Stav informačnej bezpečnosti na Slovensku

Pred pár dňami som sa zúčastnil tlačovej konferencie pri príležitosti predstavenia Prieskumu stavu informačnej bezpečnosti v SR 2008 a dostal som sa tak medzi prvých majiteľov publikácie s výsledkami tohto prieskumu. Nebudem tu prepisovať všetky výsledky (koniec koncov, táto publikácia bude voľne distribuovaná záujemcom), len malý výber. Upútalo ma, že viac ako polovica respondentov zastáva názor, že situácia v oblasti informačnej bezpečnosti na Slovensku je rovnaká alebo lepšia v porovnaní so západoeurópskymi štátmi (rovnaká – 48%, lepšia – 5%, výrazne lepšia – 1%). Ešte optimistickejšie hodnotia úroveň riešenia informačnej bezpečnosti vo vlastnej organizácii – 56% ju hodnotí ako dobrú, 26% ako výbornú.

S takýmto podielom pozitívne ladených úsudkov – sebahodnotení dosť kontrastujú niektoré nahlásené skutočnosti. Z odpovedí na iné otázky napríklad vyplýva, že v tretine (presnejšie 34%) organizácií nemajú vôbec zavedený nejaký systém monitorovania bezpečnostných incidentov, pričom 51% organizácii monitoruje iba niektoré bezpečnostné hrozby. Viac ako polovica (presnejšie 55%) organizácií pritom nemá vypracované plány obnovy funkčnosti (disaster recovery planning). Skoro rovnaký počet (54%) organizácií určuje svoje priority v oblasti informačnej bezpečnosti podľa známych problémov (prístup, ktorí autori správy z prieskumu charakterizovali ako „hasíme až keď horí“), k určovaniu priorít podľa trendov v oblasti IT a informačnej bezpečnosti sa priznalo 37% respondentov, a napríklad podľa výsledkov analýz rizík len 26%.

Za povšimnutie tiež stojí umožnenie prístupu externých subjektov do interných sietí respondentov. V 41% prípadov majú takýto prístup dodávatelia, resp. subjekty poskytujúce organizácii podporu a údržbu, v 33% dcérske a iné prepojené organizácie, v 24% dodávatelia outsourcingu jedného alebo viacerých procesov pre organizáciu, v 13% klienti.

Najviac (41%) respondentov označilo výpadok elektrického prúdu za bezpečnostný incident s najzávažnejším dopadom, zatiaľ čo pre 20% je incidentom s najzávažnejším dopadom porucha hardvéru a pre 7% je to spam ... na druhom konci rebríčka bezpečnostných incidentov s najzávažnejším dopadom sa ocitli únik informácií, prírodná katastrofa, nepovolený prístup k údajom zvonka a zneužitie zariadenia (0%), chyba administrátora alebo obsluhy (1%) a falšovanie elektronických dokumentov, transakcií a informácií (1%). Na tomto mieste mi nedá nespomenúť sarkastický komentár kolegu k tomu, čo sa ocitlo na konci rebríčka - „každodenné udalosti predsa nemožno považovať za bezpečnostný incident“ :-)

A tak ďalej. Samozrejme, prieskum prináša aj informácie (odpovede na otázky) ktoré vyznievajú celkom dobre... ja tu uvádzam len výber podľa mňa pozoruhodných skutočností zvyšujúcich nároky na riešenie bezpečnosti (prístup externých subjektov do interných sietí respondentov) či až nezrovnalostí s pozitívnym sebahodnotením úrovne informačnej bezpečnosti u viac ako 80% respondentov. Myslím, že existencia a rozsah takýchto nezrovnalostí stojí za povšimnutie, nakoľko prinajmenšom núti klásť otázky o spoľahlivosti resp. presnosti tých odpovedí z prieskumu (tohto, ale aj prípadných iných), ktoré nie sú jednoduchým výrokom o skutočnosti, ale sú založené na úsudku osoby, ktorá sa za organizáciu vyjadruje. Z uvedených protirečení by sa totiž dalo usúdiť, že značná časť respondentov (osôb, ktoré sa vyjadrovali k téme informačnej bezpečnosti) interpretuje pojmy a riešenia informačnej bezpečnosti svojským, dosť zúženým, spôsobom. To by mohlo vysvetľovať odvahu, s akou hodnotia situáciu v oblasti informačnej bezpečnosti na Slovensku vo vzťahu k západoeurópskym štátom a úroveň informačnej bezpečnosti vo vlastnej organizácii.

Pre úplnosť je potrebné dodať, že spomínaný prieskum bol zameraný na spoločnosti s viac ako 100 zamestnancami (72% respondentov má 100-500 zamestnancov) a že za organizácie najčastejšie odpovedali ich zamestnanci vo funkciách ako vedúci oddelenia IS/IT (39%), špecialista IS/IT (17%), riaditeľ IS/IT (11%), špecialista bezpečnosti (7%), ale trebárs aj ekonomický/finančný riaditeľ (6%) či dokonca pracovník marketingu (3%). Výsledky prieskumu vychádzajú zo spracovania 187 vrátených vyplnených dotazníkov z celkom 826 oslovených spoločností. Obdobný prieskum bol na Slovensku zrealizovaný aj v r. 2006 a 2004 a v Českej republike v rokoch 2007, 2005, 2003, 2001 a 1999, čo umožňuje porovnávať situáciu v ČR a SR a sledovať trendy vo vývoji jednotlivých oblastí prieskumu. No a tým podozrievavým, ktorí za publikovaním článku na blogu hľadajú nejaký bočný úmysel, napomôžem priznaním, že moja dcéra pracuje v spoločnosti TATE International Slovakia, ktorá bola jedným z partnerov prieskumu ... menej im už pomôžem informáciou, že publikácia s výsledkami prieskumu by mala byť rozširovaná bezplatne.

Všetky uvedené čísla boli prevzaté z publikácie prieskumu stavu informačnej bezpečnosti v SR pre rok 2008 („Zdroj PSIB SR 08, Ernst & Young, NBÚ SR, DSM – data security management, TATE International Slovakia“ ISBN 978-80-969747-1-9).