18 - KPMG

Forenzní služby
Průzkum zaměřený na krádeže dat v regionu střední a východní Evropy
2012
kpmg.cz
KPMG v České republice
Už se vám někdy zdálo, že vaše konkurence
ví až příliš mnoho o vašich strategických
záměrech a má i další důvěrné informace?
• Mnoho respondentů (61 procent) považuje za významné
riziko používání přenosných paměťových médií, jako jsou
USB disky. Jen velmi málo (16 procent) jich však uvedlo,
že používají opatření, jež by tomuto riziku předcházela.
Kolikrát jste už ve svých propagačních
kampaních přišli o moment překvapení?
• Jako nejohroženější jsou vnímána data týkající se strategií
a plánování (80 procent).
Nebo jste museli bojovat se svými konkurenty
o pozemek či nemovitost, které jste si vyhlédli
pro svou novou pobočku?
Představte si tuto situaci: manažer na střední úrovni ve
společnosti, která podniká ve spotřebním průmyslu, se
nepohodne se svým nadřízeným a začne být nespokojený.
Na firemním serveru nalezne návrh tříletého obchodního
plánu a materiály o vývoji produktů. Uloží si je na USB
a odnese domů. Do měsíce z firmy odejde a za dva měsíce
začne pracovat pro jejího hlavního konkurenta.
Jak moc je pravděpodobné, že se to stane ve vaší
společnosti? Používáte opatření, která tomuto typu
krádeže zabrání?
KPMG ve střední a východní Evropě provedla v tomto
regionu průzkum mezi vybranými společnostmi, které
podnikají ve spotřebním průmyslu a v maloobchodě.
Jeho cílem je zjistit, jak tyto firmy vnímají riziko krádeže
dat a jakým způsobem mu předcházejí.
Průzkum ukázal, že:
•Naprostá většina respondentů (84 procent) vnímá krádež
dat jako významné riziko pro své podnikání. Více než
polovina respondentů (52 procent) věří, že toto riziko
v příštích třech letech poroste.
• Za nejpravděpodobnější pachatele krádeží dat jsou
považováni zaměstnanci (64 procent), přičemž největším
rizikem jsou manažeři na střední úrovni.
• Většina respondentů (59 procent) vyhodnocuje riziko
krádeže dat ve své organizaci pouze neformálně
a 50 procent pouze příležitostně. U nově vznikajících
rizik krádeže dat by tak došlo k časové prodlevě při jejich
identifikaci a řádném vyhodnocení.
Účastníci průzkumu
Oslovili jsme pracovníky odpovědné za informační
technologie a bezpečnost ze 44 společností působících
ve spotřebním průmyslu a v maloobchodě, včetně
potravinářství a výroby nápojů, z devíti zemí střední
a východní Evropy. Jednalo se o globální, regionální
i místní společnosti, jež mají v dané zemi regionu ve svém
oboru přední postavení na trhu. Většinu odpovědí (více než
90 procent) jsme získali při osobních rozhovorech.
Celkové vnímání rizik
Převážná většina respondentů (84 procent) považuje krádež
dat za významné riziko pro své podnikání, které bude dále
narůstat:
• 39 procent se domnívá, že riziko krádeže dat za poslední
tři roky vzrostlo (podle pouhých 14 procent respondentů
se snížilo).
• 52 procent je přesvědčeno, že se riziko krádeže dat bude
během příštích tří let dále zvyšovat.
Relativně málo respondentů uvedlo, že se stali obětí krádeže
dat. Pouze devět procent naznačilo, že vědí o potvrzených
případech, a jen 18 procent zmínilo podezření na krádež dat
během posledních tří let.
Tento relativně nízký počet případů může odrážet neochotu
respondentů připustit, že k nim dochází. Je také možné, že
v příslušných společnostech došlo ke krádežím dat, které
nebyly odhaleny nebo vyhodnoceny jako krádež dat. Bez
ohledu na počet případů je z odpovědí patrné, že firmy toto
riziko vnímají jako vysoké.
© 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms
affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Problém přenosných médií
Za pravděpodobný způsob krádeže dat 61 procent
respondentů považuje jejich odnášení na přenosných
médiích. Přesto pouze 45 procent má na koncových
zařízeních ochranný software omezující používání
přenosných médií a jen 16 procent užívání těchto
médií monitoruje.
Zdroje rizik
Přestože se většina opatření proti krádeži dat zaměřuje
na riziko, které představují útočníci zvenčí, respondenti
průzkumu obecně považují za její nejpravděpodobnější
pachatele zaměstnance (64 procent). Při běžném chodu
firmy mají zaměstnanci nevyhnutelně přístup k jejím
datům, což nejspíš do značné míry ovlivňuje jejich
vysokou rizikovost.
Obrázek č. 1: Pravděpodobní pachatelé krádeže aut
Kategorie
Procento
respondentů
Zaměstnanci či bývalí zaměstnanci
64
Konkurence
45
Neznámé externí osoby
(např. zloději, anonymní hackeři)
16
Dodavatelé
9
Zákazníci
9
Tabulka uvádí procento respondentů, kteří u dané kategorie zvolili hodnocení
4 nebo 5 na pětibodové škále pravděpodobnosti (1 = velmi nepravděpodobné
a 5 = velmi pravděpodobné).
Respondenti z odvětví výroby nápojů označili za jednoznačně
nejpravděpodobnější kategorii manažery na střední úrovni
(47 procent). Může to být tím, že obvykle mají širší přístup
k cenným informacím než zaměstnanci na nižších úrovních.
Jako druhého nejpravděpodobnějšího pachatele krádeže
dat uvedli respondenti konkurenci (45 procent). I to může
souviset s nebezpečím, které představují zaměstnanci.
Firmy se mohou pokoušet dostat k důvěrným informacím
konkurence, aby získaly náskok a zlepšily své postavení na
trhu. Může jít o informace o produktech, marketingových
plánech, cenách či propagačních kampaních, výrobní
specifikace, údaje o dodavatelích a odběratelích, obchodní
záměry a strategie. K nim zaměstnanci při běžném provozu
společnosti obvykle mají přístup, a mohou se tedy stát
terčem pokusů konkurence o obchodní špionáž ve formě
nekalých dohod.
Řízení vnitřního rizika krádeže dat vyžaduje citlivější přístup
než jiné potenciální zdroje nebezpečí. Mezi povolením
přístupu zaměstnanců k informacím, které potřebují pro
efektivní vykonávání svých pracovních úkolů, a ochranou
těchto dat před zneužitím existuje určitý rozpor – což neplatí
pro riziko neoprávněného přístupu zvenčí, jemuž se všechny
organizace snaží zabránit. S rizikem zneužití informací zevnitř
je však v rámci plánování řízení informačních rizik třeba
počítat a odpovídajícím způsobem mu předcházet.
Vysoké riziko krádeže dat pomocí přenosných médií
částečně také souvisí s tím, že v mnoha společnostech
neexistují komplexní opatření ke kontrole jejich používání.
Převážná většina respondentů uvedla, že se jejich
společnost chrání proti externímu nebezpečí (firewally,
antiviry a ochrana proti tzv. malware jsou zcela běžnou
záležitostí), ale nebezpečí v podobě přenosných médií,
které hrozí především zevnitř, dostatečně ošetřeno není.
Obrázek č. 2: Nástroje a techniky používané k minimalizaci rizika krádeže dat
Kategorie
Procento
respondentů
Systémy firewall
(zařízení nebo software)
98
Antivirový software
98
Antimalwarový software
93
Systémově specifická omezení
přístupových práv
89
Filtry e-mailů
82
Síťové monitorovací systémy
(zařízení nebo software)
80
Filtry aktivity na internetu
75
Šifrovací technologie
73
Systémy k detekci/prevenci narušení
(zařízení nebo software)
64
Ochranný software na koncových
zařízeních (např. omezení či
monitorování používání uživatelských
médií a přenosných paměťových
médií)
45
Multifaktorové autentizační
technologie
39
Systémy k detekci/prevenci úniku
informací
18
Biometrická opatření
11
© 2012
2012KPMG
KPMG
Českáand
republika,
a Czech
networkof
ofindependent
independent member
member firms
firmsaffiliated
affiliatedwith
withKPMG
KPMGInternational
InternationalCooperative
Cooperative(“KPMG
(“KPMG International”), a Swiss entity. All rights reserved.
©
Central
Easterns.r.o.,
Europe
Ltd., alimited
limitedliability
liabilitycompany
companyand
andaamember
memberfirm
firmof
ofthe
the KPMG
KPMG network
International”), a Swiss entity. All rights reserved.
Jedním z odvětví, která k řešení problému přenosných médií
podnikla úspěšné kroky, je sektor finančních služeb, zvláště
pak banky. Šifrování přenosných médií, rušení CD či DVD
jednotek v počítačích včetně notebooků, omezení přístupu
na síť u smartphonů – to vše má na prevenci krádeže dat
velký podíl.
Jaké informace jsou ohroženy
Napříč všemi odvětvími čelí vysoké hrozbě krádeže dat
informace o strategii a záměrech společnosti. Spotřební
průmysl na rozdíl od maloobchodu za ohrožené považuje
také informace o obchodních procesech. Vysoké riziko, které
respondenti přiřadili těmto typům dat, může mít dvě příčiny:
tyto informace jsou velmi cenné pro konkurenty či obchodní
partnery a zároveň jsou mnohdy méně přísně kontrolovány
a monitorovány než informace uložené ve strukturovanější
formě, jako jsou třeba záznamy ve firemním ERP systému.
100
75
% Respondents
55
60
88
90
70
% Respondents
U dat o dodavatelích, zákaznících či zaměstnancích většina
respondentů nevnímá riziko krádeže jako příliš vysoké. Tyto
informace totiž většinou podléhají přísnější kontrole než
ostatní vzhledem k ochraně osobních údajů.
Figure 4. Types of information at highest risk of data theft
Figure 3. Monitoring measures employed by respondents
80
Výrobci ve spotřebním průmyslu a společnosti vyrábějící
nápoje považují za kritické informace o aktivitách spojených
se zákazníky, maloobchodní společnosti pak mají obavy spíše
o informace o aktivitách na straně dodavatelů. Odpovídá to
zvýšené pozornosti, kterou úřady na ochranu hospodářské
soutěže v řadě jurisdikcí střední a východní Evropy věnují
restriktivním obchodním praktikám, a četným kontrolám
možného zneužití dominantního postavení na trhu.
52
50
40
30
30
16
20
10
80
Consumer Goods
Retailers
88
75
71
70
60
40
54
46
50
32
30
31
29
31
19
20
36
19
11
10
0
Přístup
uživatelů
Přístup
uživatelů
e-mailové
User access
to
User
access
at an item Používání
Use of web-based
k systémům
k materiálům
pošty or
na file
bázisharing
systems
and reports
or
folder-level to
email
a výkazům
v interním
internetu
nebo
holding
high value data material
onsystému
internal
websites
s cennými daty
pro správu
webových stránek
document
dokumentů
na
pro sdílení složek
management
systems
úrovni položek
E-maily
s přílohami
Používání
Emails
with
Use
of removable
zasílané na e-mailové
přenosných
médií,
attachments
sent to
medias such
as
adresy na bázi
jako jsou disks,
přenosné
web-based email
removable
USB
internetu
disky, USB apod.
addresses
sticks, etc.
či složek
Details
about
Details about
about
Strategie
Aktivity
spojené Details
Obchodní
company strategy
supplier-side business processes
a plánování
s dodavateli
procesy
and planning
activity (contracts,
společnosti
(smlouvy,
total spend,
celkový objem,
product pricing,
ceny
produktů,
discounts etc)
slevy apod.)
Details spojené
about
Details about
Aktivity
Informace
customer-side
employees
se
zákazníky
o zaměstnancích
activity (total
(počet zákazníků,
customers, total
celkový objem,
spend, product
ceny
produktů,
pricing, discounts
slevy etc)
apod.)
Details
about
Informace
customers
o zákaznících
Details about
Informace
designs
o návrzích/vzorech
13
Details about
Informace
suppliers
o dodavatelích
Note: Percentage of respondents indicating listed types of information as '4' or '5' on a 5 point likelihood scale (1 = Very Unlikely 5 = Very Likely). Split between 'retailers' and 'consumer
goods' respondents.
'Consumer
goods' covers
in thezvolili
consumer
products,
food and
segments.
Tabulka
uvádí procento
respondentů,
kteří urespondents
dané kategorie
hodnocení
4 nebo
5 nabeverages
pětibodové
škále pravděpodobnosti (1 = velmi nepravděpodobné a 5 = velmi
pravděpodobné). Respondenti jsou rozděleni na maloobchod a spotřební zboží, přičemž spotřební zboží zahrnuje segment spotřebních výrobků, potravinářství a výroby nápojů.
© 2012
2012KPMG
KPMG
Českáand
republika,
a Czech
networkof
ofindependent
independent member
member firms
firmsaffiliated
affiliatedwith
withKPMG
KPMGInternational
InternationalCooperative
Cooperative(“KPMG
(“KPMG International”), a Swiss entity. All rights reserved.
©
Central
Easterns.r.o.,
Europe
Ltd., alimited
limitedliability
liabilitycompany
companyand
andaamember
memberfirm
firmof
ofthe
the KPMG
KPMG network
International”), a Swiss entity. All rights reserved.
©
Central
Easterns.r.o.,
Europe
Ltd., alimited
limitedliability
liabilitycompany
companyand
andaamember
memberfirm
firmof
ofthe
the KPMG
KPMG network
© 2012
2012KPMG
KPMG
Českáand
republika,
a Czech
networkof
of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights
reserved.
Řízení rizik
I když většina respondentů uvedla, že riziko krádeže dat
vyhodnocují, zjevně ještě existuje prostor pro zlepšení.
Většina respondentů (59 procent) posuzuje riziko
neformálně a 50 procent pouze příležitostně. Velmi malá
část respondentů (11 procent) uvedla, že k posuzování
rizik využívají externí poradce, větší část jich pak využívá
komplexní služby nezávislých poradců, kteří provádějí
penetrační testy (36 procent) a pravidelné prověrky opatření
zaměřených na bezpečnost a ochranu dat (43 procent).
Obrázek č. 5: Vyhodnocování rizika krádeže dat
Kategorie
Procento
respondentů
Neformálně
Formálně
Nikdy
59
39
2
Příležitostně
Pravidelně
Průběžně
Nikdy
50
34
14
2
Vlastními zdroji
S využitím externích poradců
Nikdy
82
11
2
Respondenti mohli zvolit všechna kritéria, která pro ně byla relevantní.
Někteří respondenti tuto otázku nezodpověděli.
Tato zjištění odrážejí skutečnost, že se problematika krádeže
dat celkově podceňuje. Na jedné straně je toto riziko
považováno za vysoké, na druhé straně se mu věnuje málo
formální pozornosti. Formální vyhodnocování přitom přináší
větší výhody než neformální a stejně je tomu s pravidelným
či průběžným hodnocením namísto příležitostného. Formální
a pravidelné vyhodnocování rizik spíše zajistí, že se rizika
prověřují systematicky a rychle se identifikují nově vznikající
hrozby. Ve většině organizací je riziko krádeže dat jednou
z mnoha odpovědností oddělení IT, zapojení externích
specialistů na ochranu dat do procesu vyhodnocování však
umožní čerpat z mnohem širšího spektra zkušeností.
Kromě rizik, jež představují přenosná média, by podle
respondentů bylo namístě posílit ochranu dat i v dalších
oblastech. Zatímco v některých by zvýšení bezpečnosti
vyžadovalo rozsáhlé investice, v jiných ho lze dosáhnout
snadno: zvažte například náklady na zvýšení povědomí mezi
zaměstnanci nebo vylepšení obsahu směrnic o řízení dat,
jimiž se řídí zaměstnanci či třetí strany.
Obrázek č. 6: Komplexnost opatření na ochranu dat
Kategorie
IT opatření k zabezpečení dat
odnášených zaměstnanci mimo
prostory společnosti
Obrázek č. 7: Parametry směrnic o řízení dat
Procento
respondentů
25
Kategorie
Procento
respondentů
Vymezení povinností zaměstnanců
ohledně bezpečnosti dat
91
Vymezení povinností zaměstnanců
ohledně důvěrných materiálů
společnosti
75
Požadavek, aby zaměstnanci uvedli
souhlas se směrnicemi
75
Pravidelná oznámení pro všechny
zaměstnance, která mají zvýšit
jejich povědomí, a informování
o odpovědnosti za ochranu dat
27
Fyzická bezpečnostní opatření
chránící zdroje cenných dat vynášené
zaměstnanci mimo společnost
30
Upozornění, že používání firemních IT
zařízení a sítí je monitorováno
73
Pravidelné penetrační testy a etické
hackerské postupy prováděné
nezávislými stranami
36
Upozornění, že používání firemních IT
zařízení a sítí k osobním účelům není
povoleno
64
Tabulka uvádí procento respondentů, jejichž směrnice pro řízení dat zahrnují
tyto parametry.
Pravidelné prověrky bezpečnostních
opatření a opatření na ochranu dat,
které ve společnosti provádějí
nezávislé strany
43
Opatření zajišťující, aby vedoucí
pracovníci a zaměstnanci odcházející ze
společnosti nevynášeli citlivé informace
45
IT opatření k zabezpečení výměny dat
s partnery
48
Směrnice ohledně správy a bezpečnosti
dat, které se vztahují i na třetí strany
a obchodní partnery
55
Firemní směrnice a postupy ohledně
správy a bezpečnosti dat, které se týkají
zaměstnanců
57
IT opatření omezující možnost
odstranění citlivých dat zevnitř sítě
61
Fyzická bezpečnostní opatření omezující
přístup do prostor, kde se spravují
cenná data nebo kde je k nim přístup
73
IT opatření chránící cenná data před
útoky zvenčí
80
IT opatření omezující přístup
relevantních uživatelů uvnitř sítě
k cenným datům
86
Závěr
30 procent respondentů vyjádřilo názor, že vzhledem
k rostoucím rizikům nejsou spokojeni s opatřeními proti
krádeži dat, která jejich společnost v současnosti používá.
A jak je na tom vaše společnost?
Oddělení Forenzních služeb pomáhá klientům při
výskytu podvodného jednání. Zaměřuje se na vyšetřování
podezření na krádež dat, získávání digitálních důkazů pro
soudní, trestní či správní řízení, aktivní analýzy dat a prověrky
systémů k odhalování podvodů.
Služby IT poradenství pomáhají klientům při detailních
prověrkách všech oblastí správy dat a bezpečnosti informací.
Poskytují doporučení a asistenci při implementaci opatření
proti zjištěným rizikům či nedostatkům v těchto oblastech.
Tabulka uvádí procento respondentů, kteří u dané kategorie zvolili hodnocení
4 nebo 5 na šestibodové škále hodnotící rozsah, v jakém daná opatření zavedli
(0 = nepoužíváme a 5 = komplexní opatření).
© 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
© 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Kontakty:
Jimmy Helm
Partner odpovědný za Forenzní služby
ve střední a východní Evropě
T: +420 222 123 430
E: [email protected]
David Scott
Partner, Advisory
IT Risk Advisory Services
T: +420 222 123 636
E: [email protected]
kpmg.cz
Informace zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby subjektu. Ačkoliv se snažíme
zajistit, aby byly poskytované informace přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou
doručeny, nebo že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace
by neměla být na základě těchto informací činěna žádná opatření.
© 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent
member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
The KPMG name, logo and “cutting through complexity“ are registered trademarks or trademarks of KPMG International.
Označení KPMG Česká republika zahrnuje všechny právní entity spojené s činností KPMG v České republice.
Vytištěno v České republice.
červenec 2012