S rozšiřováním informačních a komunikačních technologií vzrůstá i riziko jejich napadení a zneužití získaných informací. Proto je důležité věnovat pozornost jejich zabezpečení. Bezpečnost ICT sleduje zabezpečení celé IT infrastruktury včetně koncových zařízení. V praxi to znamená ochranu před neoprávněnou fyzickou manipulací se zařízeními, zabezpečení přístupu k elektronickým datům a ochranu před jejich neoprávněnou manipulací, šifrování vzájemné komunikace i uložených dat a jejich pravidelné zálohování.
Hlavní zjištění
Nejběžnějšími opatřeními k zajištění bezpečnosti ICT byly na začátku roku 2019 pravidelná aktualizace softwarového vybavení používaného ve firmě, používání silného hesla do počítače, sítě nebo aplikací a zálohování firemních dat na samostatné nebo externí úložiště. Tato tři opatření využívá více než 80 % firem v ČR s více než 10 zaměstnanci, velkých firem je dokonce více než 95 %.
Více než 60 % firem používá řízení přístupu uživatelů a zařízení do podnikové sítě. Kontrolování oprávnění k přístupu do objektu nebo k firemním datům se výrazně liší v závislosti na velikosti subjektů. Správu přístupu používá 54 % malých firem, středně velkých subjektů je 85 % a velkých 96 %.
Mohlo by vás zajímat: Swiss Re: Katastrofy v roce 2019 stály pojistitele 56 mld. USD
Téměř polovina firem v ČR (49 %) používá virtuální privátní síť (VPN), která zprostředkovává zabezpečený vzdálený přístup z jakéhokoli místa prostřednictvím internetu do firemní počítačové sítě. I v tomto případě platí, že používání VPN se významně liší podle velikosti firem. Vzdálený přístup pomocí VPN používá 93 % velkých subjektů, tři čtvrtiny středně velkých firem a dvě pětiny malých firem.
Přibližně dvě pětiny subjektů s 10 a více zaměstnanci v ČR provádějí pravidelné testy bezpečnosti ICT (39 %) a podobný podíl firem pravidelně vyhodnocuje ICT rizika, resp. pravděpodobnost výskytu bezpečnostních incidentů (37 % firem). Dvě pětiny subjektů s 10 a více zaměstnanci uchovávají tzv. logy (informace sítě a bezpečnostních zařízení) pro následnou analýzu proběhlých bezpečnostních incidentů. Ve všech zmíněných případech platí, že tato opatření praktikují mnohem častěji velké firmy s více než 250 zaměstnanci než malé subjekty.
Více než třetina firem v ČR používala v roce 2019 nástroje pro šifrování dat, dokumentů nebo e-mailové komunikace. Šifrovanou komunikaci využívá 30 % malých subjektů, více než 51 % středně velkých a více než 71 % velkých firem.
Mohlo by vás zajímat: Sloupek Kateřiny Lhotské: Starší, uvolněte místa mladším!
Rozpoznávání a ověřování uživatelů pomocí biometrických metod není zatím v českém podnikatelském prostředí příliš rozšířené - v roce 2019 toto opatření používalo 11 % firem celkem, nejčastěji šlo již tradičně o velké subjekty (28 %).
U všech výše popsaných opatření platí, že jejich používání je typické pro subjekty ze sekce CZ NACE J nazvané Informační a komunikační činnosti, tedy konkrétně v IT odvětví, telekomunikacích a audiovizuálním sektoru.
Zajišťování povědomí o povinnostech zaměstnanců souvisejících s bezpečností ICT se ve firmách v ČR děje nejčastěji dobrovolným školením zaměstnancům, např. zveřejněním informací na intranetu. Tímto způsobem to provádí polovina firem, dvě třetiny středně velkých a 77 % velkých subjektů. Dalších 31 % podniků seznamuje své zaměstnance s jejich povinnostmi souvisejícími s bezpečností ICT na povinných kurzech nebo pomocí povinného prostudování materiálů. Povinné školení zaměstnanců praktikují dvě třetiny velkých firem v ČR. Zajištění povědomí o povinnostech souvisejících s bezpečností ICT se dají zakotvit např. do pracovní smlouvy. Tuto možnost využívá třetina subjektů v ČR, téměř polovina středně velkých firem a 52 % velkých firem.
Mohlo by vás zajímat: TOP 10 nejčtenějších článků na oPojištění.cz v roce 2019
Úkony související s bezpečností ICT vykonávali v roce 2019 častěji externisté (66 %) než vlastní zaměstnanci firem (37 %). V případě velkých subjektů s více než 250 zaměstnanci je poměr obrácený: ve velkých firmách provádějí činnosti související s bezpečností ICT častěji vlastní zaměstnanci firmy (79 %) než externisté (60 %), i když ani jejich podíl není rozhodně zanedbatelný.
Bezpečnostní dokumentaci definující opatření, postupy a procedury týkající se bezpečnosti ICT měla v roce 2019 třetina firem s 10 a více zaměstnanci v ČR. Šlo o čtvrtinu malých subjektů, více než polovinu středně velkých a 74 % velkých subjektů. Osm firem z deseti má bezpečnostní dokumentaci vytvořenou nebo naposledy aktualizovanou v posledních 12 měsících.
Bezpečnostní incidenty
S alespoň jedním bezpečnostním incidentem se v průběhu roku 2018 setkalo více než 20 % firem v ČR. Nejčastěji se jednalo o nedostupnost služeb ICT. Může jít o útok typu Denial of Service, což je typ útoku na počítač nebo síť, který způsobí přehlcení kapacity serveru obrovským množstvím požadavků a tím způsobí jeho nedostupnost. Dalším útokem může být také ransomware, který cílí na nedostupnost dat nebo celého systému a za znovuobnovení je požadováno zaplacení výkupného. S nedostupností ICT služeb se v roce 2018 setkala téměř třetina velkých firem, čtvrtina středně velkých a 14 % malých subjektů s 10 až 49 zaměstnanci.
Mezi méně časté bezpečnostní incidenty patřilo v roce 2018 zničení nebo poškození firemních dat. Setkala se s ním desetina firem v ČR, téměř pětina velkých subjektů (17 %). Ke zničení nebo poškození dat firmy může dojít např. kvůli nakažení škodlivým softwarem nebo neoprávněnému vniknutí (útok hackerů). S tímto typem bezpečnostního útoku se setkaly nejčastěji firmy působící s audiovizuálním sektoru (19 %), v elektrotechnickém či strojírenském průmyslu nebo v činnostech v oblasti IT (14 %).
Mohlo by vás zajímat: Lidé se zdravotním postižením jsou často senioři
V českém podnikatelském sektoru byl v průběhu roku 2018 útok způsobující prozrazení důvěrných údajů poměrně vzácný – zkušenost s ním přiznalo pouhé 1 % všech firem s více než 10 zaměstnanci, z velkých subjektů to bylo 5 %. Jde o moderní formy podvodů, které cílí většinou na zaměstnance s cílem získat citlivé informace. Řadí se sem např. phishing, pharming, kdy se útočník prostřednictvím falešné identity snaží získat důvěrné informace.
Proti incidentům v oblasti bezpečnosti ICT může mít firma sjednané pojištění. V případě, kdy dojde ke kybernetickému útoku, pojištění může firmě krýt škody na datech, nefunkčnost systému nebo třeba odpovědnost za újmu způsobenou únikem dat. Takové pojištění měla ale v roce 2019 sjednaná jen necelá desetina firem v ČR. Častěji měli pojištění kybernetických rizik velké subjekty (17 %) nebo středně velké firmy s 50 až 250 zaměstnanci (14 %). Podle odvětví měl o pojištění proti bezpečnostním incidentům relativně největší zájem sektor Informační a komunikační činnosti, zejména pak činnosti v oblasti IT (32 %), případně telekomunikační firmy (19 %).
Mohlo by vás zajímat: U zkoušek z pojištění lze očekávat úspěšnost 60 až 70 %
Bezmála polovina firem s 10 a více zaměstnanci v České republice má vlastní účet na sociálních sítích. Velkých firem jsou tři čtvrtiny. Za posledních 6 let se velmi výrazně navýšil počet subjektů s účtem na sociálních sítích, které prostřednictvím nich hledají nové zaměstnance.
V dnešní době jsou k internetu připojeny téměř všechny firmy s 10 a více zaměstnanci. Většina podniků měla v roce 2019 své webové stránky (83 %). Boom v posledních letech zažívá využívání sociálních médií (Facebook, LinkedIn, YouTube, Twitter, Instagram apod.).
V roce 2019 mělo účet na sociálních sítích 45 % firem v ČR. Prezentují se na nich hlavně cestovní agentury a kanceláře, mediální sektor či firmy poskytující ubytování. „Pro firmy je v posledních letech velmi lákavé hledat nové zaměstnance prostřednictvím sociálních sítí. V roce 2019 tuto možnost využilo 64 % firem s vlastním účtem na sociálních sítích,“ říká Kamila Burešová z odboru statistik rozvoje společnosti ČSÚ. Nové pracovní síly vyhledávají tímto způsobem nejčastěji velké subjekty, v roce 2019 tak činilo téměř 90 % velkých firem s profilem na sociálních sítích.
Komentáře
Přidat komentář