„Deloitte Touche Tohmatsu“ (DTT) atliko detalų informacijos saugos valdymo tyrimą energetikos ir gamtinių išteklių sektoriaus įmonėse, įsikūrusiose visame pasaulyje (plačiau apie atliktą tyrimą). Informacija buvo surinkta tiesioginių interviu su vyriausiais įmonės vadovais ir darbuotojais, atsakingais už informacijos saugą, metu.
Svarbu pažymėti, jog informacijos sauga yra gyvybiškai svarbi energetikos ir gamtinių išteklių sektoriui ir pastaraisiais metais įmonės šiam tikslui skiria vis didesnį dėmesį. Vis dėlto, kaip paaiškėjo atlikus tyrimą, kai kurios įmonės vis dar turi daug nuveikti, kad taptų pažangios informacijos saugos srityje.
Tyrimo tikslai
Pagrindinis šio tyrimo tikslas – pateikti energetikos ir gamtinių išteklių sektoriaus informacijos saugos apžvalgą bei išsiaiškinti, kaip šis sektorius yra pasiruošęs priimti informacijos saugos keliamus iššūkius.
Tyrimo rezultatai taip pat skirti padėti šio sektoriaus įmonėms palyginti savo naudojamus procesus, kurie užtikrina informacijos saugą, su kitose įmonėse naudojamais procesais ir perprasti skirtingus metodus. Tai suteikia įmonėms galimybę patobulinti informacijos saugą ir tokiu būdu sumažinti susijusią riziką.
Pagrindinės tyrimo išvados
Informacijos saugos rizika
Tyrimas parodė, jog energetikos ir gamtinių išteklių sektoriaus įmonės vis didesnį dėmesį skiria informacijos saugai. Septynios iš dešimties įmonių turi informacijos saugos vadovą – asmenį, atsakingą už informacijos saugą įmonėje: net 70 % jų teikia informacijos saugos ataskaitas tiesiogiai aukščiausiai įmonės vadovybei. Apklausos rezultatai parodė, jog tiktai 20 % įmonių aukščiausioji vadovybė neinformuojama apie esminius informacijos saugos pažeidimus.
Žmogiškieji ištekliai ir biudžeto apribojimai yra laikomi pagrindiniu barjeru informacijos saugai tinkamai valdyti. Dauguma įmonių neinvestuoja į darbuotojų mokymus apie informacijos saugą, tačiau pripažįsta, jog „žmogiškosios klaidos“, o ne technologijos yra pagrindinė informacinių sistemų pažeidimų priežastis. Suprantama, jog geresnis nusimanymas apie potencialius informacijos saugos pažeidimus bei jų pasekmes, įgyjamas mokymų metu, gali ženkliai sumažinti įmonių riziką.
Informacijos saugos valdymo struktūra
Tyrimas atskleidė, jog dauguma organizacijų turi patvirtintą informacijos saugos valdymo struktūrą bei strategiją. Tačiau jų įgyvendinimui gali iškilti grėsmė, kadangi daugelio įmonių aukščiausi vadovai nėra įtraukiami į šių strategijų formavimą.
Informacijos sauga – verslo partneris
Informacijos saugos procesai pradėti suvokti kaip pagrindinė priemonė, palengvinanti įmonių tikslų pasiekimą, tuo pačiu metu apsauganti įmonę nuo informacinės rizikos. Daugiau nei du trečdaliai respondentų teigia, jog jų įmonėse informacijos sauga yra suderinta su veiklos kryptimis. Tačiau tiktai pusė respondentų sutiko, kad įmonių vadovybė rodo pakankamą dėmesį informacijos saugai.
Informacijos saugos pažeidimai
Svarbu pabrėžti, jog įmonėse didėja poreikis apsaugoti informaciją nuo nutekėjimo grėsmės. Daugumoje apklaustųjų įmonių yra suvokti reikalavimai, susiję su klientų duomenų apsauga ir beveik pusė apklaustųjų sutinka, jog įmonės turėtų būti atsakingos už savo klientų duomenų apsaugą.
Informacija, pateikiama įvairiomis visuomenės informavimo priemonėmis padėjo padidinti informacijos saugos problematikos žinomumą plačioje visuomenėje. Dėl šios priežasties, įmonių klientai yra įsitikinę, ir pradeda reikalauti jog jų informacijos sauga taptų svarbiu įsipareigojimu, kurį turi prisiimti įmonės, siekdamos išlaikyti klientų pasitikėjimą.
Tyrimo metu nustatyta, kad daugelis įmonių paskutiniais metais pastebi didėjantį informacijos saugos incidentų skaičių. Nepaisant to, jog nepageidaujamų elektroninių pašto žinučių filtravimas yra įdiegtas daugelyje įmonių, daugiau nei pusė respondentų prisipažino per paskutinius 12 mėnesių nukentėję nuo el. pašto atakų. Dauguma jų pabrėžė, kad tai buvo ne vienkartinis įvykis, o nuolat pasikartojantys puolimai. Tačiau, dauguma įmonių įsitikinę, jog yra pakankamai apsaugotos nuo nepageidaujamų žinučių antplūdžio
Nepaisant to, kad antivirusinės technologijos yra visuotinai paplitusios, kitos saugos priemonės, tokios kaip lustinės kortelės ar biometrinės technologijos bei pažeidimų tyrimo įrankiai kol kas nėra plačiai taikomi.
Veiklos tęstinumo planavimas
Energetikos ir gamtinių išteklių sektoriaus įmonės užtikrina būtiniausius gyventojų poreikius. Todėl joms ypač svarbu užtikrinti veiklos tęstinumą, t. y. turėti parengtus veiklos tęstinumo planus. Tačiau tyrimas atskleidė, jog tik 45 % įmonių turi tokius planus, kurie aprašo kritinių sistemų atstatymą. Vis gi reikia pabrėžti, kad tai nėra tiktai informacijos saugos departamentų kaltė – tik 25 % įmonių aukščiausi vadovai įtraukiami į veiklos tęstinumo planavimo procesą.
Nustatyta, kad veiklos tęstinumo planavimas yra būtinas, tačiau nėra pakankamas. Planai gali prarasti savo vertę, jei jie nebus reguliariai testuojami bei darbuotojai nebus su jais supažindinami. Tyrimas parodė, jog tęstinumo planus reguliariai testuoja tik 10 % įmonių.
„Deloitte“ tyrimo rezultatų palyginimas su Lietuvoje atliktais RRT tyrimais
Palyginus šio „Deloitte“ tyrimo rezultatus su RRT atliktais pastarųjų metų Lietuvos įmonių tyrimais, matome, kad tinklų ir informacijos saugumo pažeidžiamumai, su kurias susiduriama didžiosiose pasaulio bei Lietuvos įmonėse, yra tie patys. Dažniausiai pasitaikantis pažeidžiamumas – tai nepageidaujami elektroninio pašto laiškai, antroje vietoje – kompiuteriniai virusai. Duomenų vagystės (angl. phishing) taip pat patenka į dažniausiai pasitaikančių pažeidžiamumų penketą.
Iš „Deloitte“ atlikto tyrimo matyti, kad daugelis apklaustųjų įmonių atstovų ateityje įžvelgia vis didėjantį socialinės inžinerijos, kaip išorinio pažeidžiamumo, pavojų. O įmonės viduje pagrindinis pažeidžiamumų šaltinis – žmonių klaidos.
Siekdamos apsaugoti įmonę nuo vis didėjančių ir besikeičiančių informacijos saugos grėsmių, didžiosios pasaulio įmonės, remiantis „Deloitte“ tyrimu, turi ir nuolat atnaujina informacijos saugą reglamentuojančius dokumentus, pvz., politika bei procedūros, – tokius dokumentus turi ir nuolat juos atnaujina 55 % apklaustųjų įmonių. Tuo tarpu Lietuvoje tokius dokumentus turi ir atnaujina tik 39 % apklaustųjų įmonių.
Parengta bendradarbiaujant su UAB „Deloitte Lietuva“.