Podle nového průzkumu společnosti Deloitte sice incidenty v oblasti bezpečnosti informačních technologií nadále přitahují pozornost top managementu, avšak řešení předmětných problémů je stále vnímáno převážně jen jako úkol IT. Jen u 10 procent respondentů je informační bezpečnost součástí řídící agendy ředitelů obchodních divizí. Méně než dvě třetiny respondentů mají vypracovánu strategii v oblasti informační bezpečnosti. „Letošní protichůdná zjištění skutečně potvrzují bezpečnostní paradox, kterému finanční instituce čelí,“ říká Petr Brich, ředitel poradenství pro finanční instituce Deloitte ČR a SR.
Na jedné straně je evidentní, že účastníci průzkumu bez výjimky identifikovali hlavní bezpečnostní problémy včetně opatření, která musí přijmout, aby se zvýšila bezpečnost i ochrana soukromých dat. Na straně druhé, však řada finančních institucí stále váhá s realizací konkrétních kroků, přes množící se incidenty narušení bezpečnosti z poslední doby, jak vnitřní tak vnější. I v našem regionu již byly finanční instituce předmětem externích cílených útoků především na systémy internetového bankovnictví, vyskytlo se i několik úspěšných případů vnitřního narušení provozních systémů, manipulace klientských dat a defraudace. Firmy budou nuceny věnovat problematice informační bezpečnosti v nadcházejícím období zvýšenou pozornost, tak jako obecně aktivnímu řízení operačních rizik a rizik podvodů. Narušení informační bezpečnosti s následnou manipulací či ztrátou dat většího rozsahu by mohlo znamenat pro kteroukoli finanční instituci nedozírné reputační důsledky.
Největší hrozbou pro bezpečnost jsou klienti a zaměstnanci
Jedním z článků, který organizacím dělá asi největší starosti,hovoříme-li o narušení bezpečnosti, jsou klienti. Průzkum společnosti Deloitte identifikoval tři typy nejčastějších pokusů o narušení bezpečnosti. Jsou to počítačové viry a červi, dále útoky na systémy elektronické pošty (SPAM) a podvodné techniky k získání citlivých údajů jako například phishing a pharming. Ke všem těmto útokům dochází většinou prostřednictvím bankovních klientů, kteří se tak stávají nevědomými poskytovali citlivých informací a kanály vedoucími do nitra finančních institucích. Avšak přestože jsou finanční instituce těmito útoky přímo ohrožovány, nejsou zatím ochotné přijmout odpovědnost za bezpečnost počítačů svých klientů, zřejmě z důvodů obrovského rozsahu takového podniku. Na otázku, zda by měli nést odpovědnost za zajištění ochrany počítačů svých klientů, kteří s nimi komunikují online, odpověděly dvě třetiny respondentů, že nikoliv.
Kromě narušení bezpečnosti prostřednictvím klientů fungujících jako jakýsi kanál do finančního domu, průzkum poukazuje na to, že vysoký počet narušení lze připsat také vlastním zaměstnancům, kteří buď zneužívají svou pozici a oprávnění nebo se dopouštějí se chyb a omylů. Naprosté většině respondentů dělají zaměstnanci v tomto ohledu vážné starosti a uvádějí lidský faktor jako hlavní příčinu selhání informační bezpečnosti. Avšak zatímco chyby a opomenutí ze strany zaměstnanců jsou obecně identifikovány jako významný bezpečností problém, téměř čtvrtina respondentů svým zaměstnancům za poslední rok neposkytla žádné školení v oblasti bezpečnosti a pouze třetina respondentů uvádí, že jejich zaměstnanci jsou vybaveni náležitými dovednostmi, díky kterým mohou případné bezpečnostní problémy řešit. „Přes uvedené rozpory představuje skutečnost, že problémy byly jasně identifikovány, již zpola vyhranou bitvu, finanční instituce tedy jednoznačně vykročily správným směrem, aby tato úskalí překonaly,“ dodává Petr Brich.
Mezi nejznámějšími bankami, zahrnutými do průzkumu byly:
- ABN Amro
- Citibank
- Commerzbank
- Deutsche Bank
- Fortis Bank
- HSBC
- ING
- Raiffeisenbank
Závěr:
Školení v oblasti bezpečnosti, zvyšování povědomí o bezpečnostní problematice spolu s pokročilým řízením přístupu a totožnosti zaměstnanců, klientů a dodavatelů by měly být klíčovými faktory finančních společností pro řešení bezpečnostního paradoxu.
Zdroj: Tisková zpráva společnosti Deloitte