Časopis eFocus v spolupráci s Katedrou informačného manažmentu FPM Ekonomickej univerzity v Bratislave v druhej polovici minulého roka uskutočnil prieskum o Informačnej bezpečnosti na Slovensku. Na dvanásť otázok, týkajúcich sa aktuálnych problémov informačnej bezpečnosti, odpovedalo 212 respondentov, manažérov IT z významných slovenských inštitúcií.
Pomerne prekvapivý je jednoznačný aktívny postoj firiem a organizácii k stanoveniu a vypracovaniu bezpečnostných stratégií. Až 83 percent oslovených slovenských podnikov a organizácií (zastúpené boli tak výrobné podniky, banky, finančné inštitúcie ako aj organizácie štátnej a verejnej správy) má spracovanú bezpečnostnú stratégiu. Až 77 percent z nich zamerali bezpečnostné stratégie na celý podnik vrátane IT a iba 23 percent užšie -- len na IT oblasť. Toto zistenie viac ako priaznivo korešponduje s iným medzinárodným prieskumom spoločnosti Meta Group (medzi 2 000 spoločnosťami), podľa ktorého 60 perc. spoločností má vypracovaný program stratégie informačnej bezpečnosti. Tento posun v uvedomení si dôležitosti problému bezpečnosti ako celku súvisí tak s tým, že bezpečnosť je globálne jednou z najdynamickejšie sa rozvíjajúcich oblastí (podľa spoločnosti Gartner Group si teraz bezpečnosť vyžaduje viac ako 5 perc. zo všetkých rozpočtov IT), ako aj priamou a bezprostrednou skúsenosťou s reálnymi hrozbami a ohrozeniami (najmä vírusové útoky, nelegálne prieniky do IT systémov, narušenia integrity dát, strata a krádež dát). Organizácie si uvedomujú potrebu koncepcie integrovanej bezpečnosti.
Riadenie bezpečnosti
Potreba koordinovaného a kontinuálneho riadenia bezpečnosti informačných systémov (IS) je v súčasnosti v slovenských podmienkach pomerne známou aj vďaka niektorým existujúcim legislatívnym normám. Asi najznámejším v tejto oblasti a zároveň s najširším dosahom je zákon NR SR č. 428/2002 Z. z. o ochrane osobných údajov. Najmä vďaka tomuto zákonu je problematika riešenia informačnej bezpečnosti formou bezpečnostného projektu v povedomí riadiacich pracovníkov i špecialistov IT/IS. Spracovaním bezpečnostného projektu a kľúčových smerníc (často externými špecialistami) sa však ešte bezpečnosť IS podstatne nezvyšuje.
Ani pojem "systém riadenia informačnej bezpečnosti" nepredstavuje žiadny prevratný koncept. Jeho úlohou je, aby činnosti smerujúce na vytvorenie a udržiavanie adekvátnej úrovne informačnej bezpečnosti, resp. prípadne odchýlky od nej boli vyžiadané, schválené, riadené, koordinované a podporovali primárne (podnikateľské) činnosti príslušnej spoločnosti. Je však nevyhnutné uvedomovať si, že takýto systém riadenia predstavuje v praxi vytvorenie nových procesov a úloh a ich zakomponovanie do existujúcich procesov každej spoločnosti. Princípy jeho zavedenia špecifikujú štandardy ISO/IEC 17799:2000 a BS 7799-2.
Rozpočet na bezpečnosť
Z prieskumu vyplynul pomerne vysoký počet takých organizácií, ktoré nemali stanovený rozpočet na bezpečnosť IT na najbližší rok. Celkom až 50 perc. všetkých opýtaných uviedlo túto skutočnosť. Absencia rozpočtu na bezpečnosť IT môže mať niekoľko príčin. Organizácie vo všeobecnosti zápasia s nedostatkom finančných prostriedkov a problematika bezpečnosti sa neraz dostáva na okraj pozornosti. Často sa na bezpečnosť vynakladajú zdroje až vtedy, ak nastala v organizácii krízová či priam havarijná situácia -- došlo k havárií IT systému, prieniku do databáz, strate dát, napadnutiu vírusom. Stanovenie skutočných výdavkov na bezpečnosť IT v organizácii komplikuje skutočnosť, že väčšina výdavkov na bezpečnosť sa financuje z iných ako bezpečnostných projektov, napríklad projekty obnovy aplikačného softvéru alebo infraštruktúry. Okrem toho veľa aktivít v oblasti bezpečnosti (napríklad správa bezpečnosti) sa financuje z iných zdrojov, ako je rozpočet na obchodnú činnosť. Problém sa komplikuje aj multifunkčnou infraštruktúrou, ľudskými zdrojmi a procesmi. Bezpečnosť sa čoraz viac stáva súčasťou základných častí infraštruktúry (napríklad ochrana pred vniknutím do systému firewall/VPN sa financuje v rámci sieťovej infraštruktúry, antivírusový program priamo na počítači je súčasťou štandardného PC). Veľa procesov (napr. správa konfigurácií a opráv) nadobúda prevádzkové a bezpečnostné rozmery.
Priorita manažérov
V celosvetovom meradle bezpečnosť informácií zostáva v prvej pätici najproblémovejších oblastí riaditeľov/manažérov pre oblasť informačných technológií (CIO) a debata o vhodných objemoch investícií pokračuje s neslabnúcou intenzitou. Výskumy META Group naznačujú, že priemerné výdavky na bezpečnosť informácií v organizáciách skupiny Global 2000 sú v súčasnosti na úrovni 3 až 4 % rozpočtu IT. To predstavuje postupný nárast v porovnaní s predchádzajúcim rokom a naznačuje, že objemy výdavkov sa blížia k hodnotám, ktoré odporúča META Group. Podľa zahraničných výskumov celkové objemy výdavkov porastú na 8 až 10 % celkových nákladov na prevádzku IT v období rokov 2004 až 2006, potom sa ustália na úrovni 5 až 8 % z rozpočtu IT. Tieto čísla treba chápať a interpretovať vzhľadom na odlišnosti vo veľkosti, regióne a priemyselnej oblasti.
Z pohľadu veľkosti reprezentujú tieto priemerné ukazovatele typické veľké organizácie s 5 000 až 10 000 užívateľmi. Na konci stupnice sú veľmi veľké organizácie (vyše 50 000 užívateľov), ktoré na základe dynamiky škálovateľnosti (vzťahu pracovného zaťaženia, investícií a výdavkov na systém na jednej strane a na druhej strane odozvy a výkonnosti systému -- tu ide o licenčné poplatky a hospodárnosť infraštruktúry, ako aj o vzdelávanie personálu) budú mať výdavky menšie ako 3 % z rozpočtu IT na bezpečnosť, pričom škálovateľnosť v zmysle personálu núti menšie organizácie (1 000 a menej užívateľov) dvíhať výdavky smerom k 10 %.
V Európe možno badať podstatne pomalší rast výdavkov na bezpečnosť informácií (5 až 7 % celkových nákladov na prevádzku IT) v porovnaní s USA (~10 %). Hlavnými príčinami tohto rozdielu je rozdielna miera publicity, ktorá je venovaná kriminalite a trestnej činnosti v oblasti výpočtovej techniky a pocit, že európske organizácie sú vyzretejšie ako ich partneri z USA. Analytici očakávajú, že neutíchajúca debata vrátane publicity o počítačovej kriminalite a vysoko aktuálna obnova zastaraných bezpečnostných stratégií povedie k nárastu výdavkov v Európe, ako aj k stabilizácii potenciálneho rozdielu vo výdavkoch medzi Európou a USA.
Obraz situácie v ázijskej oblasti a Tichomorí je ešte pestrejší. Vyzretejšie ekonomiky (napr. Singapur, Austrália, Južná Kórea) sa správajú podobne ako krajiny Európy (t. j. sú menej stimulované legislatívnym tlakom a vykazujú rýchlosť rastu, ktorá nedosahuje ani úroveň Európy). Dozrievajúce trhy (Malajzia, Thajsko, Filipíny) len začínajú s investíciami do bezpečnosti a nárast investícií predpokladajú v blízkej budúcnosti. S výnimkou hlavných finančných a vládnych oblastí sa tieto trhy vyznačujú nedostatkom investícií v organizačnej oblasti bezpečnosti informácií, ktorá bola práve predmetom nedávneho rastu rozpočtov na bezpečnosť informácií v USA a Európe.
Potreba jasných kompetencií
Organizačné stratégie bezpečnosti budú klásť dôraz na vypracovanie jasných kompetencií a separáciu povinností (2004/2005). Bezpečnostné tímy sa budú vyčleňovať smerom von z organizácií IT a budú vytvárať celofiremné skupiny pre bezpečnosť a kompatibilitu. Riadenie preberú obchodno-kontrolné orgány (2004 až 2006). Priemerné investície do bezpečnosti dosiahnu maximum 8 až 12 % rozpočtu IT (v USA 2005/2006, Európa/Ázia a Tichomorie 2006/2007), neskôr sa ustália na 5 až 7 % rozpočtu IT (v USA 2007/2008, Európa/Ázia a Tichomorie 2008/2009).
Rozdiely existujú aj medzi hlavnými priemyselnými subjektmi. Platí pravidlo, že čím viac finančných transakcií priemyselné odvetvie realizuje elektronickou cestou cez verejné siete, tým viac musí investovať do riadenia bezpečnosti informácií a rizikových stavov.
Štartovacím bodom na stanovenie nákladov v oblasti bezpečnosti informácií je identifikácia úloh a aktivít, ktoré sa (čiastočne alebo úplne) zahrnú do rozpočtu pre informačnú bezpečnosť. Pre každú z uvedených činností, hardvér, softvér, služby a kompletný personál by mali byť stanovené náklady. Ako sme už uviedli, úloha sa komplikuje skutočnosťou, že veľa týchto činností nie je vo svojej podstate samostatných. Niektoré sa prelínajú s viacerými organizačnými zoskupeniami (napr. správa systémov, správa užívateľov) a niektoré sú len súčasťou väčšieho procesu (napr. súčasti bezpečnosti pre aplikačný vývoj).
Slovenská realita
Čo sa týka investícií firiem a organizácií na Slovensku v horizonte jedného roka, najviac preferencií majú investície do bezpečnosti sietí a ochrana pre vírusmi -- až 28 perc. opýtaných označilo túto oblasť za prioritu. Dostupnosť aplikácií a systémov (17 perc.) bola druhou najvyššou prioritou v investíciách oslovených respondentov. Zhruba na úrovni 9 až 11 perc. v prioritách investovania sa zaradili ďalšie oblasti, ako ochrana pred katastrofami, bezpečnosť mobilného prístupu zamestnancov v teréne, vytvorenie bezpečnostnej stratégie, PKI, Directories a ďalšie. Z toho vyplýva, že väčší dôraz sa kladie na technologické opatrenia ako na rozvoj po organizačnej a personálnej stránke (zavedenie systému manažmentu informačnej bezpečnosti) a na strategické smerovanie (periodické analýzy rizík). Tieto fakty môžu naznačovať nedostatok komplexného prístupu k manažmentu bezpečnosti v našich podnikoch.
Trend vo svete
Medzi kľúčové bezpečnostné technológie, do ktorých sú zákazníci ochotní najviac investovať, patria firewally, ktoré kontrolujú všetky prenosy a komunikáciu realizované cez sieť prostredníctvom kontroly informácií vstupujúcich a vystupujúcich zo siete (alebo časti siete) pomáhajúc zabezpečiť, že nedôjde k žiadnemu neautorizovanému prístupu do počítača a/alebo siete. Ďalej je to technológia odhalenia narušenia, ktorá odhaľuje neoprávnený prístup a poskytuje varovania a reporty, ktoré možno analyzovať pri schémach a plánovaní. Vhodná je aj technológia filtrovania obsahu. Tá odhaľuje a eliminuje nežiaduci prenos, ďalej technológia VPN (Virtual Private Networks), ktorá zabezpečujú spojenie za hranicami siete (beyond the perimeter), umožňujúc tak organizáciám bezpečne komunikovať s inými sieťami cez internet. Dôležitý je aj manažment zraniteľnosti -- umožňuje ohodnotiť bezpečnostnú situáciu siete pomocou odhaľovania bezpečnostných nedostatkov a navrhovaním zlepšujúcich opatrení. A napokon treba spomenúť ochranu pred vírusmi, ktorá, ako to už jej názov napovedá, poskytuje ochranu pred vírusmi, červmi a trójskymi koňmi.
Bezpečnostný outsourcing
Bezpečnostný outsourcing je forma služieb, ktorá umožní efektívne zabezpečiť vysokú úroveň bezpečnosti a rýchle reakčné časy na nové riziká a zraniteľnosti pri optimálnych nákladoch na vynaložené zdroje. Jednou z foriem bezpečnostného outsourcingu, ktorý sa aktívne už viac rokov využíva aj na Slovensku, je zabezpečenie kontinuity činností formou služieb. Pri tejto forme outsourcingu poskytovateľ služieb prenajíma svojim partnerom zálohovacie zariadenia a výkony svojich odborníkov nevyhnutné na zabezpečenie kontinuity činností. Táto forma outsourcingu umožňuje optimalizovať náklady na zdroje, minimalizovať požadované investičné náklady a rozložiť prevádzkové náklady na primerané časové obdobie.
Príčina nezáujmu
Celoslovenský prieskum však ukázal, že až 67 perc. respondentov, ktorí zastupovali vyše 200 firiem a organizácií na Slovensku, nemieni v najbližšom období využívať služby v oblasti bezpečnosti od externého dodávateľa. A viac ako polovica skôr nemá ako má záujem o outsourcing v tejto oblasti. Aj jednoznačne negatívny postoj zaujala takmer pätina respondentov. O outsourcing má zatiaľ záujem iba 15 percent respondentov a ďalších 9 perc. je v tejto otázke nerozhodnutých. Obavy o bezpečnosť a konzervatívny prístup k zvereniu informačného systému, alebo jeho časti externému dodávateľovi, sú dosť pochopiteľné. Z dlhodobého hľadiska možno aj v tejto oblasti očakávať zmenu postojov -- v prospech širšieho využívania outsourcingu bezpečnosti systémov. Pretože užívatelia si veľmi dobre uvedomujú, kde sú silné stánky outsourcingu -- podľa odpovedí respondentov sú to predovšetkým nižšie prevádzkové náklady, 24-hodinový servis, profesionálne riešenie externého dodávateľa, aj prenos zodpovednosti.
Prvým dobrým signálom je využívanie externých poradcov. Až 40 percent oslovených firiem a organizácií využívala v minulosti služby externých bezpečnostných poradcov a čo je rovnako dôležité -- budú tak robiť aj naďalej. Iba pätina má v tejto otázke jednoznačne negatívny postoj.
Alternatíva aj pre malých
Odborníci na bezpečnosť a bezpečnostnú politiku sú zajedno v tom, že outsourcing bezpečnosti je alternatívou pre spoločnosti, ktoré si nemôžu dovoliť vlastného špecialistu/špecialistov pre oblasť bezpečnosti. Sú oblasti, v ktorých je externá spolupráca najefektívnejšia a prínosom pre spoločnosť je práve externista, prípadne ich pravidelne obmieňanie (penetračné testy, audity serverov alebo aj celkovej bezpečnosti IS, analýza rizík, tvorba bezpečnostných projektov, atď.). Úspešnosť, samozrejme, závisí od serióznosti partnerov a presného definovania rozsahu, podmienok a podobne. Podobne, ako si väčšina organizácií neudržiava vlastný hasičský útvar či bezpečnostnú službu, nedá sa očakávať, že si môžu dovoliť jedného alebo viacerých kvalifikovaných špecialistov na informačnú bezpečnosť. Osobitne keď náklady na nich sa dosť ťažko odôvodňujú v čase, keď sa organizácia nezmieta v problémoch spôsobených bezpečnostnými incidentmi. Je totiž dosť ťažké rozlíšiť, či absenciu incidentov spôsobuje dobrá práca bezpečnostných špecialistov, alebo iba to, že momentálne organizácia, resp. jej systémy nikoho neupútali natoľko, aby sa o nejaký útok proti nej pokúsil.
Neustály tlak na šetrenie, resp. odôvodňovanie nákladov robí značne komplikovaným udržiavanie vlastného -- hoci aj jednočlenného -- útvaru špecializovaného na informačnú bezpečnosť. Nehovoriac o tom, že potenciálne
potrebný rozsah špeciálnych znalostí (napríklad v prípade riešenia bezpečnostných incidentov) skôr volá po celej skupine kvalifikovaných špecialistov. Ako to býva aj v prípade outsourcingu ostatných činností, nevyhnutnou podmienkou obojstrannej spokojnosti je dobre postavená zmluva. Väčšie prekážky outsourcingu v súčasnosti v tomto zmysle možno vidieť práve v tom, že manažment organizácií zatiaľ nemá dosť dobrú, resp. realistickú predstavu o tom, čo sa vlastne dá "zaručiť" pri riešení bezpečnosti, ako aj v tom, ako vlastne "merať" odborné schopnosti poskytovateľa v tejto špeciálnej oblasti.
Počítačové vírusy
Podľa nášho prieskumu až 60 percent oslovených respondentov nebolo v poslednom období nepriaznivo ovplyvnených počítačovým vírusom, resp. útokom (26 perc. však bolo a 14 perc. odmietlo túto informáciu zverejniť), čo sa dá pravdepodobne vysvetliť ich dobrou bezpečnostnou stratégiou, účinne realizovanými opatreniami a investíciami do bezpečnostného softvéru a hardvéru. No skutočnosť, že problémom bola vystavená štvrtina respondentov (a potenciálnych 14 perc., ktorí sa odmietli k tejto téme vyjadriť, čo však možno považovať aj ako čiastočné priznanie si negatívnej skúsenosti) je pomerne závažné zistenie. Aj tento fakt dokresľuje naše zistenie, že najväčšou prioritou z pohľadu firemnej politiky k prístupu na internet je ochrana siete proti počítačovým vírusom.
Najzávažnejšie problémy bezpečnosti
Zaujímavé je aj zistenie o najzávažnejších problémoch v oblasti bezpečnosti IT. Až štvrtina respondentov uviedla nedostatok vedomostí zo strany používateľov a vírusy za hlavný a rovnocenný problém, čo jednoznačne evokuje potrebu účinnejšej osvety a vzdelávania.
Sieťové technológie, alebo inými slovami komunikačná infraštruktúra, využívaná v informačných systémoch organizácie na prenos údajov a ukladanie dát, naberajú na význame a respondenti aj primerane ohodnotili svoj záujem o ne. Poznatky z prieskumu naznačujú, že produkčné kapacity podporujúce podnikanie sú vybudované, teraz je prvoradé zabezpečenie existujúcich infraštruktúr. Hovoria o tom aj preferencie respondentov v odpovedi na otázku, aké budú ich priority investovania v horizonte jedného roka.