Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji. Jednak przedsiębiorcy wolą blokować dostęp do portali społecznościowych niż szkolić użytkowników - wynika z pierwszego polskiego badania poświęconego tym kwestiom, przeprowadzonego przez firmę doradczą Deloitte oraz Zespół Badań i Analiz Gazeta.pl.
http://badania.gazeta.pl/pr/150741/raport-deloitte-i-gazeta-pl-o-bezpieczenstwie-polski-aspekt-global-security-survey
2. Bezpieczeństwo informacji w Polsce wciąż jest
utożsamiane z zaplombowanym pokojem, stalowymi
drzwiami i gaśnicami. Tymczasem rosnąca popularność
Internetu oraz przyrost treści tworzonych przez samych
użytkowników (a więc dzielenie się informacjami) stanowi
dla biznesu szczególne wyzwanie
3. Wprowadzenie
Mamy przyjemność zaprezentować Państwu wyniki Badanie zostało przeprowadzone w nawiązaniu do
polskiej edycji badania na temat bezpieczeństwa wyników podobnych badań prowadzonych przez
informacji w Internecie. Mamy nadzieję, że wyniki Deloitte na całym świecie. Wynikiem globalnych badań
naszych prac okażą się dla Państwa interesujące, jest publicznie dostępny raport „Protecting what
a prowadzone przez nas inicjatywy przyczynią się do matters. The 6th Annual Global Security Survey”.
budowania świadomości polskiej społeczności Przeprowadzony sondaż pozwolił nam spojrzeć na
informacyjnej, na temat zagrożeń i możliwości bezpieczeństwo informacji w Polsce na tle innych
związanych z wykorzystaniem komputerów oraz regionów świata. Niniejszy raport zawiera główne
Internetu. wnioski oraz obserwacje dotyczące obecnego stanu
bezpieczeństwa Informacji w Polsce.
Bezpieczeństwo informacji w Polsce wciąż jest
utożsamiane z zaplombowanym pokojem, stalowymi
drzwiami i gaśnicami. Tymczasem rosnąca popularność
Internetu oraz przyrost treści tworzonych przez samych
użytkowników (a więc dzielenie się informacjami)
stanowi dla biznesu szczególne wyzwanie. Już ponad
połowa Polaków korzysta z Internetu, co stwarza dla
ochrony informacji nowe, niedoceniane wyzwania,
którym zarówno internauci jak i przedsiębiorcy będą Jakub Bojanowski
musieli w najbliższym czasie sprostać. Partner w Dziale Zarządzania Ryzykiem Deloitte
Firma Deloitte wraz z Grupą Gazeta.pl postanowiła
przeprowadzić badanie dotyczące bezpieczeństwa
informacji w Internecie. W ramach badania
przeprowadzony został sondaż adresowany do dwóch
grup: internautów-użytkowników serwisów
internetowych z grupy Gazeta.pl, oraz ekspertów ds. IT
i ochrony informacji z polskich firm. Przedmiotem analizy
było wykorzystanie Internetu przez współczesne
społeczeństwo informacyjne, badanie jego świadomości Arkadiusz Kustra
na temat bezpieczeństwa IT, a także analiza Kierownik Zespołu Badań i Analiz Gazeta.pl
zaangażowania przedsiębiorców w proces zapewnienia
bezpieczeństwa informacji w ich firmach. Analiza
wyników uzyskanych na podstawie badań dwóch
wymienionych grup, będąca konfrontacją spojrzenia
z perspektywy internautów oraz pracodawców,
pozwoliła nam uzyskać interesujące rezultaty, które
zostały zaprezentowane w dalszej części raportu.
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 3
4. Za największe zagrożenia internauci uważają wirusy, spam
oraz programy szpiegujące. Żadne z tych zagrożeń nie jest
bezpośrednio związane z działalnością samego internauty.
Wynikają one jednak pośrednio z konfiguracji oraz
sposobu wykorzystania komputera, które w pełni zależą
od użytkownika.
5. Spis treści
3 Wprowadzenie
7 Główne wnioski z raportu
8 Firmy oszczędzają na bezpieczeństwie
13 Jak chronić informacje biznesowe w epoce
serwisów społecznościowych
16 Bezpieczeństwo w branży energetycznej
(komentarz)
17 Bezpieczeństwo w branży produkcyjnej
(komentarz)
18 Rozbieżne rankingi zagrożeń w oczach
ekspertów i internautów
21 Opis źródeł danych do raportu
22 Kontakt
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 5
6. Internauci nie doceniają wagi własnych działań w procesie
zapewnienia bezpieczeństwa informacji, a winą za
potencjalne nadużycia obarczają czynniki zewnętrzne,
w tym firmy, których są klientami (np. banki, instytucje
finansowe, dostawców usług internetowych).
6
7. 2. Główne wnioski z raportu
Oszczędzamy na bezpieczeństwie Między bezpieczeństwem a komfortem
Polscy przedsiębiorcy w czasach kryzysu przedkładają użytkowania
oszczędności nad bezpieczeństwo informacji. Mimo Głównym obszarem inwestycji w bezpieczeństwo są
dynamicznej informatyzacji oraz rozwoju społeczności rozwiązania techniczne. Jednak i ten obszar wymaga
informacyjnej, wzrost budżetów przeznaczanych na wielu usprawnień. Porównując wyniki naszych badań
bezpieczeństwo w obszarze IT jest znikomy. Dzieje się z raportami o zasięgu globalnym dostrzeżemy, że
tak przede wszystkim dlatego, że oszacowanie korzyści, w Polsce wykorzystuje się mało zaawansowane
jakie niosą ze sobą inwestycje w bezpieczeństwo technologie z obszaru bezpieczeństwa IT takie jak
informacji jest niezwykle trudne. Nie jest także łatwo zarządzanie tożsamością, pozostając przy prostych
ocenić, jakie straty zostaną poniesione po zmniejszeniu i często nieskutecznych rozwiązaniach.
budżetu przeznaczonego na ochronę informacji.
Powoduje to, że mimo tego, że większość działów Przedsiębiorcy niechętnie inwestują w zabezpieczenia
biznesowych wyraża jedynie umiarkowane zadowolenie wiedząc, że nie zostanie to docenione przez ich
ze wsparcia, jakie oferuje im jednostka odpowiedzialna klientów. Co więcej, często wzrost bezpieczeństwa
za bezpieczeństwo informacji, budżety tych jednostek wiąże się ze spadkiem wygody użytkowania, co
stają się celem znacznych oszczędności. doprowadza do sytuacji, w której użytkownik jest
niezadowolony z wyższego poziomu bezpieczeństwa.
Brak zaangażowania i świadomości Wyjściem z tej sytuacji mogą być nowoczesne
Kolejną niepokojącą obserwacją jest brak rozwiązania techniczne pozwalające na podniesienie
zaangażowania przedstawicieli biznesu w zapewnienie systemu bezpieczeństwa bez znacznego spadku
bezpieczeństwa informacji. Wymagania odnośnie komfortu użytkowania. Przy zmniejszających się
bezpieczeństwa powinny wynikać z potrzeb budżetach poświęcanych na ochronę informacji ich
biznesowych, gdyż to właśnie linie biznesowe najlepiej wdrożenie w większości organizacji zostanie zapewne
znają wartość poszczególnych aktywów. Ich odłożone w czasie.
zaangażowanie w proces ochrony informacji może
zapewnić efektywne wykorzystanie budżetu w
miejscach, gdzie ochrona jest rzeczywiście potrzebna.
Z naszych badań wynika jednak, że ochrona informacji
jest traktowana jako zadanie zespołów IT, a nie całej
organizacji. Przedsiębiorcy nie doceniają także
proceduralnych i organizacyjnych aspektów
bezpieczeństwa informacji, biorących pod uwagę
ryzyka związane z czynnikiem ludzkim.
Świadomość internautów odnośnie bezpieczeństwa
informacji wciąż pozostawia wiele do życzenia.
Internauci nie doceniają wagi własnych działań
w procesie zapewnienia bezpieczeństwa informacji,
a winą za potencjalne nadużycia obarczają czynniki
zewnętrzne, w tym firmy, których są klientami
(np. banki, instytucje finansowe, dostawców usług
internetowych). Paradoksalnie, niska świadomość
konsumentów wiąże się często także z niskimi
wymaganiami odnośnie bezpieczeństwa stawianymi
wobec dostawców usług. Taki stan rzeczy działa na
przedsiębiorców w sposób demobilizujący.
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 7
8. 2.1. Firmy oszczędzają na bezpieczeństwie
Oszczędności i zaangażowanie przedstawicieli zainteresowania certyfikacją według normy ISO 27001.
biznesu Norma ta zawiera dobre i sprawdzone praktyki odnośnie
Istnieją modele pozwalające podjąć próbę oszacowania bezpieczeństwa informacji. Praktyka pokazuje, że
zwrotu z inwestycji w bezpieczeństwo IT. Sam proces wzorowanie się na normie ISO 27001 podczas tworzenia
szacowania nie jest łatwy, wymaga przeprowadzenia systemu zarządzania bezpieczeństwem informacji,
odpowiednich analiz i pewnego nakładu pracy. Dlatego nawet w przypadku niewielkich środowisk IT, przynosi
polskie firmy zwykle rezygnują z próby oceny bardzo dobre efekty. Całkowite zaniechanie nie tylko
opłacalności tego typu inwestycji. Jednostka kosztownej certyfikacji, ale i wdrożenia wybranych
odpowiedzialna za zapewnienie bezpieczeństwa fragmentów normy jest ciekawym trendem, który może
postrzegana jest jako ośrodek kosztów, a korzyści mieć istotny wpływ na rynek usług doradczych
z jego działania nie są do końca znane. Z tego powodu, w obszarze ochrony informacji. Być może rynek oczekuje
w czasach spowolnienia gospodarczego, przedsiębiorcy wprowadzenia nowych, mniej restrykcyjnych regulacji,
szukają łatwych oszczędności znajdując je w zespołach które będą mniej kosztowne we wdrożeniu i utrzymaniu.
zajmujących się ochroną informacji. Potwierdzają to
przeprowadzone przez nas badania. W dobie optymalizacji kosztów działalności spółki
sięgają do ograniczania wydatków na bezpieczeństwo.
Ponad połowa respondentów badania uznała pion Należy jednak pamiętać, że oszczędności w tym
bezpieczeństwa danych za średnio efektywny pod obszarze powinny być wynikiem świadomej analizy
względem zaspokajania potrzeb i oczekiwań organizacji ryzyka, a nie ryzykownej optymalizacji
na podstawie informacji zwrotnej od linii biznesowych krótkookresowego wyniku finansowego.
oraz innych źródeł wewnętrznych. Jednocześnie 60%
Czy firma posiada oddzielny od budżetu IT budżet pionu
respondentów zauważyło, że obsada pionu
bezpieczeństwa danych?
bezpieczeństwa zmniejszyła się w ciągu ostatniego roku.
Deklarowane wzrosty budżetów przeznaczonych na Częstość Procent
bezpieczeństwo danych w ostatnim roku były na bardzo Tak 2 6,7
niskim poziomie, co po uwzględnieniu inflacji oznacza Nie 23 76,7
ich realny spadek. Jednocześnie środki przeznaczane na Nie wiem 5 16,7
ochronę informacji są wciąż częścią budżetów zespołów Ogółem 30 100,0
IT, co utrudnia ich monitorowanie i ocenę realnych
Badanie Deloitte i Gazeta.pl, część realizowana wśród
korzyści. Jedynie 16.6% naszych respondentów było
przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie
w stanie wskazać kwotę, jaką przeznaczają na ochronę do Global Security Survey, n=30
informacji w przeliczeniu na jednego pracownika
organizacji. Wszystkie te fakty skłaniają do smutnej
W oparciu o informację zwrotną otrzymaną z linii
konkluzji, że polskie spółki oszczędzają na
biznesowych i innych źródeł wewnętrznych proszę określić
bezpieczeństwie.
efektywność działania pionu bezpieczeństwa danych pod
względem zaspokajania potrzeb i oczekiwań organizacji.
W Polsce wciąż pokutuje stereotypowe myślenie Proszę wybrać jedną odpowiedź
o bezpieczeństwie informacji widzianym przez pryzmat
Częstość Procent
ochrony informacji niejawnych czy też ustawowego
Bardzo efektywny 2 6,7
obowiązku ochrony danych osobowych. Powoduje to,
Średnio efektywny 16 53,3
że nie są analizowane rzeczywiste zagrożenia i rezultaty
utraty informacji. Aż 1/3 respondentów wykazała, że Nieefektywny 1 3,3
biznesowi przedstawiciele biznesu nie są zaangażowani Nie wiem 8 26,7
w budowę strategii ochrony danych. Bez zmiany tego Wolę nie ujawniać 3 10,0
podejścia nie będzie można mówić o efektywnym Ogółem 30 100,0
zarządzaniu bezpieczeństwem informacji.
Badanie Deloitte i Gazeta.pl, część realizowana wśród
przedsiębiorców (klientów Deloitte) jako odniesienie do Global
Oszczędzamy na certyfikatach i dobrych Security Survey, n=30
praktykach
Prawie 50% naszych respondentów nie wykazuje
8
9. Jak można scharakteryzować obsadę pionu bezpieczeństwa danych (bez outsourcingu) w okresie ostatnich 12 miesięcy?
Proszę wybrać jedną odpowiedź
Częstość Procent
Zwiększyła się 3 10,0
Zmniejszyła się 18 60,0
Nie zmieniła się 3 10,0
Wolę nie ujawniać 2 6,7
Inne 4 13,3
Ogółem 30 100,0
Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30
Jaki poziom zaangażowania w strategię bezpieczeństwa danych obserwuje się na poziomie linii biznesowych w firmie?
Częstość Procent
Brak zaangażowania 9 30,0
Dostarczają materiał wsadowy 6 20,0
Kształtują strategię bezpieczeństwa 3 10,0
Realizują strategię bezpieczeństwa 4 13,3
Zatwierdzają strategię bezpieczeństwa 3 10,0
Nie wiem 5 16,7
Ogółem 30 100,0
Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30
Jaki poziom zaangażowania w strategię bezpieczeństwa danych obserwuje się na poziomie szefów pionów?
Częstość Procent
Nie dotyczy - firma nie posiada takiej strategii 3 10,0
Brak zaangażowania 8 26,7
Dostarczają materiał wsadowy 5 16,7
Kształtują strategię bezpieczeństwa 5 16,7
Realizują strategię bezpieczeństwa 3 10,0
Zatwierdzają strategię bezpieczeństwa 3 10,0
Nie wiem 3 10,0
Ogółem 30 100,0
Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 9
10. Które z następujących pozycji obejmuje budżet pionu bezpieczeństwa danych firmy?
Proszę wybrać wszystkie właściwe odpowiedzi
Częstość Procent
Urządzenia I produkty ochrony infrastruktury (zapory sieciowe, rutery filtrujące, 21 70,0
systemy antywirusowe itp.)
Program antywirusowy zainstalowany w desktopach i na bramce itp. 21 70,0
Logiczna kontrola dostępu (oprogramowanie i sprzęt do autoryzacji/autentykacji taki 18 60,0
jak tokeny, karty dostępu itp.)
Fizyczna kontrola dostępu (drzwi lub sejfy ognioodporne, gaśnice itp.) 18 60,0
Sprzęt i infrastruktura 18 60,0
Koszty personelu i organizacji (związane z definicją / administracją / działalności 12 40,0
operacyjnej)
Doradcy ds. bezpieczeństwa 10 33,3
Koszty ubezpieczenia 10 33,3
Plan poawaryjnego odtworzenia danych 8 26,7
Koszty informacji / upowszechniania 6 20,0
Koszty badań / analiz 6 20,0
Koszty audytu lub certyfikacji 6 20,0
Zapewnienie kontynuacji działalności 5 16,7
System reakcji na zdarzenia losowe 4 13,3
Przestrzeganie przepisów i zarządzanie ryzykiem 4 13,3
Działalność badawczo-rozwojowa w zakresie bezpieczeństwa 2 6,7
Żadna z powyższych pozycji 1 3,3
Wolę nie ujawniać 1 3,3
Nie wiem 3 10,0
Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30
Jaki procent budżetu informatycznego firmy przeznaczony jest na zapewnienie bezpieczeństwa danych? (z wyłączeniem kosztów
związanych z BCM, DRP i wbudowanymi elementami zabezpieczającymi)
Częstość Procent
1-3% 1 3,3
4-6% 1 3,3
7-9% 1 3,3
10-11% 3 10,0
Ponad 11% 3 10,0
Nie dotyczy 4 13,3
Nie wiem 9 30,0
Wolę nie ujawniać 6 20,0
Brak odpowiedzi 2 6,7
Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30
10
11. Jakie kwoty (w zł) firma przeznacza rocznie na zabezpieczenia w przeliczeniu na jednego pracownika?
Proszę wybrać jedną odpowiedź
Częstość Procent
10 zł - 250 zł 3 10,0
251 zł - 500 zł 1 3,3
501 zł - 1000 zł 1 3,3
Nie mierzymy 9 30,0
Nie wiem 7 23,3
Wolę nie ujawniać 9 30,0
Ogółem 30 100,0
Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30
W jakim stopniu bezpieczeństwo działalności jest skoordynowane z bezpieczeństwem danych?
Proszę wybrać jedną odpowiedź
Częstość Procent
Inicjatywy z zakresu bezpieczeństwa działalności są dobrze skoordynowane z inicjatywami 6 20,0
dot. bezpieczeństwa danych
Inicjatywy z zakresu bezpieczeństwa działalności są w pewnej mierze skoordynowane 16 53,3
z inicjatywami dot. bezpieczeństwa danych
Inicjatywy z zakresu bezpieczeństwa działalności nie są skoordynowane z inicjatywami 3 10,0
dot. bezpieczeństwa danych
Nie wiem 4 13,3
Wolę nie ujawniać 1 3,3
Ogółem 30 100,0
Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 11
12. Czy nacisk na bezpieczeństwo danych w firmie/ Nacisk na bezpieczeństwo jedynie zdaniem 13%
instytucji, gdzie Pan/Pani pracuje zmienił się od zeszłego pracowników, rośnie:
roku? Proszę wybrać jedną odpowiedź 3%
8%
42%
34%
13%
Raczej obniżył się
Raczej wzrósł
Nie dotyczy, firma nie angażuje się w temat bezpieczeństwa
Nie wiem
Wolę nie ujawniać
Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników
(pozyskanych do badania spośród użytkowników Gazeta.pl), n=363
Jak efektywne są w Pana/Pani przekonaniu działania na Sami pracownicy mają przeświadczenie
rzecz bezpieczeństwa danych pod względem o stosunkowo wysokiej efektywności działań na
zaspokajania potrzeb i oczekiwań firmy/instytucji gdzie rzecz bezpieczeństwa w swoich firmach, jedynie
Pan/Pani pracuje? 8% uczestników sondażu uznaje te działania za
nieefektywne.
8%
24%
30%
8% 30%
Bardzo efektywny
Średnio efektywny
Nieefektywny
Nie wiem
Wolę nie ujawniać
Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników
(pozyskanych do badania spośród użytkowników Gazeta.pl), n=363
12
13. 2.2. Jak chronić informacje biznesowe
w epoce serwisów społecznościowych
Firmy nie zdają sobie sprawy z tego, że realne zagrożenie dla bezpieczeństwa spółki.
aktywność pracowników w serwisach Inteligentny przeciwnik może w prosty sposób powiązać
społecznościowych może być zagrożeniem i nie informacje zawarte w ogólnodostępnych portalach oraz
podejmują działań związanych z ochroną tych serwisach społecznościowych wchodząc w posiadanie
informacji. informacji, które jeszcze niedawno dostępne były jedynie
przy wykorzystaniu technik szpiegostwa
Obserwujemy dynamiczny wzrost popularności oraz przemysłowego. Tymczasem kierownictwo spółki może
coraz szersze zastosowania Internetu w życiu nie zdawać sobie sprawy z wszechstronności informacji,
prywatnym. Potwierdzają to wyniki przeprowadzonego jakie jego pracownicy umieszczają w tego typu
badania. Jednak świadomość społeczeństwa na temat portalach.
bezpieczeństwa w obszarze IT wciąż pozostaje niska.
Korzystanie z komputera służbowego, nawet w celach
pozasłużbowych, niesie ze sobą wiele ryzyk. Według
badania większość przedsiębiorców za zagrożenie
Inteligentny przeciwnik może w prosty sposób
uważa portale społecznościowe. Jednocześnie, powiązać informacje zawarte w ogólnodostępnych
najchętniej stosowanym rozwiązaniem mającym portalach oraz serwisach społecznościowych wchodząc
zabezpieczyć organizacje przed ryzykiem ze strony w posiadanie informacji, które jeszcze niedawno
tychże portali jest blokowanie dostępu do nich. Można
powiedzieć, że koncentracja pracodawców na
dostępne były jedynie przy wykorzystaniu technik
blokowaniu korzystania z serwisów społecznościowych szpiegostwa przemysłowego
w czasie pracy nie sprzyja ochronie informacji. Jedynie
część pracowników przyznaje się do korzystania W firmach brakuje polityki bezpieczeństwa wobec social
z serwisów w czasie pracy, natomiast informacje networking. Według pracowników, jedynie w co ósmej
niejawne związane z wykonywaną pracą mogą równie firmie istnieje kodeks bądź regulamin dotyczący
dobrze być ujawniane poza czasem pracy. Słusznym korzystania z serwisów społecznościowych. Firmy
kierunkiem myślenia o serwisach społecznościowych chciałyby blokować serwisy społecznościowe w miejscu
w kontekście bezpieczeństwa informacji wydaje się pracy, zamiast edukować w kwestii ochrony informacji
nacisk na zwiększanie świadomości pracowników w serwisach społecznościowych. Tymczasem
odnośnie informacji zawodowych ujawnianych przez pracownicy deklarują, że z serwisów społecznościowych
nich online poza czasem pracy. korzystają przede wszystkim poza czasem pracy.
Zasadne wydaje się rozważenie zagrożeń oraz ryzyk,
Powszechność portali społecznościowych sprawia, że jakie wynikają z tego typu działań pracowników oraz
coraz więcej ludzi umieszcza tam dużą ilość informacji odpowiednich czynności minimalizujących te ryzyka.
zarówno o swoim życiu prywatnym jak również Bardziej stosowne wydają się przy tym szkolenia, akcje
służbowym. Często są to informacje, które w sposób uświadamiające pracowników oraz wypracowanie
bezpośredni bądź pośredni ujawniają dane wrażliwe, odpowiednich procedur aniżeli blokowanie dostępu do
które powinny podlegać ochronie. Aż 40% tych stron na poziomie infrastruktury teleinformatycznej.
respondentów uważa, że informacje o fizycznej Popularność serwisów społecznościowych i łatwość
lokalizacji, w tym planowanych podróżach publikowania informacji w Internecie powinny być
pracowników, nie powinny podlegać ochronie a kolejne uwzględnione przez firmy w ich strategiach ochrony
20% respondentów nie ma w tej kwestii zdania. informacji.
Czy uważa Pan/Pani, że kontakty biznesowe (prezentowane np. na LinkedIn, Goldenline) są
Równocześnie 47% respondentów uważa, że informacje informacjami, które powinny podlegać ochronie?
o kontaktach biznesowych (prezentowanych np. na
Częstość Procent
portalach typu LinkedIn, GoldenLine) nie powinny
podlegać ochronie a kolejne 20% respondentów nie ma Tak 10 33,3
w tej kwestii zdania. Te dane świadczą o znikomej Nie 14 46,7
świadomości zagrożeń, jakie mogą płynąć z korzystania Nie mam zdania 6 20,0
przez pracowników z portali społecznościowych. Ogółem 30 100,0
Funkcjonalności takie jak TripIT (informacja na temat Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców (klientów Deloitte) jako
planowanych podróży służbowych) mogą stanowić odniesienie do Global Security Survey, n=30
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 13
14. Nasza-Klasa.pl
Facebook.com
GoldenLine
Grono.net
Fotka.pl
Myspace.com
LinkedIn
Flickr.com
Profeo
Epuls.pl
Bebo.com
0% 20% 40% 60% 80% 100%
zarówno w czasie pracy jak i poza czasem pracy w czasie pracy poza czasem pracy Nie korzysta w ogóle
Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363
100%
90%
80%
70%
Nie wiem / wolę nie ujawniać
60%
50% Nie
40%
Tak
30%
20%
10%
0%
Czy ma Pan/Pani świadomość, że Czy zamieścił/a Pan/Pani Czy w Pana/Pani firmie jest
informacje ujawniane przez komentarze na temat swojego wewnętrzny zbiór zasad
użytkowników w takich serwisach pracodawcy na portalu dotyczących korzystania z serwisów
jak LinkedIn, Profeo albo społecznościowym? społecznościowych (np. kodeks,
Goldenline mogą zostać użyte regulamin)?
przeciwko ich obecnym lub byłym
pracodawcom?
Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363
14
15. Chmura tagów powstała w odpowiedzi na pytanie Chmura tagów powstała w odpowiedzi na pytanie
„Które ze stron internetowych są lub powinny zostać „Proszę podać - wpisując tylko jedno słowo - nazwę
Pana/Pani zdaniem zablokowane ze względu na najbardziej niebezpiecznego Pana/Pani zdaniem miejsca
niebezpieczeństwo dla sieci firmowej/sprzętu? Proszę w Internecie” (spontaniczne odpowiedzi 506
wpisać przykładowy adres lub ogólną nazwę kategorii respondentów, pominięto 59 odpowiedzi „nie wiem”,
takich stron” (spontaniczne odpowiedzi 30 „nie korzystam” itp.)
respondentów spośród przedsiębiorców, ekspertów ds.
bezpieczeństwa IT):
Badanie Deloitte i Gazeta.pl, część realizowana wśród Badanie Deloitte i Gazeta.pl, część realizowana wśród internautów,
przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie w tym pracowników jako odniesienie do Global Security Survey,
do Global Security Survey, n=30 n=506
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 15
16. 3. Bezpieczeństwo w branży energetycznej
(komentarz)
Energetyka to branża, w której bezpieczeństwo Zarządzanie bezpieczeństwem informacji w branży
teleinformatyczne ma szczególne znaczenie. energetycznej wymaga odnalezienia właściwego stanu
W Polsce gałąź energetyki związana z energią równowagi między wymaganiami prawnymi,
elektryczną stała się przedmiotem wielu przemian najnowszymi trendami w ochronie informacji oraz
i transformacji. W wyniku rządowego programu wymaganym, w wypadku tak istotnych instalacji,
konsolidacji rynku energetycznego powstały duże konserwatywnym podejściem do nowych technologii.
energetyczne grupy kapitałowe. Grupy te powstały Należy również pamiętać, że polskie grupy energetyczne
w wyniku połączenia wielu, niejednokrotnie małych, są jednymi z największych dysponentów danych
lokalnych jednostek energetycznych, które posiadały osobowych. Nakłada to wyjątkową odpowiedzialność
własne środowisko informatyczne, odrębną kulturę na osoby zarządzające tymi organizacjami,
organizacyjną i różne podejście do zagadnień ochrony a jednocześnie powinno je motywować do szczególnej
informacji. Sytuację skomplikował również wyraźny pracy nad poprawną stanu ochorony informacji w ich
podział na operatorów oraz dystrybutorów energii organizacjach. Zagadnienie bezpieczeństwa
elektrycznej, który odcisnął znaczne piętno na teleinformatycznego sektora energetycznego zostało
zagadnieniach ochrony informacji. Dziś osoby przedstawione na przykładzie elektroenergetyki.
odpowiedzialne za bezpieczeństwo informacji Problem ten dotyczy oczywiście także pozostałych
w grupach energetycznych stoją przed wielkim segmentów tej branży. Udany atak na sieć ciepłowniczą
wyzwaniem - wdrożeniem spójnych i elastycznych zasad lub paliwową, może mieć równie poważne
ochrony informacji w organizacjach, w których konsekwencje, jak w przypadku sieci
skomplikowana sytuacja prawna i właścicielska utrudnia elektroenergetycznej.
lub uniemożliwia zakrojone na szeroką skalę zmiany. Są
potrzebne przede wszystkim w dwóch obszarach:
niejednorodnej infrastruktury technicznej oraz procesów
zarządzania bezpieczeństwem informacji.
Dokonanie połączeń i podziałów wielu heterogenicznych
środowisk informatycznych zawsze prowadzi do
problemów z zapewnieniem spójności zintegrowanej
infrastruktury technicznej. Na świecie uważa się, że
głównym celem ataków przestępców komputerowych
na tę branżę mogą być systemy SCADA (systemy
nadzorujące i kontrolujące procesy przemysłowe).
Przykładowymi celami ataków na systemy SCADA może
być przejęcie kontroli nad systemem sterowania
elektrownią lub siecią przesyłową gazu. Powagę tego
problemu obrazują wydarzenia, jakie miały miejsce
w kwietniu 2009 roku. W Stanach Zjednoczonych
wykryte zostało oprogramowanie szpiegujące w
systemach sterowania siecią energetyczną.
Oprogramowanie to posiadało funkcjonalność
umożliwiającą całkowite wyłączenie zasilania. Polska
elektroenergetyka ma dużo bardziej prozaiczne
problemy. W wielu miejscach trudnością jest chociażby
zapewnienie spójnego procesu zakupowego tak, aby
w każdej spółce grupy kapitałowej funkcjonowały
zabezpieczenia informacji podobnej klasy. Mimo wielu
wysiłków osób odpowiedzialnych za ochronę informacji
w tych organizacjach, dostarczenie zabezpieczeń
technicznych na poziomie uznawanym za wystarczający
zajmie jeszcze wiele lat.
16
17. 4. Bezpieczeństwo w branży produkcyjnej
(komentarz)
Nowe wymagania dotyczące ochrony informacji poszczególnych zasobów IT. Nie należy się spodziewać,
stanowią wyzwanie w branży produkcyjnej. że branża produkcyjna zacznie w najbliższym czasie
Bezpieczeństwo teleinformatyczne przedsiębiorstw wdrażać kompletne plany ciągłości działania obejmujące
produkcyjnych można rozpatrywać na różnych swoim zasięgiem nie tylko procesy informatyczne.
płaszczyznach. Jednym z kluczowych aspektów Obecnie większość organizacji ogranicza się jedynie do
bezpieczeństwa w tej gałęzi gospodarki jest ochrona podstawowych planów odtworzenia IT i taki trend
informacji będącej tajemnicą przedsiębiorstwa, powinien dominować w branży produkcyjnej przez
stanowiącej podstawę do budowania przewagi najbliższe lata.
konkurencyjnej. Zapewnienie odpowiedniego poziomu
bezpieczeństwa informacji nie jest jedynie kwestią Branża produkcyjna w ciągu ostatnich lat „zapomniała”
natury technicznej. Istnieje wiele aspektów o bezpieczeństwie informacji traktując je jedynie, jako
proceduralnych oraz organizacyjnych mających drobną pozycję w budżecie IT. Dzięki nowym regulacjom
kluczowe znaczenie z punktu widzenia ochrony prawnym i silnemu naciskowi zagranicznych
informacji. Dziś producenci stają przed kolejnym kontrahentów na spełnianie wysokich standardów
wyzwaniem – nowe regulacje prawne nakazują bezpieczeństwa, także producenci będą musieli się
zwracanie szczególnej uwagi na zagadnienie ochrony zatroszczyć o informacje własne i swoich partnerów
informacji. biznesowych.
Przykładem regulacji, która istotnie wpływa na
bezpieczeństwo informacji w firmach produkcyjnych
może być certyfikat AEO (Authorized Economic
Operator, w Polsce Upoważniony Podmiot Gospodarczy)
i powiązane z nim wymagania dla posiadaczy procedur
uproszczonych. Ta nowa regulacja prawna wymusza
między innymi posiadanie wdrożonego Systemu
Zarządzania Bezpieczeństwem Informacji, a w swoich
zapisach bardzo często odwołuje się do wymagań
standardów z rodziny ISO 27000. Uzyskanie zgodności
organizacji z wymaganiami AEO może okazać się jednym
z największych wyzwań dla osób odpowiedzialnych za
informatykę i bezpieczeństwo. Zgodność z regulacjami
ma duże znaczenie nie tylko dla właścicieli
przedsiębiorstw. Posiadanie certyfikatu,
potwierdzającego dbałość o bezpieczeństwo informacji
oraz ciągłość działania, czyni z przedsiębiorcy godnego
zaufania partnera biznesowego. Patrząc w kontekście
zarządzania łańcuchem dostaw (Supply Chain
Management), warto mieć dowód potwierdzający, że
jest się pewnym ogniwem tego łańcucha.
Innym, niezwykle ważnym aspektem bezpieczeństwa
informatycznego w branży produkcyjnej jest ciągłość
działania. W dzisiejszych czasach większość procesów
biznesowych jest uzależniona od IT. Przedsiębiorcy
powinni odpowiedzieć sobie na następujące pytanie:
„Przez jak długi okres czasu, zachowana będzie
działalność operacyjna mojej spółki w przypadku awarii
środowiska informatycznego?”. Odpowiedź na to
pytanie powinna stać się podstawą do stworzenia
biznesowych wymagań odnośnie dostępności
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 17
18. 5. Rozbieżne rankingi zagrożeń w oczach
ekspertów i internautów
Wyniki badania pokazują, że internauci nie doceniają
zagrożeń związanych z niektórymi aspektami
wykorzystania komputera. Równocześnie, część
z nich przyznaje, że staje się ofiarami ataków
cyberprzestępców.
Za największe zagrożenia internauci uważają wirusy,
spam oraz programy szpiegujące. Żadne z tych zagrożeń
nie jest bezpośrednio związane z działalnością samego
internauty. Wynikają one jednak pośrednio z konfiguracji
oraz sposobu wykorzystania komputera, które w pełni
zależą od użytkownika. Ankietowani użytkownicy
Internetu nie doceniają jednak znaczenia własnej
działalności. Zaledwie 19% respondentów uważa, że
jakość stosowanych przez nich haseł ma duże znaczenie
dla bezpieczeństwa. Zaledwie 25% respondentów
uważa, że zarządzanie zmianą ma duże znaczenie,
podczas, gdy w oczach ekspertów jest to jedna
z kluczowych kwestii bezpieczeństwa środowisk
informatycznych. Niecałe 15% uważa, że inżynieria
społeczna stanowi duże zagrożenie. Nie dziwi zatem
fakt, że w ocenie ekspertów, inżynieria społeczna jest
jedną z lepszych metod ataku. Prawie 90% badanych nie
docenia roli bezpieczeństwa fizycznego
w procesie zachowania bezpieczeństwa informacji.
Rozbieżna jest także opinia ekspertów i internautów na
temat cyberterroryzmu. Według internautów
cyberterroryzm nie stanowi realnego zagrożenia.
Łączna liczba wskazań respondentów-pracowników na doświadczone przez firmę zagrożenia, n=
Łączna liczba wskazań respondentów-pracowników na doświadczone przez firmę zagrożenia
450
400
350
300
250 wewnętrzne
200 zewnętrzne
150
100
50
0
Jednorazowe Wielokrotne Ogółem zagrożenia
Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników
Gazeta.pl), n=363
18
19. Pracownicy deklarują, że ich firmy doświadczyły
następujących zagrożeń zewnętrznych:
Ataki wirusów/robaków
Ataki e-mailowe (tj. spam)
Programy szpiegujące spyware
Przypadki losowe
Włamanie do sieci bezprzewodowej
Narażenie danych poufnych na atak z internetu
Atak typu DoS (Denial of Service - odmowa usługi)
Inżynieria społeczna
Zniekształcenie strony internetowej (defacement)
Sieci zombie
Zagrożenie fizyczne
Zewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych
Naruszenie zasad przez pracowników
Wymuszenia on-line
Złośliwy atak zdalny
Kradzież własności intelektualnej
Phishing / Pharming
Inne
0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20%
Jednorazowe Wielokrotne Brak wskazania na zagrożenie
Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363
Jedną z częstszych przyczyn zaistnienia zagrożenia
bezpieczeństwa jest niewłaściwe, często nieświadome,
działanie pracownika. Dla przedsiębiorców kwestią
priorytetową staje się więc budowanie odpowiedniej
świadomości swoich pracowników oraz zapewnienie
efektywności procedur związanych z wykorzystaniem
komputera służbowego, zgodnie z jego przeznaczeniem.
Pracownicy powinni mieć świadomość, że
bezpieczeństwo informatyczne firmy w której pracują,
w znacznym stopniu zależy właśnie od nich.
Pracownicy wskazywali, że ich firmy doświadczyły
następujących zagrożeń wewnętrznych:
Nie zdarzyły się przypadki ataku od wewnątrz
Inne
Wypadki losowe
Kradzież lub wyciek własności intelektualnej
Wewnętrzne nadużycia finansowe z wykorzystaniem systemów
informatycznych
Utrata danych klientów / kwestie poufności (przeciek informacji)
Włamanie do sieci bezprzewodowej
Ataki wirusów/robaków
0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20%
Jednorazowe Wielokrotne Brak wskazania na zagrożenie wewnętrzne
Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 19
20. Następujące zagrożenia zewnętrzne budzą obawy
pracowników w odniesieniu do najbliższej przyszłości:
Zagrożenia fizyczne
Wewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych
Niska jakość opracowywanego oprogramowania
Naruszenie zasad przez pracowników firm/instytucji z którymi mam styczność
Niska jakość moich haseł dostępu
Kradzież lub wyciek mojej własności intelektualnej
Nieodpowiednie zarządzanie aktualizacjami / zmianą
Zewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych
Narażenie moich danych poufnych na atak z internetu
Nieodpowiednie wykorzystanie danych poufnych na mój temat
Utrata moich danych jako klienta / kwestie poufności (przeciek informacji)
0% 20% 40% 60% 80% 100%
brak zagrożenia bardzo małe zagrożenie raczej małe zagrożenie średnie zagrożenie raczej duże zagrożenie duże zagrożenie
Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363
Wewnętrzne zagrożenia, które budzą obawy
ankietowanych pracowników, przedstawiają się
następująco:
Wirusy/robaki sieciowe
Ataki e-mailowe (tj. spam)
Programy szpiegujące spyware
Włamanie do sieci bezprzewodowej
Złośliwe oprogramowanie adware
Złośliwy atak zdalny
Sieci zombie
Phishing / Pharming
Cyberterroryzm
Atak typu Denial of Service (odmowa usługi)
Wymuszenia on-line
Zniekształcenie strony internetowej (defacement)
Inżynieria społeczna
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
brak zagrożenia bardzo małe zagrożenie raczej małe zagrożenie średnie zagrożenie raczej duże zagrożenie duże zagrożenie
Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363
20
21. 6. Opis źródeł danych do raportu
Raport powstał na podstawie dwóch podobnych ankiet
wypełnionych przez dwie grupy respondentów w lipcu
2009:
1. Pierwszą grupę stanowili polscy przedsiębiorcy,
eksperci ds. bezpieczeństwa IT. Liczebność tej grupy
wyniosła 30.
2. Drugą grupę stanowili pracownicy, będący
użytkownikami poczty elektronicznej oferowanej
przez Grupę Gazeta.pl pod markami Gazeta.pl i G.pl.
Liczebność tej grupy wyniosła 363.
Zaproszenia do badania rozsyłane były e-mailem.
Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 21
22. Kontakt
Jakub Bojanowski Arkadiusz Kustra
Partner w Dziale Zarządzania Ryzykiem Deloitte Kierownik Zespołu Badań i Analiz Gazeta.pl
E-mail: jbojanowski@deloitteCE.com E-mail: arkadiusz.kustra@agora.pl
Tel.: +48 (22) 511 09 53 Tel.: +48 (22) 555 57 37
Cezary Piekarski Piotr Toczyski
Menedżer w Dziale Zarządzania Ryzykiem Deloitte Samodzielny Analityk Rynku, Gazeta.pl
E-mail: cpiekarski@deloitteCE.com E-mail: piotr.toczyski@agora.pl
Tel.: +48 (22) 511 02 52 Tel.: +48 (22) 555 48 71
22