internautów na temat cyberterroryzmu. Według internautów cyberterroryzm nie stanowi realnego zagrożenia.

0

50

100

150

200

250

300

350

400

450

Jednorazowe Wielokrotne Ogółem zagrożenia

Łączna liczba wskazań respondentów-pracowników na doświadczone przez firmę zagrożenia, n=

wewnętrzne

zewnętrzne


Łączna liczba wskazań respondentów-pracowników na doświadczone przez firmę zagrożenia


Pracownicy deklarują, że ich firmy doświadczyły następujących zagrożeń zewnętrznych:

Jedną z częstszych przyczyn zaistnienia zagrożenia bezpieczeństwa jest niewłaściwe, często nieświadome, działanie pracownika. Dla przedsiębiorców kwestią priorytetową staje się więc budowanie odpowiedniej świadomości swoich pracowników oraz zapewnienie efektywności procedur związanych z wykorzystaniem komputera służbowego, zgodnie z jego przeznaczeniem. Pracownicy powinni mieć świadomość, że bezpieczeństwo informatyczne firmy w której pracują, w znacznym stopniu zależy właśnie od nich.

Pracownicy wskazywali, że ich firmy doświadczyły następujących zagrożeń wewnętrznych:


0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20%

Inne

Phishing / Pharming

Kradzież własności intelektualnej

Złośliwy atak zdalny

Wymuszenia on-line

Naruszenie zasad przez pracowników

Zewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych

Zagrożenie fizyczne

Sieci zombie

Zniekształcenie strony internetowej (defacement)

Inżynieria społeczna

Atak typu DoS (Denial of Service - odmowa usługi)

Narażenie danych poufnych na atak z internetu

Włamanie do sieci bezprzewodowej

Przypadki losowe

Programy szpiegujące spyware

Ataki e-mailowe (tj. spam)

Ataki wirusów/robaków

Jednorazowe Wielokrotne Brak wskazania na zagrożenie


0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20%

Ataki wirusów/robaków


Utrata danych klientów / kwestie poufności (przeciek informacji)

Wewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych

Kradzież lub wyciek własności intelektualnej

Wypadki losowe

Inne

Nie zdarzyły się przypadki ataku od wewnątrz

Jednorazowe Wielokrotne Brak wskazania na zagrożenie wewnętrzne

20

Następujące zagrożenia zewnętrzne budzą obawy pracowników w odniesieniu do najbliższej przyszłości:

Wewnętrzne zagrożenia, które budzą obawy ankietowanych pracowników, przedstawiają się następująco:

0% 20% 40% 60% 80% 100%

Utrata moich danych jako klienta / kwestie poufności (przeciek informacji)

Nieodpowiednie wykorzystanie danych poufnych na mój temat

Narażenie moich danych poufnych na atak z internetu

Zewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych

Nieodpowiednie zarządzanie aktualizacjami / zmianą

Kradzież lub wyciek mojej własności intelektualnej

Niska jakość moich haseł dostępu

Naruszenie zasad przez pracowników firm/instytucji z którymi mam styczność

Niska jakość opracowywanego oprogramowania

Wewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych

Zagrożenia fizyczne

brak zagrożenia bardzo małe zagrożenie raczej małe zagrożenie średnie zagrożenie raczej duże zagrożenie duże zagrożenie

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Inżynieria społeczna

Zniekształcenie strony internetowej (defacement)

Wymuszenia on-line

Atak typu Denial of Service (odmowa usługi)

Cyberterroryzm

Phishing / Pharming

Sieci zombie

Złośliwy atak zdalny

Złośliwe oprogramowanie adware


Programy szpiegujące spyware

Ataki e-mailowe (tj. spam)

Wirusy/robaki sieciowe

brak zagrożenia bardzo małe zagrożenie raczej małe zagrożenie średnie zagrożenie raczej duże zagrożenie duże zagrożenie




Raport powstał na podstawie dwóch podobnych ankiet wypełnionych przez dwie grupy respondentów w lipcu 2009:

1. Pierwszą grupę stanowili polscy przedsiębiorcy, eksperci ds. bezpieczeństwa IT. Liczebność tej grupy wyniosła 30.

2. Drugą grupę stanowili pracownicy, będący użytkownikami poczty elektronicznej oferowanej przez Grupę Gazeta.pl pod markami Gazeta.pl i G.pl. Liczebność tej grupy wyniosła 363.

Zaproszenia do badania rozsyłane były e-mailem.

6. Opis źródeł danych do raportu

Jakub BojanowskiPartner w Dziale Zarządzania Ryzykiem DeloitteE-mail: [email protected].: +48 (22) 511 09 53

Cezary PiekarskiMenedżer w Dziale Zarządzania Ryzykiem DeloitteE-mail: [email protected].: +48 (22) 511 02 52

Arkadiusz KustraKierownik Zespołu Badań i Analiz Gazeta.plE-mail: [email protected].: +48 (22) 555 57 37

Piotr ToczyskiSamodzielny Analityk Rynku, Gazeta.plE-mail: [email protected].: +48 (22) 555 48 71

22

Kontakt

Deloitte świadczy usługi audytorskie, konsultingowe, doradztwa podatkowego i finansowego klientom z sektora publicznego oraz prywatnego, działającym w różnych branżach. Dzięki globalnej sieci firm członkowskich obejmującej 140 krajów oferujemy najwyższej klasy umiejętności, doświadczenie i wiedzę w połączeniu ze znajomością lokalnego rynku. Pomagamy klientom odnieść sukces niezależnie od miejsca i branży, w jakiej działają. 165 000 pracowników Deloitte na świecie realizuje misję firmy: stanowić standard najwyższej jakości.

Specjalistów Deloitte łączy kultura współpracy oparta na zawodowej rzetelności i uczciwości, maksymalnej wartości dla klientów, lojalnym współdziałaniu i sile, którą czerpią z różnorodności. Deloitte to środowisko sprzyjające ciągłemu pogłębianiu wiedzy, zdobywaniu nowych doświadczeń oraz rozwojowi zawodowemu. Eksperci Deloitte z zaangażowaniem współtworzą społeczną odpowiedzialność biznesu, podejmując inicjatywy na rzecz budowania zaufania publicznego i wspierania lokalnych społeczności.

Nazwa Deloitte odnosi się do Deloitte Touche Tohmatsu, podmiotu prawa szwajcarskiego i jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny opis struktury prawnej Deloitte Touche Tohmatsu oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas.

© 2009 Deloitte Polska. Member of Deloitte Touche Tohmatsu

Technology

Bezpieczeństwo w polskim Internecie 2009