Informacijsko-komunikacijska tehnologija je spremenila način poslovanja, komuniciranja in omogočila razvoj novih poslovnih modelov. Z digitalizacijo gospodarstva se povečuje tudi izpostavljenost podjetij novim kibernetskim grožnjam. Zato je pomembno, da podjetja poskrbijo za kibernetsko oziroma informacijsko varnost in uvedejo ustrezne ukrepe, nadzore in postopke za zagotovitev varnosti sistemov IKT, ki jih uporabljajo, in podatkov, s katerimi razpolagajo. Osnovni koncepti informacijske varnosti vključujejo zaupnost podatkov (zmožnost varovanja podatkov pred nepooblaščenimi osebami), celovitost podatkov (zmožnost, da se preprečijo nepooblaščene ali nezaželene spremembe podatkov) in razpoložljivost podatkov (dostopnost do podatkov, ko jih kdo potrebuje).
Kako podjetja z vsaj 10 zaposlenimi skrbijo za kibernetsko oz. informacijsko varnost? Katere varnostne ukrepe izvajajo in v kolikšnem odstotku izvajajo posamezen varnostni ukrep oz. postopek?
Informacijska varnost: izvajanje varnostnih ukrepov ali postopkov v podjetjih
Več kot polovica podjetij uporablja močna gesla in kontrolo dostopa do omrežja podjetja
77 % podjetij z vsaj 10 zaposlenimi iz varnostnih razlogov posodablja programsko opremo ali operacijski sistem. 62 % podjetij hrani kopije podatkov na drugi lokaciji ali v oblaku (59 % malih, 73 % srednje velikih in 88 % velikih podjetij). 57 % podjetij uporablja za avtentikacijo uporabnikov močno geslo, tj. geslo, sestavljeno iz najmanj 8 različnih znakov, ki jih redno spreminjajo (52 % malih, 74 % srednje velikih in 85 % velikih podjetij). 57 % izvaja kontrolo dostopa do omrežja, s katerim upravljajo dostop naprav in uporabnikov do omrežja podjetja in s tem zagotavljajo dostop le pooblaščenim osebam (52 % malih, 75 % srednje velikih in 91 % velikih podjetij). 37 % podjetij uporablja navidezno zasebno omrežje ali VPN, s katerim razširijo zasebno omrežje prek javnega omrežja z namenom, da omogočijo varno izmenjavo podatkov. 34 % podjetij hrani dnevnike izvedenih aktivnosti, da jih bo mogoče po morebitnem varnostnem incidentu analizirati (revizijsko sled). 29 % uporablja enkripcijske tehnike za podatke, dokumente ali e-pošto. 4 % podjetij so vpeljali biometrično metodo za identifikacijo in avtentikacijo uporabnikov, ki temelji npr. na prepoznavanju prstnih odtisov, obraza ali glasu.
Približno četrtina podjetij (26 %) testira varnost v zvezi z uporabo IKT, npr. periodično izvaja penetracijske teste, testira varnostne sisteme, pregleduje varnostne ukrepe, testira sisteme za izvajanje varnostnih kopij (21 % malih, 43 % srednje velikih in 63 % velikih podjetij). 21 % podjetij ocenjuje morebitna tveganja v zvezi z uporabo IKT, npr. občasno presoja verjetnost in posledice morebitnih varnostnih incidentov, povezanih z uporabo IKT (17 % malih, 32 % srednje velikih in 65 % velikih podjetij).
16 % podjetij ne izvaja nobenega od omenjenih varnostnih ukrepov ali postopkov. Takih podjetij je največ med malimi podjetji (18 %), nekoliko manj med srednje velikimi (6 %) in najmanj med velikimi podjetji (1 %).
4 % podjetij imajo sklenjeno zavarovanje kibernetske zaščite, na podlagi katerega jim zavarovalnica povrne škodo, nastalo zaradi morebitnih varnostnih incidentov, povezanih z uporabo IKT (4 % malih, 7 % srednje velikih in 3 % velikih podjetij).
Za varno uporabo IKT v podjetjih skrbijo njihovi zaposleni ali zunanji izvajalci
V 79 % podjetij izvajajo aktivnosti, povezane z varno uporabo IKT, bodisi zaposleni v podjetju (vključno z zaposlenimi v matičnem ali povezanih podjetjih), ali zunanji izvajalci (npr. testirajo varno uporabo IKT, izobražujejo o varni uporabi IKT, rešujejo varnostne incidente, povezane z uporabo IKT). V 37 % podjetij skrbijo za varno uporabo IKT zaposleni v podjetju, v 61 % podjetij pa zunanji izvajalci.
Za informacijsko varnost je zelo pomembno tudi izobraževanje zaposlenih za varno uporabo IKT
Več kot polovica podjetij obvešča svoje zaposlene o njihovih obveznostih glede varne uporabe IKT
Najpogostejša tarča kibernetskih napadov in morebitna šibka točka pri zagotavljanju informacijske varnosti v podjetju so zaposleni. Zato je pri zagotavljanju varne uporabe IKT njihovo izobraževanje v zvezi s tem bistveno.
53 % podjetij z vsaj 10 zaposlenimi obvešča zaposlene o njihovih obveznostih v zvezi z varno uporabo IKT (48 % malih, 71 % srednje velikih in 92 % velikih podjetij). 44 % podjetij obvešča zaposlene o omenjenih obveznostih v obliki izobraževanj, pri katerih udeležba je prostovoljna, ali z drugimi oblikami obveščanja, ki so na voljo v podjetju, npr. v obliki informacij na intranetu. 26 % podjetij seznani zaposlene z omenjenimi obveznostmi s pogodbo, npr. pri podpisu pogodbe o zaposlitvi, 15 % na obveznih tečajih ali z obveznim ogledom gradiva (12 % malih, 23 % srednje velikih in polovica velikih podjetij).
V proizvodnih dejavnostih je takih podjetij, ki obveščajo zaposlene o njihovih obveznostih v zvezi z varno uporabo IKT, 44 % podjetij, v storitvenih dejavnostih pa 61 %. V storitvenih dejavnostih je delež zaposlenih, ki uporabljajo pri svojem delu računalnike, povezane z internetom, za poslovne namene, višji (64 %) kot v podjetjih v proizvodnih dejavnostih (42 %).
Informacijska varnost: dokumenti o varnostnih ukrepih, praksah ali postopkih
Skoraj tri četrtine dokumentov o varnostnih ukrepih, praksah ali postopkih za varno uporabo IKT je bilo napisanih, pregledanih ali posodobljenih v zadnjih 12 mesecih
Namen takih dokumentov, npr. dokumentov, na podlagi katerih se vzpostavi politika varovanja informacij, je oceniti morebitna varnostna tveganja pri uporabi IKT, predvideti postopke ali pravila za preprečitev varnostnih incidentov, postopke za hranjenje, zaščito podatkov, dostop do podatkov, odgovornost, pravice in dolžnosti zaposlenih v zvezi s tem itd. Zaradi razvoja IKT in novih kibernetskih groženj je pomembno, da se dokumenti redno posodabljajo.
Tak dokument (ali več takih dokumentov) ima 35 % podjetij z vsaj 10 zaposlenimi (30 % malih, 56 % srednje velikih in 79 % velikih podjetij). Skoraj tri četrtine teh podjetij, 73 %, je take dokumente napisalo oziroma nazadnje pregledalo ali posodobilo v zadnjih 12 mesecih, 18 % pred več kot 12 meseci, vendar pred manj kot 24 meseci, 8 % pa pred več kot 24 meseci.
34 % podjetij določa v teh dokumentih postopke za hrambo in zaščito podatkov, za dostop do podatkov ali obdelavo podatkov v podjetjih; 31 % podjetij določa v teh dokumentih upravljanje uporabniških pravic za dostop do IKT (npr. do računalnikov, omrežja podjetja), 30 % odgovornosti, pravice in dolžnosti zaposlenih pri uporabi IKT (npr. pri uporabi e-pošte, mobilnih naprav, družbenih medijev); 23 % izobraževanje zaposlenih v varni uporabi IKT in 21 % postopke ali pravila za preprečitev ali za odziv na varnostne incidente, povezane z IKT (npr. pharming, phishing, ransomware napade).
Posledice varnostnih incidentov v 2018: od nedosegljivosti storitev IKT, uničenja ali popačenja podatkov do razkritja zaupnih podatkov
Odstotek podjetij, ki so že naletela na varnostne incidente, povezane z IKT, največji med srednje velikimi podjetji
V letu 2018 je najmanj enkrat naletelo na težave, ki so bile posledica varnostnih incidentov, povezanih z uporabo IKT, 14 % podjetij (13 % malih, 19 % srednje velikih in 16 % velikih podjetij).
Desetini podjetij (10 %) z vsaj 10 zaposlenimi niso bile dosegljive storitve IKT, kar je bilo posledica okvare strojne ali programske opreme, zavrnitve storitve (DDoS) ali ransomware napadov (9 % malih, 14 % srednje velikih in 12 % velikih podjetij). 8 % podjetij so bili uničeni ali popačeni podatki, kar je bilo posledica okužbe z zlonamerno programsko opremo ali zaradi nedovoljenega dostopa do podatkov, okvare strojne ali programske opreme (7 % malih, 12 % srednje velikih in 8 % velikih podjetij), 2 % teh podjetij pa so bili razkriti zaupni podatki (npr. zaradi vdora, pharming, phishing napada ali zaradi namernih ali nenamernih dejanj zaposlenih (1 % malih, 4 % srednje velikih in 3 % velikih podjetij).
.jpg)
