Οι εταιρείες τεχνολογίας, media και τηλεπικοινωνιών μείωσαν σημαντικά τον προϋπολογισμό τους για επενδύσεις στην ασφάλεια των πληροφορικών συστημάτων κατά τη διάρκεια του 2008Παράλληλα, μόλις 6% των επιχειρήσεων δήλωσαν ότι διαθέτουν 7% ή περισσότερο από το συνολικό προϋπολογισμό για την ασφάλεια των πληροφορικών συστημάτων, ποσοστό που παρουσιάζει εντυπωσιακή πτώση σε σχέση με το 2007, που ανερχόταν σε 36%. Όπως προκύπτει από την έρευνα, η μείωση των επενδύσεων επιβραδύνει και την υιοθέτηση νέων τεχνολογιών ασφάλειας, καθώς μόνο το 53% των ερωτηθέντων θεωρεί ότι η επιχείρησή τους υιοθετεί γρήγορα τις νέες τεχνολογίες, ποσοστό σημαντικά χαμηλότερο σε σύγκριση με το 2007 (67%). Προτεραιότητα δίνεται πλέον στη βελτιστοποίηση των υφιστάμενων τεχνολογιών και όχι στις επενδύσεις σε νέες τεχνολογίες.
«Οι απειλές που αντιμετωπίζουν οι εταιρείες αυξάνονται συνεχώς και η αντιμετώπισή τους γίνεται ολοένα και πιο δύσκολη. Η μείωση των επενδύσεων για την ασφάλεια των πληροφορικών συστημάτων ενδέχεται να κρύβει δυσάρεστες εκπλήξεις για το μέλλον, καθώς οι εταιρείες που θα μείνουν πίσω θα έχουν ένα πολύ μεγάλο κενό να καλύψουν. Σε αυτό το πλαίσιο, οι επιχειρήσεις πρέπει να συνεχίσουν να υιοθετούν έγκαιρα τις νέες τεχνολογίες, οι οποίες θα τους δώσουν τη δυνατότητα να θωρακίσουν την ασφάλειά τους και να ανταποκριθούν με επιτυχία στους αυξανόμενους κινδύνους», δήλωσε ο κος Μάνος Πηλείδης, Υπεύθυνος Διαχείρισης Κινδύνων της Deloitte στην Ελλάδα.
Οι εξωτερικές και εσωτερικές παραβιάσεις ασφαλείας
Η προσπάθεια των εταιρειών των παραπάνω κλάδων να προστατευτούν από τις εσωτερικές και τις εξωτερικές παραβιάσεις ασφαλείας, αποτελεί μία μεγάλη πρόκληση. Κατά τη διάρκεια του 2008, πέντε στις δέκα εταιρείες χρειάστηκε να αντιμετωπίσουν κάποια εξωτερική παραβίαση ασφαλείας, με κυριότερες τις παραβιάσεις που σχετίζονταν με κακόβουλο λογισμικό (όπως ιούς και worms) και τις επιθέσεις άρνησης παροχής υπηρεσιών (denial of service). Παράλληλα, οι τέσσερις στις δέκα επιχειρήσεις ήρθαν αντιμέτωπες με παραβιάσεις που προήλθαν από το εσωτερικό τους, με κυριότερη τη μη σκόπιμη διάθεση ευαίσθητων πληροφοριών από τους εργαζόμενους μέσω της απώλειας φορητού υπολογιστή, των ιστοσελίδων κοινωνικής δικτύωσης (όπως του Facebook και του MySpace) και των μηνυμάτων ηλεκτρονικού ταχυδρομείου (e-mails). Σύμφωνα με τα αποτελέσματα της έρευνας, τα στελέχη έχουν πλέον λιγότερη εμπιστοσύνη στην ικανότητά τους να αντιμετωπίζουν αυτές τις εσωτερικές απειλές. Μόλις 28% των ερωτηθέντων δήλωσαν ότι είναι «πολύ σίγουροι» ή «εξαιρετικά σίγουροι» όσον αφορά στην αντιμετώπισή τους, τη στιγμή που το 2007 το αντίστοιχο ποσοστό ανερχόταν στο 51%. Τέλος, αξίζει να σημειωθεί ότι 83% των στελεχών θεωρούν σημαντικό κίνδυνο την «εκμετάλλευση των αδυναμιών της τεχνολογίας Web 2.0» και 80% τις τεχνικές «κοινωνικής μηχανικής» (social engineering), όπως το «pretexting» και το «phishing», που αφορούν στην υποκλοπή προσωπικών δεδομένων.
Προστασία των προσωπικών δεδομένων
Οι εταιρείες τεχνολογίας, media και τηλεπικοινωνιών υπόκεινται σε αυστηρούς κανόνες και ρυθμίσεις που σχετίζονται με την ασφάλεια των προσωπικών δεδομένων των πελατών τους. Η μη συμμόρφωση μπορεί να επιφέρει σημαντικά πρόστιμα και ευθύνες. Κατά βάση, αυτές οι ρυθμίσεις έχουν στόχο να βελτιώσουν την ασφάλεια και να μειώσουν τους κινδύνους. Ωστόσο, μόλις το 21% των ερωτηθέντων θεωρεί αυτές τις ρυθμίσεις «πολύ αποτελεσματικές», το 54% πιστεύει ότι είναι «ως κάποιο βαθμό αποτελεσματικές», ενώ το 13% τις θεωρεί «αναποτελεσματικές». Σύμφωνα με την έρευνα, το ποσοστό των επιχειρήσεων που έχουν ορίσει κάποιο στέλεχος υπεύθυνο για την προστασία των προσωπικών δεδομένων έχει μειωθεί σε σχέση με το 2007, από 50% σε 44%, ενώ πολλές εταιρείες δεν έχουν θεσπίσει ακόμα κάποιο πλαίσιο για τη διαχείριση της συμμόρφωσης των προσωπικών δεδομένων (33%), δεν έχουν γραπτή πολιτική για την προστασία των προσωπικών δεδομένων (28%), ούτε κάποια επίσημη οδηγία για την ασφαλή καταστροφή τους (28%).