Průzkum zaměřený na krádeže dat v regionu střední a východní Evropy 2012

Transkript

1 Forenzní služby Průzkum zaměřený na krádeže dat v regionu střední a východní Evropy 01 kpmg.cz KPMG v České republice

2 Už se vám někdy zdálo, že vaše konkurence ví až příliš mnoho o vašich strategických záměrech a má i další důvěrné informace? Kolikrát jste už ve svých propagačních kampaních přišli o moment překvapení? Nebo jste museli bojovat se svými konkurenty o pozemek či nemovitost, které jste si vyhlédli pro svou novou pobočku? Představte si tuto situaci: manažer na střední úrovni ve společnosti, která podniká ve spotřebním průmyslu, se nepohodne se svým nadřízeným a začne být nespokojený. Na firemním serveru nalezne návrh tříletého obchodního plánu a materiály o vývoji produktů. Uloží si je na USB a odnese domů. Do měsíce z firmy odejde a za dva měsíce začne pracovat pro jejího hlavního konkurenta. Jak moc je pravděpodobné, že se to stane ve vaší společnosti? Používáte opatření, která tomuto typu krádeže zabrání? KPMG ve střední a východní Evropě provedla v tomto regionu průzkum mezi vybranými společnostmi, které podnikají ve spotřebním průmyslu a v maloobchodě. Jeho cílem je zjistit, jak tyto firmy vnímají riziko krádeže dat a jakým způsobem mu předcházejí. Průzkum ukázal, že: Naprostá většina (84 procent) vnímá krádež dat jako významné riziko pro své podnikání. Více než polovina (5 procent) věří, že toto riziko v příštích třech letech poroste. Za nejpravděpodobnější pachatele krádeží dat jsou považováni zaměstnanci (64 procent), přičemž největším rizikem jsou manažeři na střední úrovni. Mnoho (61 procent) považuje za významné riziko používání přenosných paměťových médií, jako jsou USB disky. Jen velmi málo (16 procent) jich však uvedlo, že používají opatření, jež by tomuto riziku předcházela. Jako nejohroženější jsou vnímána data týkající se strategií a plánování ( procent). Většina (59 procent) vyhodnocuje riziko krádeže dat ve své organizaci pouze neformálně a procent pouze příležitostně. U nově vznikajících rizik krádeže dat by tak došlo k časové prodlevě při jejich identifikaci a řádném vyhodnocení. Účastníci průzkumu Oslovili jsme pracovníky odpovědné za informační technologie a bezpečnost ze 44 společností působících ve spotřebním průmyslu a v maloobchodě, včetně potravinářství a výroby nápojů, z devíti zemí střední a východní Evropy. Jednalo se o globální, regionální i místní společnosti, jež mají v dané zemi regionu ve svém oboru přední postavení na trhu. Většinu odpovědí (více než 90 procent) jsme získali při osobních rozhovorech. Celkové vnímání rizik Převážná většina (84 procent) považuje krádež dat za významné riziko pro své podnikání, které bude dále narůstat: 39 procent se domnívá, že riziko krádeže dat za poslední tři roky vzrostlo (podle pouhých 14 procent se snížilo). 5 procent je přesvědčeno, že se riziko krádeže dat bude během příštích tří let dále zvyšovat. Relativně málo uvedlo, že se stali obětí krádeže dat. Pouze devět procent naznačilo, že vědí o potvrzených případech, a jen 18 procent zmínilo podezření na krádež dat během posledních tří let. Tento relativně nízký počet případů může odrážet neochotu připustit, že k nim dochází. Je také možné, že v příslušných společnostech došlo ke krádežím dat, které nebyly odhaleny nebo vyhodnoceny jako krádež dat. Bez ohledu na počet případů je z odpovědí patrné, že firmy toto riziko vnímají jako vysoké. Zdroje rizik Přestože se většina opatření proti krádeži dat zaměřuje na riziko, které představují útočníci zvenčí, respondenti průzkumu obecně považují za její nejpravděpodobnější pachatele zaměstnance (64 procent). Při běžném chodu firmy mají zaměstnanci nevyhnutelně přístup k jejím datům, což nejspíš do značné míry ovlivňuje jejich vysokou rizikovost. Obrázek č. 1: Pravděpodobní pachatelé krádeže aut Zaměstnanci či bývalí zaměstnanci 64 Konkurence 45 Neznámé externí osoby (např. zloději, anonymní hackeři) 16 Dodavatelé 9 Zákazníci 9 Tabulka uvádí procento, kteří u dané kategorie zvolili hodnocení 4 nebo 5 na pětibodové škále pravděpodobnosti (1 = velmi nepravděpodobné a 5 = velmi pravděpodobné). Respondenti z odvětví výroby nápojů označili za jednoznačně nejpravděpodobnější kategorii manažery na střední úrovni (47 procent). Může to být tím, že obvykle mají širší přístup k cenným informacím než zaměstnanci na nižších úrovních. Jako druhého nejpravděpodobnějšího pachatele krádeže dat uvedli respondenti konkurenci (45 procent). I to může souviset s nebezpečím, které představují zaměstnanci. Firmy se mohou pokoušet dostat k důvěrným informacím konkurence, aby získaly náskok a zlepšily své postavení na trhu. Může jít o informace o produktech, marketingových plánech, cenách či propagačních kampaních, výrobní specifikace, údaje o dodavatelích a odběratelích, obchodní záměry a strategie. K nim zaměstnanci při běžném provozu společnosti obvykle mají přístup, a mohou se tedy stát terčem pokusů konkurence o obchodní špionáž ve formě nekalých dohod. Řízení vnitřního rizika krádeže dat vyžaduje citlivější přístup než jiné potenciální zdroje nebezpečí. Mezi povolením přístupu zaměstnanců k informacím, které potřebují pro efektivní vykonávání svých pracovních úkolů, a ochranou těchto dat před zneužitím existuje určitý rozpor což neplatí pro riziko neoprávněného přístupu zvenčí, jemuž se všechny organizace snaží zabránit. S rizikem zneužití informací zevnitř je však v rámci plánování řízení informačních rizik třeba počítat a odpovídajícím způsobem mu předcházet. Problém přenosných médií Za pravděpodobný způsob krádeže dat 61 procent považuje jejich odnášení na přenosných médiích. Přesto pouze 45 procent má na koncových zařízeních ochranný software omezující používání přenosných médií a jen 16 procent užívání těchto médií monitoruje. Vysoké riziko krádeže dat pomocí přenosných médií částečně také souvisí s tím, že v mnoha společnostech neexistují komplexní opatření ke kontrole jejich používání. Převážná většina uvedla, že se jejich společnost chrání proti externímu nebezpečí (firewally, antiviry a ochrana proti tzv. malware jsou zcela běžnou záležitostí), ale nebezpečí v podobě přenosných médií, které hrozí především zevnitř, dostatečně ošetřeno není. Obrázek č. : Nástroje a techniky používané k minimalizaci rizika krádeže dat Systémy firewall 98 Antivirový software 98 Antimalwarový software 93 Systémově specifická omezení přístupových práv 89 Filtry ů 8 Síťové monitorovací systémy Filtry aktivity na internetu Šifrovací technologie 73 Systémy k detekci/prevenci narušení 64 Ochranný software na koncových zařízeních (např. omezení či monitorování používání uživatelských 45 médií a přenosných paměťových médií) Multifaktorové autentizační technologie 39 Systémy k detekci/prevenci úniku informací 18 Biometrická opatření KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 01 KPMG Central Česká and republika, Eastern s.r.o., Europe a Czech Ltd., a limited liability company and a a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. International ), a Swiss entity. All rights reserved.

3 Jedním z odvětví, která k řešení problému přenosných médií podnikla úspěšné kroky, je sektor finančních služeb, zvláště pak banky. Šifrování přenosných médií, rušení CD či DVD jednotek v počítačích včetně notebooků, omezení přístupu na síť u smartphonů to vše má na prevenci krádeže dat velký podíl. Jaké informace jsou ohroženy Napříč všemi odvětvími čelí vysoké hrozbě krádeže dat informace o strategii a záměrech společnosti. Spotřební průmysl na rozdíl od maloobchodu za ohrožené považuje také informace o obchodních procesech. Vysoké riziko, které respondenti přiřadili těmto typům dat, může mít dvě příčiny: tyto informace jsou velmi cenné pro konkurenty či obchodní partnery a zároveň jsou mnohdy méně přísně kontrolovány a monitorovány než informace uložené ve strukturovanější formě, jako jsou třeba záznamy ve firemním ERP systému. Výrobci ve spotřebním průmyslu a společnosti vyrábějící nápoje považují za kritické informace o aktivitách spojených se zákazníky, maloobchodní společnosti pak mají obavy spíše o informace o aktivitách na straně dodavatelů. Odpovídá to zvýšené pozornosti, kterou úřady na ochranu hospodářské soutěže v řadě jurisdikcí střední a východní Evropy věnují restriktivním obchodním praktikám, a četným kontrolám možného zneužití dominantního postavení na trhu. U dat o dodavatelích, zákaznících či zaměstnancích většina nevnímá riziko krádeže jako příliš vysoké. Tyto informace totiž většinou podléhají přísnější kontrole než ostatní vzhledem k ochraně osobních údajů. Figure 3. Monitoring measures employed by respondents % Respondents Přístup User access uživatelů to User Přístup access uživatelů an item systems k systémům and reports or k materiálům folder-level to holding a výkazům high value data material v interním on systému internal s cennými daty pro správu dokumentů document na management úrovni položek systems či složek Používání Use of web-based ové pošty or na file bázi sharing internetu websites nebo webových stránek pro sdílení složek y s s přílohami with attachments zasílané na ové sent to adresy na bázi web-based internetu addresses 16 Use Používání of removable přenosných medias such médií, as removable jako jsou disks, přenosné USB disky, USB apod. sticks, etc. Figure 4. Types of information at highest risk of data theft % Respondents Consumer Goods Retailers Strategie Aktivity spojené Obchodní Aktivity spojené company strategy supplier-side business processes customer-side employees customers designs suppliers a plánování s dodavateli procesy se zákazníky o zaměstnancích o zákaznících o návrzích/vzorech o dodavatelích and planning activity (contracts, activity (total společnosti (smlouvy, (počet zákazníků, total spend, customers, total celkový objem, celkový objem, product pricing, spend, product ceny produktů, ceny produktů, discounts etc) pricing, discounts slevy apod.) slevy etc) apod.) Note: Percentage of respondents indicating listed types of information as '4' or '5' on a 5 point likelihood scale (1 = Very Unlikely 5 = Very Likely). Split between 'retailers' and 'consumer Tabulka goods' respondents. uvádí procento 'Consumer, goods' covers kteří u respondents dané kategorie in the zvolili consumer hodnocení products, 4 nebo food and 5 na beverages pětibodové segments. škále pravděpodobnosti (1 = velmi nepravděpodobné a 5 = velmi pravděpodobné). Respondenti jsou rozděleni na maloobchod a spotřební zboží, přičemž spotřební zboží zahrnuje segment spotřebních výrobků, potravinářství a výroby nápojů. 01 KPMG Central Česká and republika, Eastern s.r.o., Europe a Czech Ltd., a limited liability company and a a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 01 KPMG Central Česká and republika, Eastern s.r.o., Europe a Czech Ltd., a limited liability company and a a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. International ), a Swiss entity. All rights reserved. independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

4 Řízení rizik I když většina uvedla, že riziko krádeže dat vyhodnocují, zjevně ještě existuje prostor pro zlepšení. Většina (59 procent) posuzuje riziko neformálně a procent pouze příležitostně. Velmi malá část (11 procent) uvedla, že k posuzování rizik využívají externí poradce, větší část jich pak využívá komplexní služby nezávislých poradců, kteří provádějí penetrační testy (36 procent) a pravidelné prověrky opatření zaměřených na bezpečnost a ochranu dat (43 procent). Obrázek č. 5: Vyhodnocování rizika krádeže dat Neformálně Formálně Příležitostně Pravidelně Průběžně Vlastními zdroji S využitím externích poradců Respondenti mohli zvolit všechna kritéria, která pro ně byla relevantní. Někteří respondenti tuto otázku nezodpověděli Tato zjištění odrážejí skutečnost, že se problematika krádeže dat celkově podceňuje. Na jedné straně je toto riziko považováno za vysoké, na druhé straně se mu věnuje málo formální pozornosti. Formální vyhodnocování přitom přináší větší výhody než neformální a stejně je tomu s pravidelným či průběžným hodnocením namísto příležitostného. Formální a pravidelné vyhodnocování rizik spíše zajistí, že se rizika prověřují systematicky a rychle se identifikují nově vznikající hrozby. Ve většině organizací je riziko krádeže dat jednou z mnoha odpovědností oddělení IT, zapojení externích specialistů na ochranu dat do procesu vyhodnocování však umožní čerpat z mnohem širšího spektra zkušeností. Kromě rizik, jež představují přenosná média, by podle bylo namístě posílit ochranu dat i v dalších oblastech. Zatímco v některých by zvýšení bezpečnosti vyžadovalo rozsáhlé investice, v jiných ho lze dosáhnout snadno: zvažte například náklady na zvýšení povědomí mezi zaměstnanci nebo vylepšení obsahu směrnic o řízení dat, jimiž se řídí zaměstnanci či třetí strany. Obrázek č. 6: Komplexnost opatření na ochranu dat IT opatření k zabezpečení dat odnášených zaměstnanci mimo 5 prostory společnosti Pravidelná oznámení pro všechny zaměstnance, která mají zvýšit 7 jejich povědomí, a informování o odpovědnosti za ochranu dat Fyzická bezpečnostní opatření chránící zdroje cenných dat vynášené zaměstnanci mimo společnost Pravidelné penetrační testy a etické hackerské postupy prováděné 36 nezávislými stranami Pravidelné prověrky bezpečnostních opatření a opatření na ochranu dat, 43 které ve společnosti provádějí nezávislé strany Opatření zajišťující, aby vedoucí pracovníci a zaměstnanci odcházející ze 45 společnosti nevynášeli citlivé informace IT opatření k zabezpečení výměny dat 48 s partnery Směrnice ohledně správy a bezpečnosti dat, které se vztahují i na třetí strany 55 a obchodní partnery Firemní směrnice a postupy ohledně správy a bezpečnosti dat, které se týkají zaměstnanců IT opatření omezující možnost odstranění citlivých dat zevnitř sítě Fyzická bezpečnostní opatření omezující přístup do prostor, kde se spravují cenná data nebo kde je k nim přístup IT opatření chránící cenná data před útoky zvenčí IT opatření omezující přístup relevantních uživatelů uvnitř sítě k cenným datům Tabulka uvádí procento, kteří u dané kategorie zvolili hodnocení 4 nebo 5 na šestibodové škále hodnotící rozsah, v jakém daná opatření zavedli (0 = nepoužíváme a 5 = komplexní opatření) Obrázek č. 7: Parametry směrnic o řízení dat Vymezení povinností zaměstnanců 91 ohledně bezpečnosti dat Vymezení povinností zaměstnanců ohledně důvěrných materiálů společnosti Požadavek, aby zaměstnanci uvedli souhlas se směrnicemi Upozornění, že používání firemních IT 73 zařízení a sítí je monitorováno Upozornění, že používání firemních IT zařízení a sítí k osobním účelům není 64 povoleno Tabulka uvádí procento, jejichž směrnice pro řízení dat zahrnují tyto parametry. Závěr procent vyjádřilo názor, že vzhledem k rostoucím rizikům nejsou spokojeni s opatřeními proti krádeži dat, která jejich společnost v současnosti používá. A jak je na tom vaše společnost? Oddělení Forenzních služeb pomáhá klientům při výskytu podvodného jednání. Zaměřuje se na vyšetřování podezření na krádež dat, získávání digitálních důkazů pro soudní, trestní či správní řízení, aktivní analýzy dat a prověrky systémů k odhalování podvodů. Služby IT poradenství pomáhají klientům při detailních prověrkách všech oblastí správy dat a bezpečnosti informací. Poskytují doporučení a asistenci při implementaci opatření proti zjištěným rizikům či nedostatkům v těchto oblastech. 01 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 01 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

5 Kontakty: Jimmy Helm Partner odpovědný za Forenzní služby ve střední a východní Evropě T: E: jhelm@kpmg.com David Scott Partner, Advisory IT Risk Advisory Services T: E: dscott5@kpmg.com kpmg.cz zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby subjektu. Ačkoliv se snažíme zajistit, aby byly poskytované informace přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou doručeny, nebo že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace by neměla být na základě těchto informací činěna žádná opatření. 01 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International. Označení KPMG Česká republika zahrnuje všechny právní entity spojené s činností KPMG v České republice. Vytištěno v České republice. červenec 01