Forenzní služby
Průzkum zaměřený na krádeže dat v regionu střední a východní Evropy 2012 kpmg.cz
KPMG v České republice
Už se vám někdy zdálo, že vaše konkurence ví až příliš mnoho o vašich strategických záměrech a má i další důvěrné informace?
• Mnoho respondentů (61 procent) považuje za významné riziko používání přenosných paměťových médií, jako jsou USB disky. Jen velmi málo (16 procent) jich však uvedlo, že používají opatření, jež by tomuto riziku předcházela.
Kolikrát jste už ve svých propagačních kampaních přišli o moment překvapení?
• Jako nejohroženější jsou vnímána data týkající se strategií a plánování (80 procent).
Nebo jste museli bojovat se svými konkurenty o pozemek či nemovitost, které jste si vyhlédli pro svou novou pobočku? Představte si tuto situaci: manažer na střední úrovni ve společnosti, která podniká ve spotřebním průmyslu, se nepohodne se svým nadřízeným a začne být nespokojený. Na firemním serveru nalezne návrh tříletého obchodního plánu a materiály o vývoji produktů. Uloží si je na USB a odnese domů. Do měsíce z firmy odejde a za dva měsíce začne pracovat pro jejího hlavního konkurenta. Jak moc je pravděpodobné, že se to stane ve vaší společnosti? Používáte opatření, která tomuto typu krádeže zabrání? KPMG ve střední a východní Evropě provedla v tomto regionu průzkum mezi vybranými společnostmi, které podnikají ve spotřebním průmyslu a v maloobchodě. Jeho cílem je zjistit, jak tyto firmy vnímají riziko krádeže dat a jakým způsobem mu předcházejí. Průzkum ukázal, že: • Naprostá většina respondentů (84 procent) vnímá krádež dat jako významné riziko pro své podnikání. Více než polovina respondentů (52 procent) věří, že toto riziko v příštích třech letech poroste. • Za nejpravděpodobnější pachatele krádeží dat jsou považováni zaměstnanci (64 procent), přičemž největším rizikem jsou manažeři na střední úrovni.
• Většina respondentů (59 procent) vyhodnocuje riziko krádeže dat ve své organizaci pouze neformálně a 50 procent pouze příležitostně. U nově vznikajících rizik krádeže dat by tak došlo k časové prodlevě při jejich identifikaci a řádném vyhodnocení. Účastníci průzkumu Oslovili jsme pracovníky odpovědné za informační technologie a bezpečnost ze 44 společností působících ve spotřebním průmyslu a v maloobchodě, včetně potravinářství a výroby nápojů, z devíti zemí střední a východní Evropy. Jednalo se o globální, regionální i místní společnosti, jež mají v dané zemi regionu ve svém oboru přední postavení na trhu. Většinu odpovědí (více než 90 procent) jsme získali při osobních rozhovorech. Celkové vnímání rizik Převážná většina respondentů (84 procent) považuje krádež dat za významné riziko pro své podnikání, které bude dále narůstat: • 39 procent se domnívá, že riziko krádeže dat za poslední tři roky vzrostlo (podle pouhých 14 procent respondentů se snížilo). • 52 procent je přesvědčeno, že se riziko krádeže dat bude během příštích tří let dále zvyšovat. Relativně málo respondentů uvedlo, že se stali obětí krádeže dat. Pouze devět procent naznačilo, že vědí o potvrzených případech, a jen 18 procent zmínilo podezření na krádež dat během posledních tří let. Tento relativně nízký počet případů může odrážet neochotu respondentů připustit, že k nim dochází. Je také možné, že v příslušných společnostech došlo ke krádežím dat, které nebyly odhaleny nebo vyhodnoceny jako krádež dat. Bez ohledu na počet případů je z odpovědí patrné, že firmy toto riziko vnímají jako vysoké.
© 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Problém přenosných médií Za pravděpodobný způsob krádeže dat 61 procent respondentů považuje jejich odnášení na přenosných médiích. Přesto pouze 45 procent má na koncových zařízeních ochranný software omezující používání přenosných médií a jen 16 procent užívání těchto médií monitoruje.
Zdroje rizik Přestože se většina opatření proti krádeži dat zaměřuje na riziko, které představují útočníci zvenčí, respondenti průzkumu obecně považují za její nejpravděpodobnější pachatele zaměstnance (64 procent). Při běžném chodu firmy mají zaměstnanci nevyhnutelně přístup k jejím datům, což nejspíš do značné míry ovlivňuje jejich vysokou rizikovost. Obrázek č. 1: Pravděpodobní pachatelé krádeže aut Kategorie
Procento respondentů
Zaměstnanci či bývalí zaměstnanci
64
Konkurence
45
Neznámé externí osoby (např. zloději, anonymní hackeři)
16
Dodavatelé
9
Zákazníci
9
Tabulka uvádí procento respondentů, kteří u dané kategorie zvolili hodnocení 4 nebo 5 na pětibodové škále pravděpodobnosti (1 = velmi nepravděpodobné a 5 = velmi pravděpodobné).
Respondenti z odvětví výroby nápojů označili za jednoznačně nejpravděpodobnější kategorii manažery na střední úrovni (47 procent). Může to být tím, že obvykle mají širší přístup k cenným informacím než zaměstnanci na nižších úrovních. Jako druhého nejpravděpodobnějšího pachatele krádeže dat uvedli respondenti konkurenci (45 procent). I to může souviset s nebezpečím, které představují zaměstnanci. Firmy se mohou pokoušet dostat k důvěrným informacím konkurence, aby získaly náskok a zlepšily své postavení na trhu. Může jít o informace o produktech, marketingových plánech, cenách či propagačních kampaních, výrobní specifikace, údaje o dodavatelích a odběratelích, obchodní záměry a strategie. K nim zaměstnanci při běžném provozu společnosti obvykle mají přístup, a mohou se tedy stát terčem pokusů konkurence o obchodní špionáž ve formě nekalých dohod. Řízení vnitřního rizika krádeže dat vyžaduje citlivější přístup než jiné potenciální zdroje nebezpečí. Mezi povolením přístupu zaměstnanců k informacím, které potřebují pro efektivní vykonávání svých pracovních úkolů, a ochranou těchto dat před zneužitím existuje určitý rozpor – což neplatí pro riziko neoprávněného přístupu zvenčí, jemuž se všechny organizace snaží zabránit. S rizikem zneužití informací zevnitř je však v rámci plánování řízení informačních rizik třeba počítat a odpovídajícím způsobem mu předcházet.
Vysoké riziko krádeže dat pomocí přenosných médií částečně také souvisí s tím, že v mnoha společnostech neexistují komplexní opatření ke kontrole jejich používání. Převážná většina respondentů uvedla, že se jejich společnost chrání proti externímu nebezpečí (firewally, antiviry a ochrana proti tzv. malware jsou zcela běžnou záležitostí), ale nebezpečí v podobě přenosných médií, které hrozí především zevnitř, dostatečně ošetřeno není. Obrázek č. 2: Nástroje a techniky používané k minimalizaci rizika krádeže dat Kategorie
Procento respondentů
Systémy firewall (zařízení nebo software)
98
Antivirový software
98
Antimalwarový software
93
Systémově specifická omezení přístupových práv
89
Filtry e-mailů
82
Síťové monitorovací systémy (zařízení nebo software)
80
Filtry aktivity na internetu
75
Šifrovací technologie
73
Systémy k detekci/prevenci narušení (zařízení nebo software)
64
Ochranný software na koncových zařízeních (např. omezení či monitorování používání uživatelských médií a přenosných paměťových médií)
45
Multifaktorové autentizační technologie
39
Systémy k detekci/prevenci úniku informací
18
Biometrická opatření
11
© 2012 2012KPMG KPMG Českáand republika, a Czech networkof ofindependent independent member member firms firmsaffiliated affiliatedwith withKPMG KPMGInternational InternationalCooperative Cooperative(“KPMG (“KPMG International”), a Swiss entity. All rights reserved. © Central Easterns.r.o., Europe Ltd., alimited limitedliability liabilitycompany companyand andaamember memberfirm firmof ofthe the KPMG KPMG network International”), a Swiss entity. All rights reserved.
Jedním z odvětví, která k řešení problému přenosných médií podnikla úspěšné kroky, je sektor finančních služeb, zvláště pak banky. Šifrování přenosných médií, rušení CD či DVD jednotek v počítačích včetně notebooků, omezení přístupu na síť u smartphonů – to vše má na prevenci krádeže dat velký podíl.
Jaké informace jsou ohroženy Napříč všemi odvětvími čelí vysoké hrozbě krádeže dat informace o strategii a záměrech společnosti. Spotřební průmysl na rozdíl od maloobchodu za ohrožené považuje také informace o obchodních procesech. Vysoké riziko, které respondenti přiřadili těmto typům dat, může mít dvě příčiny: tyto informace jsou velmi cenné pro konkurenty či obchodní partnery a zároveň jsou mnohdy méně přísně kontrolovány a monitorovány než informace uložené ve strukturovanější formě, jako jsou třeba záznamy ve firemním ERP systému.
100
75 % Respondents
55
60
88
90
70 % Respondents
U dat o dodavatelích, zákaznících či zaměstnancích většina respondentů nevnímá riziko krádeže jako příliš vysoké. Tyto informace totiž většinou podléhají přísnější kontrole než ostatní vzhledem k ochraně osobních údajů.
Figure 4. Types of information at highest risk of data theft
Figure 3. Monitoring measures employed by respondents 80
Výrobci ve spotřebním průmyslu a společnosti vyrábějící nápoje považují za kritické informace o aktivitách spojených se zákazníky, maloobchodní společnosti pak mají obavy spíše o informace o aktivitách na straně dodavatelů. Odpovídá to zvýšené pozornosti, kterou úřady na ochranu hospodářské soutěže v řadě jurisdikcí střední a východní Evropy věnují restriktivním obchodním praktikám, a četným kontrolám možného zneužití dominantního postavení na trhu.
52
50 40
30
30
16
20 10
80
Consumer Goods
Retailers
88
75
71
70 60 40
54
46
50 32
30
31
29
31
19
20
36 19 11
10
0 Přístup uživatelů Přístup uživatelů e-mailové User access to User access at an item Používání Use of web-based k systémům k materiálům pošty or na file bázisharing systems and reports or folder-level to email a výkazům v interním internetu nebo holding high value data material onsystému internal websites s cennými daty pro správu webových stránek document dokumentů na pro sdílení složek management systems úrovni položek
E-maily s přílohami Používání Emails with Use of removable zasílané na e-mailové přenosných médií, attachments sent to medias such as adresy na bázi jako jsou disks, přenosné web-based email removable USB internetu disky, USB apod. addresses sticks, etc.
či složek
Details about Details about about Strategie Aktivity spojené Details Obchodní company strategy supplier-side business processes a plánování s dodavateli procesy and planning activity (contracts, společnosti (smlouvy, total spend, celkový objem, product pricing, ceny produktů, discounts etc)
slevy apod.)
Details spojené about Details about Aktivity Informace customer-side employees se zákazníky o zaměstnancích activity (total (počet zákazníků, customers, total celkový objem, spend, product ceny produktů, pricing, discounts slevy etc) apod.)
Details about Informace customers
o zákaznících
Details about Informace designs o návrzích/vzorech
13
Details about Informace suppliers o dodavatelích
Note: Percentage of respondents indicating listed types of information as '4' or '5' on a 5 point likelihood scale (1 = Very Unlikely 5 = Very Likely). Split between 'retailers' and 'consumer
goods' respondents. 'Consumer goods' covers in thezvolili consumer products, food and segments. Tabulka uvádí procento respondentů, kteří urespondents dané kategorie hodnocení 4 nebo 5 nabeverages pětibodové škále pravděpodobnosti (1 = velmi nepravděpodobné a 5 = velmi pravděpodobné). Respondenti jsou rozděleni na maloobchod a spotřební zboží, přičemž spotřební zboží zahrnuje segment spotřebních výrobků, potravinářství a výroby nápojů.
© 2012 2012KPMG KPMG Českáand republika, a Czech networkof ofindependent independent member member firms firmsaffiliated affiliatedwith withKPMG KPMGInternational InternationalCooperative Cooperative(“KPMG (“KPMG International”), a Swiss entity. All rights reserved. © Central Easterns.r.o., Europe Ltd., alimited limitedliability liabilitycompany companyand andaamember memberfirm firmof ofthe the KPMG KPMG network International”), a Swiss entity. All rights reserved.
© Central Easterns.r.o., Europe Ltd., alimited limitedliability liabilitycompany companyand andaamember memberfirm firmof ofthe the KPMG KPMG network © 2012 2012KPMG KPMG Českáand republika, a Czech networkof of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Řízení rizik I když většina respondentů uvedla, že riziko krádeže dat vyhodnocují, zjevně ještě existuje prostor pro zlepšení. Většina respondentů (59 procent) posuzuje riziko neformálně a 50 procent pouze příležitostně. Velmi malá část respondentů (11 procent) uvedla, že k posuzování rizik využívají externí poradce, větší část jich pak využívá komplexní služby nezávislých poradců, kteří provádějí penetrační testy (36 procent) a pravidelné prověrky opatření zaměřených na bezpečnost a ochranu dat (43 procent). Obrázek č. 5: Vyhodnocování rizika krádeže dat Kategorie
Procento respondentů
Neformálně Formálně Nikdy
59 39 2
Příležitostně Pravidelně Průběžně Nikdy
50 34 14 2
Vlastními zdroji S využitím externích poradců Nikdy
82 11 2
Respondenti mohli zvolit všechna kritéria, která pro ně byla relevantní. Někteří respondenti tuto otázku nezodpověděli.
Tato zjištění odrážejí skutečnost, že se problematika krádeže dat celkově podceňuje. Na jedné straně je toto riziko považováno za vysoké, na druhé straně se mu věnuje málo formální pozornosti. Formální vyhodnocování přitom přináší větší výhody než neformální a stejně je tomu s pravidelným či průběžným hodnocením namísto příležitostného. Formální a pravidelné vyhodnocování rizik spíše zajistí, že se rizika prověřují systematicky a rychle se identifikují nově vznikající hrozby. Ve většině organizací je riziko krádeže dat jednou z mnoha odpovědností oddělení IT, zapojení externích specialistů na ochranu dat do procesu vyhodnocování však umožní čerpat z mnohem širšího spektra zkušeností. Kromě rizik, jež představují přenosná média, by podle respondentů bylo namístě posílit ochranu dat i v dalších oblastech. Zatímco v některých by zvýšení bezpečnosti vyžadovalo rozsáhlé investice, v jiných ho lze dosáhnout snadno: zvažte například náklady na zvýšení povědomí mezi zaměstnanci nebo vylepšení obsahu směrnic o řízení dat, jimiž se řídí zaměstnanci či třetí strany.
Obrázek č. 6: Komplexnost opatření na ochranu dat Kategorie IT opatření k zabezpečení dat odnášených zaměstnanci mimo prostory společnosti
Obrázek č. 7: Parametry směrnic o řízení dat
Procento respondentů 25
Kategorie
Procento respondentů
Vymezení povinností zaměstnanců ohledně bezpečnosti dat
91
Vymezení povinností zaměstnanců ohledně důvěrných materiálů společnosti
75
Požadavek, aby zaměstnanci uvedli souhlas se směrnicemi
75
Pravidelná oznámení pro všechny zaměstnance, která mají zvýšit jejich povědomí, a informování o odpovědnosti za ochranu dat
27
Fyzická bezpečnostní opatření chránící zdroje cenných dat vynášené zaměstnanci mimo společnost
30
Upozornění, že používání firemních IT zařízení a sítí je monitorováno
73
Pravidelné penetrační testy a etické hackerské postupy prováděné nezávislými stranami
36
Upozornění, že používání firemních IT zařízení a sítí k osobním účelům není povoleno
64
Tabulka uvádí procento respondentů, jejichž směrnice pro řízení dat zahrnují tyto parametry.
Pravidelné prověrky bezpečnostních opatření a opatření na ochranu dat, které ve společnosti provádějí nezávislé strany
43
Opatření zajišťující, aby vedoucí pracovníci a zaměstnanci odcházející ze společnosti nevynášeli citlivé informace
45
IT opatření k zabezpečení výměny dat s partnery
48
Směrnice ohledně správy a bezpečnosti dat, které se vztahují i na třetí strany a obchodní partnery
55
Firemní směrnice a postupy ohledně správy a bezpečnosti dat, které se týkají zaměstnanců
57
IT opatření omezující možnost odstranění citlivých dat zevnitř sítě
61
Fyzická bezpečnostní opatření omezující přístup do prostor, kde se spravují cenná data nebo kde je k nim přístup
73
IT opatření chránící cenná data před útoky zvenčí
80
IT opatření omezující přístup relevantních uživatelů uvnitř sítě k cenným datům
86
Závěr 30 procent respondentů vyjádřilo názor, že vzhledem k rostoucím rizikům nejsou spokojeni s opatřeními proti krádeži dat, která jejich společnost v současnosti používá. A jak je na tom vaše společnost? Oddělení Forenzních služeb pomáhá klientům při výskytu podvodného jednání. Zaměřuje se na vyšetřování podezření na krádež dat, získávání digitálních důkazů pro soudní, trestní či správní řízení, aktivní analýzy dat a prověrky systémů k odhalování podvodů. Služby IT poradenství pomáhají klientům při detailních prověrkách všech oblastí správy dat a bezpečnosti informací. Poskytují doporučení a asistenci při implementaci opatření proti zjištěným rizikům či nedostatkům v těchto oblastech.
Tabulka uvádí procento respondentů, kteří u dané kategorie zvolili hodnocení 4 nebo 5 na šestibodové škále hodnotící rozsah, v jakém daná opatření zavedli (0 = nepoužíváme a 5 = komplexní opatření).
© 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
© 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Kontakty:
Jimmy Helm Partner odpovědný za Forenzní služby ve střední a východní Evropě T: +420 222 123 430 E:
[email protected]
David Scott Partner, Advisory IT Risk Advisory Services T: +420 222 123 636 E:
[email protected] kpmg.cz
Informace zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby subjektu. Ačkoliv se snažíme zajistit, aby byly poskytované informace přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou doručeny, nebo že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace by neměla být na základě těchto informací činěna žádná opatření. © 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The KPMG name, logo and “cutting through complexity“ are registered trademarks or trademarks of KPMG International. Označení KPMG Česká republika zahrnuje všechny právní entity spojené s činností KPMG v České republice. Vytištěno v České republice. červenec 2012