Rozpočty na bezpečnost rostou, utrácejí je ale manažeři bezpečnosti moudře?
Nejvýznamnější úniky dat zveřejněné v uplynulém roce měly zjevně dopad na ochotu organizací investovat do silnějších bezpečnostních opatření. Podle nové studie konzultační společnosti BDO USA, jejíž součástí bylo i dotazování stovky finančních ředitelů (CFO) v amerických technologických společnostech, zvýšilo v posledním roce 67 % dotázaných finančních manažerů výdaje na kybernetickou bezpečnost.
Drtivá většina (90 %) těchto CFO v rámci posílení bezpečnosti nechala nasadit nové softwarové bezpečnostní nástroje (průzkum BDO realizovala společnost Market Measurement formou telefonního dotazování mezi prosincem 2014 a lednem 2015).
Přestože v průzkumu nebylo zjišťováno, do jakých typů bezpečnostních nástrojů plánují CFO investovat v letošním roce, vyplývá z něj, že téměř tři čtvrtiny (72 %) dotazovaných organizací ustavilo formální plán pro případ bezpečnostních incidentů (úniků dat), přibližně polovina (48 %) využívá trvale služby externích bezpečnostních konzultantů a 30 % obsadilo pozici CSO (chief security office – manažer pro bezpečnost). Mezi významné oblasti zájmu patří ochrana duševního vlastnictví, téměř polovina dotazovaných CFO konstatovala, že zveřejněné úniky duševního vlastnictví v jiných organizacích měly na jejich vlastní ochranu této oblasti největší vliv (následovaly změny v patentové legislativě a aktivita patentových trollů).
Management dotazovaných organizací se také obává možných online bezpečnostních hrozeb, které se mohou objevit v souvislosti s geopolitickými událostmi a změnami priorit jednotlivých zemí v rámci ochrany před možnými útoky domácích i zahraničních hackerů.
“Možná hrozba kybernetických útoků ze strany neznámých útočníků způsobila, že zejména technologické společnosti jsou ve stavu pohotovosti,” vysvětluje Aftab Jamil, partner a vedoucí sekce pro Technologie a přírodní vědy v BDO USA. “Například společnosti v USA budou muset zvládnout nejen každodenní agendu a výzvy a splnit veškeré zákonné a regulatorní požadavky, ale také výrazně rozšířit své aktivity v oblasti ochrany dat. Jen tak mohou minimalizovat rizika a zranitelnosti svých IT infrastruktur – s ohledem na to jak rychle se vyvíjejí hrozby.”
Zpráva vydaná BDO není ani zdaleka jednou, která předvídá rostoucí výdaje na informační bezpečnost. Portál CSO ve své výroční zprávě “O stavu CSO”, která vychází z online průzkumu mezi 366 profesionály v oblasti informační bezpečnosti realizovaného v roce 2014, uvádí, že vice než polovina dotazovaných manažerů (52 %) plánuje v následujících dvanácti měsících navýšení celkových rozpočtů na bezpečnost. Možnost poklesu rozpočtů uvedlo pouze 5% dotazovaných organizací. V odvětvích jako jsou finanční služby, pak nárůst rozpočtů předpokládaly více než dvě třetiny respondentů (67 %).
Konečně v průzkumu, který publikovala počátkem letošního roku společnost Piper Jaffray (ta působí jako investiční banka a věnuje se správě aktiv), se uvádí, že tři čtvrtiny ze 112 dotazovaných severoamerických CIO očekávají nárůst výdajů na bezpečnost. Ve stejném průzkumu v minulém roce to přitom bylo jen 59%.
“CIO mají zjevně obavy, zejména po řadě úniků dat, k nimž došlo v roce 2014 – což vede k nárůstu výdajů na bezpečnost,” konstatuje zpráva. Vyplývá z ní, že bezpečnost patří k hlavním výdajovým prioritám v řadě oblastí včetně mobilních zařízení, podnikových aplikací, úložišť a serverů.
Jestliže tolik průzkumů dokládá, že rozpočty na kybernetickou bezpečnost rostou, bylo by na místě očekávat, že v epidemii úniků dat (jen v minulém roce se jednalo o více než 1500 incidentů a miliardu datových záznamů) dojde k obratu, nebo alespoň zlepšení. Tak tomu, přinejmenším prozatím, ale není.
Přestože manažeři bezpečnosti nyní mají rozpočty takové, jaké chtějí, zdá se, že mají v plánu prostě utratit víc za ty samé bezpečnostní technologie. Například podle nedávné studie společnosti 451 Research jsou na prvním místě mezi bezpečnostními projekty pro příštích 12 měsíců řešení pro správu firewallů. Přesto, že žijeme v době, kdy je ochrana perimetru prakticky mrtvá, řešení pro tuto oblast mají do důchodu daleko.
Problém tkví v tom, že řada z technologií proti únikům a bezpečnostním incidentům, jež dnes používáme, vychází z těch samých bezpečnostních principů, které nebyly s to zastavit minulou epidemii úniků dat. Bezpečnost v řadě organizací je na těchto technologiích navíc až přehnaně závislá.
Podívejme se na reálná čísla. Nejprve graf ze studie 451 Research zaměřené na síťové bezpečnostní technologie, které organizace v současné době využívají.
Pokud jej porovnáte s následujícím grafem vycházejícím ze stejné studie, který ukazuje nejdůležitější projekty v oblasti informační bezpečnosti plánované pro příštích 12 měsíců, je zjevné manažeři informační bezpečnosti uvažují nadále v intencích ochrany úniků, monitoring a ochrana perimetru zůstávají v ohnisku zájmu bezpečnostních specialistů.
A o to v podstatě jde. V průběhu posledních pěti let odvětví IT bezpečnosti rostlo jako z hlediska obratu, tak co do počtu nových hráčů a služeb pro ochranu dat a informací určených pro podniky a organizace. Během oné doby byla dominantní strategií prevence průniků. Problém je ale v tom, že ona prevence se příliš neosvědčila. Možná je na čase zvolit jinou strategii.
