Mezioborové srovnání přístupu evropských organizací ke kybernetické bezpečnosti vypovídá o různorodosti, v níž lze jen obtížně hledat nějaká pravidla nebo vzorce. Geografické rozlišení ovšem napovídá, že mezi tzv. západem a východem stále rozdíly existují.
Organizace střední a východní Evropy se v otázkách priorit a překážek rozvoje kybernetické bezpečnosti stále odlišují od svých západoevropských protějšků. Nečelí úplně jiným výzvám nebo problémům. Jak dokládají data studie IDC European IT Security Survey 2021, odlišnost spočívá v míře pozornosti, kterou jim věnují, nebo ve významu, jenž jim přikládají.
„Kybernetická realita středo a východevropských podniků v podstatě kopíruje nastavení tamních ekonomik,“ říká Mark Child, analytik společnosti IDC pro oblast bezpečnosti, a doplňuje: „Častěji v nich působí subdodavatelé nadnárodních firem, kteří tvoří jen část dodavatelského řetězce. Obvykle se věnují výrobě komponent a manuálně náročnějším činnostem, méně kompletaci finálních produktů a jejich prodeji.“
Bariéry zlepšování bezpečnosti
Co brání evropským organizacím navyšovat úroveň kybernetického zabezpečení? Nedostatek finančních prostředků trápí zhruba 45 procent oslovených evropských organizací. Podstatně markantnější problém tkví v neefektivitě bezpečnostních týmů. Ty v téměř 63 procentech organizací vytěžuje údržba a správa nástrojů, a nezbývá jim čas na vyšetřování incidentů. Neporozumění nebo nezájem vedení patří také k četným překážkám. Indikovalo jej téměř 53 procent respondentů z řad zástupců evropských organizací všech oborů.
K poměrně častým tématům, jež komplikují zvyšování bezpečnostní úrovně, patří také vysoké zastoupení zastaralých systémů v provozu (47,14 %), obtížné dosahování rovnováhy mezi bezpečnostními prioritami a potřebami byznysu (46,14 %) nebo nedostatek lidí s potřebnou kvalifikací (41,57 %). „Některá témata světa podnikové kybernetické bezpečnosti se v průběhu let příliš nemění,“ říká Mark Child a dodává „Technická bezpečnostní řešení se rychle vyvíjejí, zdokonalují a firmy si je průběžně pořizují. Organizační problémy ochrany informací ale obvykle řeší výrazně pomalejším tempem.“
Bariéry rozvoje kybernetické bezpečnosti v evropských organizacích – Top 3 a vybraná odvětví
| Finanční služby | Zpracovatelský průmysl | Veřejná správa | Zdravotnictví | |
| Vytíženost bezpečnostních týmů správou a údržbou nástrojů | 58,8 % | 52,4 % | 74,1 % | 54,4 % |
| Nezájem managementu | 52,5 % | 47,6 % | 65,5 % | 56,1 % |
| Provoz zastaralých systémů | 37,5 % | 46,4 % | 53,5 % | 49,1 % |
Zdroj: European IT Security Survey 2021
Není bez zajímavosti, že nejnižší výskyt překážek pro zvyšování bezpečnostní úrovně indikovali respondenti z odvětví maloobchodu a velkoobchodu. Nejvíce bariér vygenerovali respondenti veřejné správy.
V českých organizacích jasně dominuje téma omezených či nedostatečných rozpočtů. Za jednu z překážek rozvoje kybernetické bezpečnosti je označilo 70 procent tuzemských respondentů. Polovina se potýká s nedostatkem kvalifikovaných lidí nebo s provozem zastaralých systémů.
Bariéry rozvoje kybernetické bezpečnosti v českých organizacích – Top 3 a vybrané země
| Česká republika | Německo | Polsko | |
| Omezený rozpočet | 70,0 % | 41,0 % | 71,4 % |
| Nedostatek kvalifikovaných sil | 50,0 % | 46,0 % | 17,1 % |
| Provoz zastaralých systémů | 50,0 % | 60,0 % | 42,9 % |
Zdroj: European IT Security Survey 2021
Priority bezpečnostní praxe
Mezi hlavní priority evropských organizací v oblasti provozního zajištění kybernetické bezpečnosti patří nastolení a rozvoj bezpečnostní kultury, správa uživatelů, identit a přístupů a zajištění ochrany soukromí a souladu s požadavky regulátorů. Zaměřují se ale i na řešení problému s nedostatkem kvalifikovaných lidí nebo na řízení rizik spojených s třetími stranami. „Žádné z témat podnikové praxe kybernetické bezpečnosti nemá výrazně vyšší prioritu než ostatní. Mnoho z nich organizace sdílí bez ohledu na obor jejich působení nebo velikost“, dodává Mark Child, analytik společnosti IDC.
Priority provozu kybernetické bezpečnosti v evropských organizacích – Top 3 a vybraná odvětví
| Finanční služby | Zpracovatelský průmysl | Veřejná správa | Zdravotnictví | |
| Nastolení kultury bezpečnosti | 36,3 % | 40,5 % | 34,5 % | 38,6 % |
| Správa uživatelů, identit a přístupů | 37,5 % | 39,3 % | 34,5 % | 31,6 % |
| Zajištění důvěrnosti dat a souladu s požadavky regulátorů | 32,5 % | 34,5 % | 46,6 % | 45,6 % |
Zdroj: European IT Security Survey 2021
Mezi hlavní priority českých organizací patří správa uživatelů, identit a přístupů (63,33 %) a zajištění důvěrnosti dat a souladu s požadavky regulátorů (46,67 %). Výrazně méně často se věnují problematice řízení rizik třetích stran (10 %) nebo zajištění transparentnosti v podnikovém IT prostředí (13,33 %).
Priority provozu kybernetické bezpečnosti v českých organizacích – Top 3 a vybrané země
| Česká republika | Německo | Polsko | |
| Správa uživatelů, identit a přístupů | 63,3 % | 35,0 % | 54,3 % |
| Zajištění důvěrnosti dat a souladu s požadavky regulátorů | 46,7 % | 29 ,0 % | 71,4 % |
| Řízení interních rizik | 33,33 % | 36,0 % | 22,9 % |
Zdroj: European IT Security Survey 2021
Některá kybernetická rizika evropské organizace přenášejí na další subjekty. Výrazně se totiž rozšiřuje praxe pořízení pojištění kybernetických rizik. Vloni je měla sjednána polovina dotazovaných podniků a institucí. Další čtvrtina si je hodlala uzavřít.
Co platí v Evropě, ale nemusí platit v České republice. Devět desetin tuzemských organizací, jež se zapojily do průzkumu, uzavření pojištění kybernetických rizik ani neplánuje. Sjednala si je zhruba tři procenta, dalších šest jeho pořízení plánovalo. Přístup organizací z regionu střední a východní Evropy ale není stejný. Šest procent z nich pojištění má a osmnáct procent plánuje jeho pořízení.
Rychlá doporučení
Z nejčastěji uváděných překážek rozvoje kybernetické bezpečnosti lze poměrně snadno, jakkoli zkratkovitě, odvodit i stručný výčet doporučení pro manažery bezpečnosti informací, informatiky i vedení organizací:
- Zbavte se starých systémů.
- Zapojte management do kyberbezpečnostního dění a společně budujte bezpečnostní kulturu.
- Na správu a údržbu bezpečnostních nástrojů si najměte třetí stranu.
- Vzdělávejte se!
Průzkum IDC European IT Security Survey proběhne také v letošním roce. Více informací o trendech v oblasti kybernetické bezpečnosti a o vytváření důvěry se dozvíte 17. února 2022 na konferenci IDC Security Forum 2022. Registraci můžete provést na tomto odkazu.
ꟿ
O společnosti IDC
Společnost International Data Corporation (IDC) je přední firmou zabývající se shromažďováním informací na globálním trhu, poskytováním poradenství a pořádáním konferencí v odvětví informačních technologií, telekomunikací a spotřební elektroniky. Prostřednictvím více než 1100 analytiků po celém světě nabízí společnost IDC globální, regionální i místní zkušenosti a přehled technologických a oborových příležitostí a trendů ve více než 110 zemích. Analýzy a poznatky společnosti IDC pomáhají IT specialistům, vrcholným představitelům obchodních organizací i investorské komunitě v přijímání rychlých, informovaných technologických rozhodnutí a v dosahování klíčových obchodních cílů. Společnost IDC, založená v roce 1964, je stoprocentní dceřinou společností skupiny International Data Group (IDG), přední světové společnosti, která poskytuje mediální, datové a marketingové služby. Další informace o společnosti IDC najdete na webu www.idc.com.
ꟿ