Your SlideShare is downloading. ×
  • Like
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security Survey
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security Survey

  • 1,781 views
Published

Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji. Jednak przedsiębiorcy wolą blokować dostęp do portali społecznościowych niż …

Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji. Jednak przedsiębiorcy wolą blokować dostęp do portali społecznościowych niż szkolić użytkowników - wynika z pierwszego polskiego badania poświęconego tym kwestiom, przeprowadzonego przez firmę doradczą Deloitte oraz Zespół Badań i Analiz Gazeta.pl.

http://badania.gazeta.pl/pr/150741/raport-deloitte-i-gazeta-pl-o-bezpieczenstwie-polski-aspekt-global-security-survey

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,781
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
18
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie
  • 2. Bezpieczeństwo informacji w Polsce wciąż jest utożsamiane z zaplombowanym pokojem, stalowymi drzwiami i gaśnicami. Tymczasem rosnąca popularność Internetu oraz przyrost treści tworzonych przez samych użytkowników (a więc dzielenie się informacjami) stanowi dla biznesu szczególne wyzwanie
  • 3. Wprowadzenie Mamy przyjemność zaprezentować Państwu wyniki Badanie zostało przeprowadzone w nawiązaniu do polskiej edycji badania na temat bezpieczeństwa wyników podobnych badań prowadzonych przez informacji w Internecie. Mamy nadzieję, że wyniki Deloitte na całym świecie. Wynikiem globalnych badań naszych prac okażą się dla Państwa interesujące, jest publicznie dostępny raport „Protecting what a prowadzone przez nas inicjatywy przyczynią się do matters. The 6th Annual Global Security Survey”. budowania świadomości polskiej społeczności Przeprowadzony sondaż pozwolił nam spojrzeć na informacyjnej, na temat zagrożeń i możliwości bezpieczeństwo informacji w Polsce na tle innych związanych z wykorzystaniem komputerów oraz regionów świata. Niniejszy raport zawiera główne Internetu. wnioski oraz obserwacje dotyczące obecnego stanu bezpieczeństwa Informacji w Polsce. Bezpieczeństwo informacji w Polsce wciąż jest utożsamiane z zaplombowanym pokojem, stalowymi drzwiami i gaśnicami. Tymczasem rosnąca popularność Internetu oraz przyrost treści tworzonych przez samych użytkowników (a więc dzielenie się informacjami) stanowi dla biznesu szczególne wyzwanie. Już ponad połowa Polaków korzysta z Internetu, co stwarza dla ochrony informacji nowe, niedoceniane wyzwania, którym zarówno internauci jak i przedsiębiorcy będą Jakub Bojanowski musieli w najbliższym czasie sprostać. Partner w Dziale Zarządzania Ryzykiem Deloitte Firma Deloitte wraz z Grupą Gazeta.pl postanowiła przeprowadzić badanie dotyczące bezpieczeństwa informacji w Internecie. W ramach badania przeprowadzony został sondaż adresowany do dwóch grup: internautów-użytkowników serwisów internetowych z grupy Gazeta.pl, oraz ekspertów ds. IT i ochrony informacji z polskich firm. Przedmiotem analizy było wykorzystanie Internetu przez współczesne społeczeństwo informacyjne, badanie jego świadomości Arkadiusz Kustra na temat bezpieczeństwa IT, a także analiza Kierownik Zespołu Badań i Analiz Gazeta.pl zaangażowania przedsiębiorców w proces zapewnienia bezpieczeństwa informacji w ich firmach. Analiza wyników uzyskanych na podstawie badań dwóch wymienionych grup, będąca konfrontacją spojrzenia z perspektywy internautów oraz pracodawców, pozwoliła nam uzyskać interesujące rezultaty, które zostały zaprezentowane w dalszej części raportu. Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 3
  • 4. Za największe zagrożenia internauci uważają wirusy, spam oraz programy szpiegujące. Żadne z tych zagrożeń nie jest bezpośrednio związane z działalnością samego internauty. Wynikają one jednak pośrednio z konfiguracji oraz sposobu wykorzystania komputera, które w pełni zależą od użytkownika.
  • 5. Spis treści 3 Wprowadzenie 7 Główne wnioski z raportu 8 Firmy oszczędzają na bezpieczeństwie 13 Jak chronić informacje biznesowe w epoce serwisów społecznościowych 16 Bezpieczeństwo w branży energetycznej (komentarz) 17 Bezpieczeństwo w branży produkcyjnej (komentarz) 18 Rozbieżne rankingi zagrożeń w oczach ekspertów i internautów 21 Opis źródeł danych do raportu 22 Kontakt Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 5
  • 6. Internauci nie doceniają wagi własnych działań w procesie zapewnienia bezpieczeństwa informacji, a winą za potencjalne nadużycia obarczają czynniki zewnętrzne, w tym firmy, których są klientami (np. banki, instytucje finansowe, dostawców usług internetowych). 6
  • 7. 2. Główne wnioski z raportu Oszczędzamy na bezpieczeństwie Między bezpieczeństwem a komfortem Polscy przedsiębiorcy w czasach kryzysu przedkładają użytkowania oszczędności nad bezpieczeństwo informacji. Mimo Głównym obszarem inwestycji w bezpieczeństwo są dynamicznej informatyzacji oraz rozwoju społeczności rozwiązania techniczne. Jednak i ten obszar wymaga informacyjnej, wzrost budżetów przeznaczanych na wielu usprawnień. Porównując wyniki naszych badań bezpieczeństwo w obszarze IT jest znikomy. Dzieje się z raportami o zasięgu globalnym dostrzeżemy, że tak przede wszystkim dlatego, że oszacowanie korzyści, w Polsce wykorzystuje się mało zaawansowane jakie niosą ze sobą inwestycje w bezpieczeństwo technologie z obszaru bezpieczeństwa IT takie jak informacji jest niezwykle trudne. Nie jest także łatwo zarządzanie tożsamością, pozostając przy prostych ocenić, jakie straty zostaną poniesione po zmniejszeniu i często nieskutecznych rozwiązaniach. budżetu przeznaczonego na ochronę informacji. Powoduje to, że mimo tego, że większość działów Przedsiębiorcy niechętnie inwestują w zabezpieczenia biznesowych wyraża jedynie umiarkowane zadowolenie wiedząc, że nie zostanie to docenione przez ich ze wsparcia, jakie oferuje im jednostka odpowiedzialna klientów. Co więcej, często wzrost bezpieczeństwa za bezpieczeństwo informacji, budżety tych jednostek wiąże się ze spadkiem wygody użytkowania, co stają się celem znacznych oszczędności. doprowadza do sytuacji, w której użytkownik jest niezadowolony z wyższego poziomu bezpieczeństwa. Brak zaangażowania i świadomości Wyjściem z tej sytuacji mogą być nowoczesne Kolejną niepokojącą obserwacją jest brak rozwiązania techniczne pozwalające na podniesienie zaangażowania przedstawicieli biznesu w zapewnienie systemu bezpieczeństwa bez znacznego spadku bezpieczeństwa informacji. Wymagania odnośnie komfortu użytkowania. Przy zmniejszających się bezpieczeństwa powinny wynikać z potrzeb budżetach poświęcanych na ochronę informacji ich biznesowych, gdyż to właśnie linie biznesowe najlepiej wdrożenie w większości organizacji zostanie zapewne znają wartość poszczególnych aktywów. Ich odłożone w czasie. zaangażowanie w proces ochrony informacji może zapewnić efektywne wykorzystanie budżetu w miejscach, gdzie ochrona jest rzeczywiście potrzebna. Z naszych badań wynika jednak, że ochrona informacji jest traktowana jako zadanie zespołów IT, a nie całej organizacji. Przedsiębiorcy nie doceniają także proceduralnych i organizacyjnych aspektów bezpieczeństwa informacji, biorących pod uwagę ryzyka związane z czynnikiem ludzkim. Świadomość internautów odnośnie bezpieczeństwa informacji wciąż pozostawia wiele do życzenia. Internauci nie doceniają wagi własnych działań w procesie zapewnienia bezpieczeństwa informacji, a winą za potencjalne nadużycia obarczają czynniki zewnętrzne, w tym firmy, których są klientami (np. banki, instytucje finansowe, dostawców usług internetowych). Paradoksalnie, niska świadomość konsumentów wiąże się często także z niskimi wymaganiami odnośnie bezpieczeństwa stawianymi wobec dostawców usług. Taki stan rzeczy działa na przedsiębiorców w sposób demobilizujący. Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 7
  • 8. 2.1. Firmy oszczędzają na bezpieczeństwie Oszczędności i zaangażowanie przedstawicieli zainteresowania certyfikacją według normy ISO 27001. biznesu Norma ta zawiera dobre i sprawdzone praktyki odnośnie Istnieją modele pozwalające podjąć próbę oszacowania bezpieczeństwa informacji. Praktyka pokazuje, że zwrotu z inwestycji w bezpieczeństwo IT. Sam proces wzorowanie się na normie ISO 27001 podczas tworzenia szacowania nie jest łatwy, wymaga przeprowadzenia systemu zarządzania bezpieczeństwem informacji, odpowiednich analiz i pewnego nakładu pracy. Dlatego nawet w przypadku niewielkich środowisk IT, przynosi polskie firmy zwykle rezygnują z próby oceny bardzo dobre efekty. Całkowite zaniechanie nie tylko opłacalności tego typu inwestycji. Jednostka kosztownej certyfikacji, ale i wdrożenia wybranych odpowiedzialna za zapewnienie bezpieczeństwa fragmentów normy jest ciekawym trendem, który może postrzegana jest jako ośrodek kosztów, a korzyści mieć istotny wpływ na rynek usług doradczych z jego działania nie są do końca znane. Z tego powodu, w obszarze ochrony informacji. Być może rynek oczekuje w czasach spowolnienia gospodarczego, przedsiębiorcy wprowadzenia nowych, mniej restrykcyjnych regulacji, szukają łatwych oszczędności znajdując je w zespołach które będą mniej kosztowne we wdrożeniu i utrzymaniu. zajmujących się ochroną informacji. Potwierdzają to przeprowadzone przez nas badania. W dobie optymalizacji kosztów działalności spółki sięgają do ograniczania wydatków na bezpieczeństwo. Ponad połowa respondentów badania uznała pion Należy jednak pamiętać, że oszczędności w tym bezpieczeństwa danych za średnio efektywny pod obszarze powinny być wynikiem świadomej analizy względem zaspokajania potrzeb i oczekiwań organizacji ryzyka, a nie ryzykownej optymalizacji na podstawie informacji zwrotnej od linii biznesowych krótkookresowego wyniku finansowego. oraz innych źródeł wewnętrznych. Jednocześnie 60% Czy firma posiada oddzielny od budżetu IT budżet pionu respondentów zauważyło, że obsada pionu bezpieczeństwa danych? bezpieczeństwa zmniejszyła się w ciągu ostatniego roku. Deklarowane wzrosty budżetów przeznaczonych na Częstość Procent bezpieczeństwo danych w ostatnim roku były na bardzo Tak 2 6,7 niskim poziomie, co po uwzględnieniu inflacji oznacza Nie 23 76,7 ich realny spadek. Jednocześnie środki przeznaczane na Nie wiem 5 16,7 ochronę informacji są wciąż częścią budżetów zespołów Ogółem 30 100,0 IT, co utrudnia ich monitorowanie i ocenę realnych Badanie Deloitte i Gazeta.pl, część realizowana wśród korzyści. Jedynie 16.6% naszych respondentów było przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie w stanie wskazać kwotę, jaką przeznaczają na ochronę do Global Security Survey, n=30 informacji w przeliczeniu na jednego pracownika organizacji. Wszystkie te fakty skłaniają do smutnej W oparciu o informację zwrotną otrzymaną z linii konkluzji, że polskie spółki oszczędzają na biznesowych i innych źródeł wewnętrznych proszę określić bezpieczeństwie. efektywność działania pionu bezpieczeństwa danych pod względem zaspokajania potrzeb i oczekiwań organizacji. W Polsce wciąż pokutuje stereotypowe myślenie Proszę wybrać jedną odpowiedź o bezpieczeństwie informacji widzianym przez pryzmat Częstość Procent ochrony informacji niejawnych czy też ustawowego Bardzo efektywny 2 6,7 obowiązku ochrony danych osobowych. Powoduje to, Średnio efektywny 16 53,3 że nie są analizowane rzeczywiste zagrożenia i rezultaty utraty informacji. Aż 1/3 respondentów wykazała, że Nieefektywny 1 3,3 biznesowi przedstawiciele biznesu nie są zaangażowani Nie wiem 8 26,7 w budowę strategii ochrony danych. Bez zmiany tego Wolę nie ujawniać 3 10,0 podejścia nie będzie można mówić o efektywnym Ogółem 30 100,0 zarządzaniu bezpieczeństwem informacji. Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców (klientów Deloitte) jako odniesienie do Global Oszczędzamy na certyfikatach i dobrych Security Survey, n=30 praktykach Prawie 50% naszych respondentów nie wykazuje 8
  • 9. Jak można scharakteryzować obsadę pionu bezpieczeństwa danych (bez outsourcingu) w okresie ostatnich 12 miesięcy? Proszę wybrać jedną odpowiedź Częstość Procent Zwiększyła się 3 10,0 Zmniejszyła się 18 60,0 Nie zmieniła się 3 10,0 Wolę nie ujawniać 2 6,7 Inne 4 13,3 Ogółem 30 100,0 Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30 Jaki poziom zaangażowania w strategię bezpieczeństwa danych obserwuje się na poziomie linii biznesowych w firmie? Częstość Procent Brak zaangażowania 9 30,0 Dostarczają materiał wsadowy 6 20,0 Kształtują strategię bezpieczeństwa 3 10,0 Realizują strategię bezpieczeństwa 4 13,3 Zatwierdzają strategię bezpieczeństwa 3 10,0 Nie wiem 5 16,7 Ogółem 30 100,0 Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30 Jaki poziom zaangażowania w strategię bezpieczeństwa danych obserwuje się na poziomie szefów pionów? Częstość Procent Nie dotyczy - firma nie posiada takiej strategii 3 10,0 Brak zaangażowania 8 26,7 Dostarczają materiał wsadowy 5 16,7 Kształtują strategię bezpieczeństwa 5 16,7 Realizują strategię bezpieczeństwa 3 10,0 Zatwierdzają strategię bezpieczeństwa 3 10,0 Nie wiem 3 10,0 Ogółem 30 100,0 Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30 Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 9
  • 10. Które z następujących pozycji obejmuje budżet pionu bezpieczeństwa danych firmy? Proszę wybrać wszystkie właściwe odpowiedzi Częstość Procent Urządzenia I produkty ochrony infrastruktury (zapory sieciowe, rutery filtrujące, 21 70,0 systemy antywirusowe itp.) Program antywirusowy zainstalowany w desktopach i na bramce itp. 21 70,0 Logiczna kontrola dostępu (oprogramowanie i sprzęt do autoryzacji/autentykacji taki 18 60,0 jak tokeny, karty dostępu itp.) Fizyczna kontrola dostępu (drzwi lub sejfy ognioodporne, gaśnice itp.) 18 60,0 Sprzęt i infrastruktura 18 60,0 Koszty personelu i organizacji (związane z definicją / administracją / działalności 12 40,0 operacyjnej) Doradcy ds. bezpieczeństwa 10 33,3 Koszty ubezpieczenia 10 33,3 Plan poawaryjnego odtworzenia danych 8 26,7 Koszty informacji / upowszechniania 6 20,0 Koszty badań / analiz 6 20,0 Koszty audytu lub certyfikacji 6 20,0 Zapewnienie kontynuacji działalności 5 16,7 System reakcji na zdarzenia losowe 4 13,3 Przestrzeganie przepisów i zarządzanie ryzykiem 4 13,3 Działalność badawczo-rozwojowa w zakresie bezpieczeństwa 2 6,7 Żadna z powyższych pozycji 1 3,3 Wolę nie ujawniać 1 3,3 Nie wiem 3 10,0 Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30 Jaki procent budżetu informatycznego firmy przeznaczony jest na zapewnienie bezpieczeństwa danych? (z wyłączeniem kosztów związanych z BCM, DRP i wbudowanymi elementami zabezpieczającymi) Częstość Procent 1-3% 1 3,3 4-6% 1 3,3 7-9% 1 3,3 10-11% 3 10,0 Ponad 11% 3 10,0 Nie dotyczy 4 13,3 Nie wiem 9 30,0 Wolę nie ujawniać 6 20,0 Brak odpowiedzi 2 6,7 Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30 10
  • 11. Jakie kwoty (w zł) firma przeznacza rocznie na zabezpieczenia w przeliczeniu na jednego pracownika? Proszę wybrać jedną odpowiedź Częstość Procent 10 zł - 250 zł 3 10,0 251 zł - 500 zł 1 3,3 501 zł - 1000 zł 1 3,3 Nie mierzymy 9 30,0 Nie wiem 7 23,3 Wolę nie ujawniać 9 30,0 Ogółem 30 100,0 Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30 W jakim stopniu bezpieczeństwo działalności jest skoordynowane z bezpieczeństwem danych? Proszę wybrać jedną odpowiedź Częstość Procent Inicjatywy z zakresu bezpieczeństwa działalności są dobrze skoordynowane z inicjatywami 6 20,0 dot. bezpieczeństwa danych Inicjatywy z zakresu bezpieczeństwa działalności są w pewnej mierze skoordynowane 16 53,3 z inicjatywami dot. bezpieczeństwa danych Inicjatywy z zakresu bezpieczeństwa działalności nie są skoordynowane z inicjatywami 3 10,0 dot. bezpieczeństwa danych Nie wiem 4 13,3 Wolę nie ujawniać 1 3,3 Ogółem 30 100,0 Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie do Global Security Survey, n=30 Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 11
  • 12. Czy nacisk na bezpieczeństwo danych w firmie/ Nacisk na bezpieczeństwo jedynie zdaniem 13% instytucji, gdzie Pan/Pani pracuje zmienił się od zeszłego pracowników, rośnie: roku? Proszę wybrać jedną odpowiedź 3% 8% 42% 34% 13% Raczej obniżył się Raczej wzrósł Nie dotyczy, firma nie angażuje się w temat bezpieczeństwa Nie wiem Wolę nie ujawniać Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363 Jak efektywne są w Pana/Pani przekonaniu działania na Sami pracownicy mają przeświadczenie rzecz bezpieczeństwa danych pod względem o stosunkowo wysokiej efektywności działań na zaspokajania potrzeb i oczekiwań firmy/instytucji gdzie rzecz bezpieczeństwa w swoich firmach, jedynie Pan/Pani pracuje? 8% uczestników sondażu uznaje te działania za nieefektywne. 8% 24% 30% 8% 30% Bardzo efektywny Średnio efektywny Nieefektywny Nie wiem Wolę nie ujawniać Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363 12
  • 13. 2.2. Jak chronić informacje biznesowe w epoce serwisów społecznościowych Firmy nie zdają sobie sprawy z tego, że realne zagrożenie dla bezpieczeństwa spółki. aktywność pracowników w serwisach Inteligentny przeciwnik może w prosty sposób powiązać społecznościowych może być zagrożeniem i nie informacje zawarte w ogólnodostępnych portalach oraz podejmują działań związanych z ochroną tych serwisach społecznościowych wchodząc w posiadanie informacji. informacji, które jeszcze niedawno dostępne były jedynie przy wykorzystaniu technik szpiegostwa Obserwujemy dynamiczny wzrost popularności oraz przemysłowego. Tymczasem kierownictwo spółki może coraz szersze zastosowania Internetu w życiu nie zdawać sobie sprawy z wszechstronności informacji, prywatnym. Potwierdzają to wyniki przeprowadzonego jakie jego pracownicy umieszczają w tego typu badania. Jednak świadomość społeczeństwa na temat portalach. bezpieczeństwa w obszarze IT wciąż pozostaje niska. Korzystanie z komputera służbowego, nawet w celach pozasłużbowych, niesie ze sobą wiele ryzyk. Według badania większość przedsiębiorców za zagrożenie Inteligentny przeciwnik może w prosty sposób uważa portale społecznościowe. Jednocześnie, powiązać informacje zawarte w ogólnodostępnych najchętniej stosowanym rozwiązaniem mającym portalach oraz serwisach społecznościowych wchodząc zabezpieczyć organizacje przed ryzykiem ze strony w posiadanie informacji, które jeszcze niedawno tychże portali jest blokowanie dostępu do nich. Można powiedzieć, że koncentracja pracodawców na dostępne były jedynie przy wykorzystaniu technik blokowaniu korzystania z serwisów społecznościowych szpiegostwa przemysłowego w czasie pracy nie sprzyja ochronie informacji. Jedynie część pracowników przyznaje się do korzystania W firmach brakuje polityki bezpieczeństwa wobec social z serwisów w czasie pracy, natomiast informacje networking. Według pracowników, jedynie w co ósmej niejawne związane z wykonywaną pracą mogą równie firmie istnieje kodeks bądź regulamin dotyczący dobrze być ujawniane poza czasem pracy. Słusznym korzystania z serwisów społecznościowych. Firmy kierunkiem myślenia o serwisach społecznościowych chciałyby blokować serwisy społecznościowe w miejscu w kontekście bezpieczeństwa informacji wydaje się pracy, zamiast edukować w kwestii ochrony informacji nacisk na zwiększanie świadomości pracowników w serwisach społecznościowych. Tymczasem odnośnie informacji zawodowych ujawnianych przez pracownicy deklarują, że z serwisów społecznościowych nich online poza czasem pracy. korzystają przede wszystkim poza czasem pracy. Zasadne wydaje się rozważenie zagrożeń oraz ryzyk, Powszechność portali społecznościowych sprawia, że jakie wynikają z tego typu działań pracowników oraz coraz więcej ludzi umieszcza tam dużą ilość informacji odpowiednich czynności minimalizujących te ryzyka. zarówno o swoim życiu prywatnym jak również Bardziej stosowne wydają się przy tym szkolenia, akcje służbowym. Często są to informacje, które w sposób uświadamiające pracowników oraz wypracowanie bezpośredni bądź pośredni ujawniają dane wrażliwe, odpowiednich procedur aniżeli blokowanie dostępu do które powinny podlegać ochronie. Aż 40% tych stron na poziomie infrastruktury teleinformatycznej. respondentów uważa, że informacje o fizycznej Popularność serwisów społecznościowych i łatwość lokalizacji, w tym planowanych podróżach publikowania informacji w Internecie powinny być pracowników, nie powinny podlegać ochronie a kolejne uwzględnione przez firmy w ich strategiach ochrony 20% respondentów nie ma w tej kwestii zdania. informacji. Czy uważa Pan/Pani, że kontakty biznesowe (prezentowane np. na LinkedIn, Goldenline) są Równocześnie 47% respondentów uważa, że informacje informacjami, które powinny podlegać ochronie? o kontaktach biznesowych (prezentowanych np. na Częstość Procent portalach typu LinkedIn, GoldenLine) nie powinny podlegać ochronie a kolejne 20% respondentów nie ma Tak 10 33,3 w tej kwestii zdania. Te dane świadczą o znikomej Nie 14 46,7 świadomości zagrożeń, jakie mogą płynąć z korzystania Nie mam zdania 6 20,0 przez pracowników z portali społecznościowych. Ogółem 30 100,0 Funkcjonalności takie jak TripIT (informacja na temat Badanie Deloitte i Gazeta.pl, część realizowana wśród przedsiębiorców (klientów Deloitte) jako planowanych podróży służbowych) mogą stanowić odniesienie do Global Security Survey, n=30 Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 13
  • 14. Nasza-Klasa.pl Facebook.com GoldenLine Grono.net Fotka.pl Myspace.com LinkedIn Flickr.com Profeo Epuls.pl Bebo.com 0% 20% 40% 60% 80% 100% zarówno w czasie pracy jak i poza czasem pracy w czasie pracy poza czasem pracy Nie korzysta w ogóle Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363 100% 90% 80% 70% Nie wiem / wolę nie ujawniać 60% 50% Nie 40% Tak 30% 20% 10% 0% Czy ma Pan/Pani świadomość, że Czy zamieścił/a Pan/Pani Czy w Pana/Pani firmie jest informacje ujawniane przez komentarze na temat swojego wewnętrzny zbiór zasad użytkowników w takich serwisach pracodawcy na portalu dotyczących korzystania z serwisów jak LinkedIn, Profeo albo społecznościowym? społecznościowych (np. kodeks, Goldenline mogą zostać użyte regulamin)? przeciwko ich obecnym lub byłym pracodawcom? Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363 14
  • 15. Chmura tagów powstała w odpowiedzi na pytanie Chmura tagów powstała w odpowiedzi na pytanie „Które ze stron internetowych są lub powinny zostać „Proszę podać - wpisując tylko jedno słowo - nazwę Pana/Pani zdaniem zablokowane ze względu na najbardziej niebezpiecznego Pana/Pani zdaniem miejsca niebezpieczeństwo dla sieci firmowej/sprzętu? Proszę w Internecie” (spontaniczne odpowiedzi 506 wpisać przykładowy adres lub ogólną nazwę kategorii respondentów, pominięto 59 odpowiedzi „nie wiem”, takich stron” (spontaniczne odpowiedzi 30 „nie korzystam” itp.) respondentów spośród przedsiębiorców, ekspertów ds. bezpieczeństwa IT): Badanie Deloitte i Gazeta.pl, część realizowana wśród Badanie Deloitte i Gazeta.pl, część realizowana wśród internautów, przedsiębiorców, ekspertów ds. bezpieczeństwa IT jako odniesienie w tym pracowników jako odniesienie do Global Security Survey, do Global Security Survey, n=30 n=506 Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 15
  • 16. 3. Bezpieczeństwo w branży energetycznej (komentarz) Energetyka to branża, w której bezpieczeństwo Zarządzanie bezpieczeństwem informacji w branży teleinformatyczne ma szczególne znaczenie. energetycznej wymaga odnalezienia właściwego stanu W Polsce gałąź energetyki związana z energią równowagi między wymaganiami prawnymi, elektryczną stała się przedmiotem wielu przemian najnowszymi trendami w ochronie informacji oraz i transformacji. W wyniku rządowego programu wymaganym, w wypadku tak istotnych instalacji, konsolidacji rynku energetycznego powstały duże konserwatywnym podejściem do nowych technologii. energetyczne grupy kapitałowe. Grupy te powstały Należy również pamiętać, że polskie grupy energetyczne w wyniku połączenia wielu, niejednokrotnie małych, są jednymi z największych dysponentów danych lokalnych jednostek energetycznych, które posiadały osobowych. Nakłada to wyjątkową odpowiedzialność własne środowisko informatyczne, odrębną kulturę na osoby zarządzające tymi organizacjami, organizacyjną i różne podejście do zagadnień ochrony a jednocześnie powinno je motywować do szczególnej informacji. Sytuację skomplikował również wyraźny pracy nad poprawną stanu ochorony informacji w ich podział na operatorów oraz dystrybutorów energii organizacjach. Zagadnienie bezpieczeństwa elektrycznej, który odcisnął znaczne piętno na teleinformatycznego sektora energetycznego zostało zagadnieniach ochrony informacji. Dziś osoby przedstawione na przykładzie elektroenergetyki. odpowiedzialne za bezpieczeństwo informacji Problem ten dotyczy oczywiście także pozostałych w grupach energetycznych stoją przed wielkim segmentów tej branży. Udany atak na sieć ciepłowniczą wyzwaniem - wdrożeniem spójnych i elastycznych zasad lub paliwową, może mieć równie poważne ochrony informacji w organizacjach, w których konsekwencje, jak w przypadku sieci skomplikowana sytuacja prawna i właścicielska utrudnia elektroenergetycznej. lub uniemożliwia zakrojone na szeroką skalę zmiany. Są potrzebne przede wszystkim w dwóch obszarach: niejednorodnej infrastruktury technicznej oraz procesów zarządzania bezpieczeństwem informacji. Dokonanie połączeń i podziałów wielu heterogenicznych środowisk informatycznych zawsze prowadzi do problemów z zapewnieniem spójności zintegrowanej infrastruktury technicznej. Na świecie uważa się, że głównym celem ataków przestępców komputerowych na tę branżę mogą być systemy SCADA (systemy nadzorujące i kontrolujące procesy przemysłowe). Przykładowymi celami ataków na systemy SCADA może być przejęcie kontroli nad systemem sterowania elektrownią lub siecią przesyłową gazu. Powagę tego problemu obrazują wydarzenia, jakie miały miejsce w kwietniu 2009 roku. W Stanach Zjednoczonych wykryte zostało oprogramowanie szpiegujące w systemach sterowania siecią energetyczną. Oprogramowanie to posiadało funkcjonalność umożliwiającą całkowite wyłączenie zasilania. Polska elektroenergetyka ma dużo bardziej prozaiczne problemy. W wielu miejscach trudnością jest chociażby zapewnienie spójnego procesu zakupowego tak, aby w każdej spółce grupy kapitałowej funkcjonowały zabezpieczenia informacji podobnej klasy. Mimo wielu wysiłków osób odpowiedzialnych za ochronę informacji w tych organizacjach, dostarczenie zabezpieczeń technicznych na poziomie uznawanym za wystarczający zajmie jeszcze wiele lat. 16
  • 17. 4. Bezpieczeństwo w branży produkcyjnej (komentarz) Nowe wymagania dotyczące ochrony informacji poszczególnych zasobów IT. Nie należy się spodziewać, stanowią wyzwanie w branży produkcyjnej. że branża produkcyjna zacznie w najbliższym czasie Bezpieczeństwo teleinformatyczne przedsiębiorstw wdrażać kompletne plany ciągłości działania obejmujące produkcyjnych można rozpatrywać na różnych swoim zasięgiem nie tylko procesy informatyczne. płaszczyznach. Jednym z kluczowych aspektów Obecnie większość organizacji ogranicza się jedynie do bezpieczeństwa w tej gałęzi gospodarki jest ochrona podstawowych planów odtworzenia IT i taki trend informacji będącej tajemnicą przedsiębiorstwa, powinien dominować w branży produkcyjnej przez stanowiącej podstawę do budowania przewagi najbliższe lata. konkurencyjnej. Zapewnienie odpowiedniego poziomu bezpieczeństwa informacji nie jest jedynie kwestią Branża produkcyjna w ciągu ostatnich lat „zapomniała” natury technicznej. Istnieje wiele aspektów o bezpieczeństwie informacji traktując je jedynie, jako proceduralnych oraz organizacyjnych mających drobną pozycję w budżecie IT. Dzięki nowym regulacjom kluczowe znaczenie z punktu widzenia ochrony prawnym i silnemu naciskowi zagranicznych informacji. Dziś producenci stają przed kolejnym kontrahentów na spełnianie wysokich standardów wyzwaniem – nowe regulacje prawne nakazują bezpieczeństwa, także producenci będą musieli się zwracanie szczególnej uwagi na zagadnienie ochrony zatroszczyć o informacje własne i swoich partnerów informacji. biznesowych. Przykładem regulacji, która istotnie wpływa na bezpieczeństwo informacji w firmach produkcyjnych może być certyfikat AEO (Authorized Economic Operator, w Polsce Upoważniony Podmiot Gospodarczy) i powiązane z nim wymagania dla posiadaczy procedur uproszczonych. Ta nowa regulacja prawna wymusza między innymi posiadanie wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji, a w swoich zapisach bardzo często odwołuje się do wymagań standardów z rodziny ISO 27000. Uzyskanie zgodności organizacji z wymaganiami AEO może okazać się jednym z największych wyzwań dla osób odpowiedzialnych za informatykę i bezpieczeństwo. Zgodność z regulacjami ma duże znaczenie nie tylko dla właścicieli przedsiębiorstw. Posiadanie certyfikatu, potwierdzającego dbałość o bezpieczeństwo informacji oraz ciągłość działania, czyni z przedsiębiorcy godnego zaufania partnera biznesowego. Patrząc w kontekście zarządzania łańcuchem dostaw (Supply Chain Management), warto mieć dowód potwierdzający, że jest się pewnym ogniwem tego łańcucha. Innym, niezwykle ważnym aspektem bezpieczeństwa informatycznego w branży produkcyjnej jest ciągłość działania. W dzisiejszych czasach większość procesów biznesowych jest uzależniona od IT. Przedsiębiorcy powinni odpowiedzieć sobie na następujące pytanie: „Przez jak długi okres czasu, zachowana będzie działalność operacyjna mojej spółki w przypadku awarii środowiska informatycznego?”. Odpowiedź na to pytanie powinna stać się podstawą do stworzenia biznesowych wymagań odnośnie dostępności Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 17
  • 18. 5. Rozbieżne rankingi zagrożeń w oczach ekspertów i internautów Wyniki badania pokazują, że internauci nie doceniają zagrożeń związanych z niektórymi aspektami wykorzystania komputera. Równocześnie, część z nich przyznaje, że staje się ofiarami ataków cyberprzestępców. Za największe zagrożenia internauci uważają wirusy, spam oraz programy szpiegujące. Żadne z tych zagrożeń nie jest bezpośrednio związane z działalnością samego internauty. Wynikają one jednak pośrednio z konfiguracji oraz sposobu wykorzystania komputera, które w pełni zależą od użytkownika. Ankietowani użytkownicy Internetu nie doceniają jednak znaczenia własnej działalności. Zaledwie 19% respondentów uważa, że jakość stosowanych przez nich haseł ma duże znaczenie dla bezpieczeństwa. Zaledwie 25% respondentów uważa, że zarządzanie zmianą ma duże znaczenie, podczas, gdy w oczach ekspertów jest to jedna z kluczowych kwestii bezpieczeństwa środowisk informatycznych. Niecałe 15% uważa, że inżynieria społeczna stanowi duże zagrożenie. Nie dziwi zatem fakt, że w ocenie ekspertów, inżynieria społeczna jest jedną z lepszych metod ataku. Prawie 90% badanych nie docenia roli bezpieczeństwa fizycznego w procesie zachowania bezpieczeństwa informacji. Rozbieżna jest także opinia ekspertów i internautów na temat cyberterroryzmu. Według internautów cyberterroryzm nie stanowi realnego zagrożenia. Łączna liczba wskazań respondentów-pracowników na doświadczone przez firmę zagrożenia, n= Łączna liczba wskazań respondentów-pracowników na doświadczone przez firmę zagrożenia 450 400 350 300 250 wewnętrzne 200 zewnętrzne 150 100 50 0 Jednorazowe Wielokrotne Ogółem zagrożenia Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363 18
  • 19. Pracownicy deklarują, że ich firmy doświadczyły następujących zagrożeń zewnętrznych: Ataki wirusów/robaków Ataki e-mailowe (tj. spam) Programy szpiegujące spyware Przypadki losowe Włamanie do sieci bezprzewodowej Narażenie danych poufnych na atak z internetu Atak typu DoS (Denial of Service - odmowa usługi) Inżynieria społeczna Zniekształcenie strony internetowej (defacement) Sieci zombie Zagrożenie fizyczne Zewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych Naruszenie zasad przez pracowników Wymuszenia on-line Złośliwy atak zdalny Kradzież własności intelektualnej Phishing / Pharming Inne 0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20% Jednorazowe Wielokrotne Brak wskazania na zagrożenie Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363 Jedną z częstszych przyczyn zaistnienia zagrożenia bezpieczeństwa jest niewłaściwe, często nieświadome, działanie pracownika. Dla przedsiębiorców kwestią priorytetową staje się więc budowanie odpowiedniej świadomości swoich pracowników oraz zapewnienie efektywności procedur związanych z wykorzystaniem komputera służbowego, zgodnie z jego przeznaczeniem. Pracownicy powinni mieć świadomość, że bezpieczeństwo informatyczne firmy w której pracują, w znacznym stopniu zależy właśnie od nich. Pracownicy wskazywali, że ich firmy doświadczyły następujących zagrożeń wewnętrznych: Nie zdarzyły się przypadki ataku od wewnątrz Inne Wypadki losowe Kradzież lub wyciek własności intelektualnej Wewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych Utrata danych klientów / kwestie poufności (przeciek informacji) Włamanie do sieci bezprzewodowej Ataki wirusów/robaków 0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20% Jednorazowe Wielokrotne Brak wskazania na zagrożenie wewnętrzne Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363 Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 19
  • 20. Następujące zagrożenia zewnętrzne budzą obawy pracowników w odniesieniu do najbliższej przyszłości: Zagrożenia fizyczne Wewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych Niska jakość opracowywanego oprogramowania Naruszenie zasad przez pracowników firm/instytucji z którymi mam styczność Niska jakość moich haseł dostępu Kradzież lub wyciek mojej własności intelektualnej Nieodpowiednie zarządzanie aktualizacjami / zmianą Zewnętrzne nadużycia finansowe z wykorzystaniem systemów informatycznych Narażenie moich danych poufnych na atak z internetu Nieodpowiednie wykorzystanie danych poufnych na mój temat Utrata moich danych jako klienta / kwestie poufności (przeciek informacji) 0% 20% 40% 60% 80% 100% brak zagrożenia bardzo małe zagrożenie raczej małe zagrożenie średnie zagrożenie raczej duże zagrożenie duże zagrożenie Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363 Wewnętrzne zagrożenia, które budzą obawy ankietowanych pracowników, przedstawiają się następująco: Wirusy/robaki sieciowe Ataki e-mailowe (tj. spam) Programy szpiegujące spyware Włamanie do sieci bezprzewodowej Złośliwe oprogramowanie adware Złośliwy atak zdalny Sieci zombie Phishing / Pharming Cyberterroryzm Atak typu Denial of Service (odmowa usługi) Wymuszenia on-line Zniekształcenie strony internetowej (defacement) Inżynieria społeczna 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% brak zagrożenia bardzo małe zagrożenie raczej małe zagrożenie średnie zagrożenie raczej duże zagrożenie duże zagrożenie Badanie Deloitte i Gazeta.pl, część realizowana wśród pracowników (pozyskanych do badania spośród użytkowników Gazeta.pl), n=363 20
  • 21. 6. Opis źródeł danych do raportu Raport powstał na podstawie dwóch podobnych ankiet wypełnionych przez dwie grupy respondentów w lipcu 2009: 1. Pierwszą grupę stanowili polscy przedsiębiorcy, eksperci ds. bezpieczeństwa IT. Liczebność tej grupy wyniosła 30. 2. Drugą grupę stanowili pracownicy, będący użytkownikami poczty elektronicznej oferowanej przez Grupę Gazeta.pl pod markami Gazeta.pl i G.pl. Liczebność tej grupy wyniosła 363. Zaproszenia do badania rozsyłane były e-mailem. Bezpieczeństwo ma znaczenie Raport Deloitte i Gazeta.pl: polska edycja badania na temat bezpieczeństwa informacji w Internecie 21
  • 22. Kontakt Jakub Bojanowski Arkadiusz Kustra Partner w Dziale Zarządzania Ryzykiem Deloitte Kierownik Zespołu Badań i Analiz Gazeta.pl E-mail: jbojanowski@deloitteCE.com E-mail: arkadiusz.kustra@agora.pl Tel.: +48 (22) 511 09 53 Tel.: +48 (22) 555 57 37 Cezary Piekarski Piotr Toczyski Menedżer w Dziale Zarządzania Ryzykiem Deloitte Samodzielny Analityk Rynku, Gazeta.pl E-mail: cpiekarski@deloitteCE.com E-mail: piotr.toczyski@agora.pl Tel.: +48 (22) 511 02 52 Tel.: +48 (22) 555 48 71 22
  • 23. Deloitte świadczy usługi audytorskie, konsultingowe, doradztwa podatkowego i finansowego klientom z sektora publicznego oraz prywatnego, działającym w różnych branżach. Dzięki globalnej sieci firm członkowskich obejmującej 140 krajów oferujemy najwyższej klasy umiejętności, doświadczenie i wiedzę w połączeniu ze znajomością lokalnego rynku. Pomagamy klientom odnieść sukces niezależnie od miejsca i branży, w jakiej działają. 165 000 pracowników Deloitte na świecie realizuje misję firmy: stanowić standard najwyższej jakości. Specjalistów Deloitte łączy kultura współpracy oparta na zawodowej rzetelności i uczciwości, maksymalnej wartości dla klientów, lojalnym współdziałaniu i sile, którą czerpią z różnorodności. Deloitte to środowisko sprzyjające ciągłemu pogłębianiu wiedzy, zdobywaniu nowych doświadczeń oraz rozwojowi zawodowemu. Eksperci Deloitte z zaangażowaniem współtworzą społeczną odpowiedzialność biznesu, podejmując inicjatywy na rzecz budowania zaufania publicznego i wspierania lokalnych społeczności. Nazwa Deloitte odnosi się do Deloitte Touche Tohmatsu, podmiotu prawa szwajcarskiego i jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny opis struktury prawnej Deloitte Touche Tohmatsu oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas. © 2009 Deloitte Polska. Member of Deloitte Touche Tohmatsu