LEHDISTÖTIEDOTE 9.3.2006 - Tietojärjestelmien tietoturvan ja riskienhallinnan markkinajohtaja, McAfee Inc. (www.mcafee.com), on julkaissut tutkimuksen, joka paljastaa yritysten epäonnistuneen suojaamaan itsensä tietoturvaheikkouksia vastaan. Miltei puolet kyselyyn vastanneista (45%) uskovat, ettei heidän tietojärjestelmänsä ole koskaan täysin suojattuja ohjelmisto- ja verkkouhkia vastaan. McAfeen tutkimukseen, jonka suoritti Ipsos Research, vastasi suuryritysten yli 600 johtavaa IT-päättäjää ympäri Eurooppaa. Tutkimuksen tavoitteena oli paremmin ymmärtää miten yritykset suhtautuvat tietoturvapäivitysten hallintaan (patch management), joka on yksi suurimmista tietoturvaan liittyvistä haasteista suurissa yrityksissä.
Tärkeimmät havainnot olivat:
Vajaa kolmannes (30%) vastanneista ilmoitti, että kestää yli 48 tuntia tietoturvapäivityksen julkaisusta ennen kuin se on otettu koko tietojärjestelmän käyttöön suojaamaan kyseiseltä uhalta. Yksi kymmenestä (11%) ilmoitti, että se kestää jopa viikon.
Yli kolmanneksella (36%) ei ollut tietoa montako tietoturvapäivitystä heidän yrityksessään oli tehty viimeisten 6 kuukauden aikana.
58% vastanneista IT-ammattilaisista ei tiennyt paljonko tietoturvapäivitysten hallinta maksaa heidän yritykselleen.
Yksi viidestä (20%) IT-ammattilaisesta käytti tunnin tai enemmän päivässä tutkiessaan uhkia, heikkouksia ja tietoturvapäivityksiä.
45% vastanneista eivät määritelleet mitkä yrityksen järjestelmät päivitetään ensin.
Kun otetaan huomioon miten paljon entistä nopeampia ja kehittyneempiä tietoturvauhkia sekä monimutkaisempia tietojärjestelmiä tänä päivänä on olemassa, niin tietoturvapäivitysten hallinta on vakava huolen aihe useille suurille yrityksille. Ennen kuin tietoturvapäivitykset saadaan käyttöön koko tietojärjestelmässä, on koko organisaatio haavoittuva tietomurroille, käyttökatkoksille ja tuottavuuden heikentymiselle.
Aikaa vievä prosessi
Tietoturvapäivitysten käyttöönotto on
monimutkainen prosessi. Etenkin suurissa yrityksissä jokaisen
tietoturvapäivityksen tutkimiseen, testaamiseen ja käyttöönottoon voi mennä
useita päiviä. McAfeen tutkimus osoittaa kuinka paljon resursseja käytetään
tietoturvapäivitysten hallintaan - 20% vastanneista käytti tunnin tai enemmän
päivässä tutkiessaan uhkia, heikkouksia ja tietoturvapäivityksiä. Euroopassa
yksi kymmenestä IT-ammattilaisesta kulutti 240 tuntia vuodessa eli 6 työviikkoa
tutkiessaan tietojärjestelmänsä uhkia.
Haavoittuva hyökkäyksille
Sinä aikana kun tietoturvapäivityksiä ei ole otettu käyttöön yritykset ovat
erityisen haavoittuvia hyökkäyksille. Yli neljännes vastanneista myönsi, että
kestää yli 48 tuntia tietoturvapäivityksen julkaisusta ennen kuin se on otettu
koko tietojärjestelmän käyttöön. Yksi kymmenestä ilmoitti, että se kestää jopa
viikon.
Tietoturvapäivitysten hallinnan kustannukset
Yllättäen tutkimus paljasti, että
IT-ammattilaisilla ei ole tietoa paljonko tietoturvapäivityksiä tehdään ja
paljonko ne maksavat heidän yrityksilleen. Niitä otetaan käyttöön niin paljon,
että yli kolmanneksella (36%) ei ollut tietoa montako tietoturvapäivitystä
heidän yrityksessään oli tehty viimeisten 6 kuukauden aikana ja 58% ei tiennyt
paljonko prosessi maksaa heidän yritykselleen. Tämä siitä huolimatta, että
Aberdeen Group on arvioinut tietoturvapäivitysten hallinnan maksavan pelkästään
amerikkalaisyrityksille 2 miljardia dollaria vuodessa.
Selvää kuitenkin on, että suurin osa yrityksistä uskoo tarvitsevansa lisää resursseja tietoturvapäivitysten hallintaan tulevaisuudessa. Yli puolet (54%) yrityksistä ilmoitti sijoittavansa lisää resursseja tälle alueelle tulevaisuudessa.
Suojausten priorisointi
Kun huomioidaan kehittyneet tietoturvauhat ja
rajalliset IT-resurssit, yritysten on luotava itselleen tietoturvapäivitysten
hallintaan strategia, jossa määritellään yrityksen toiminnalle kriittiset alueet
ja priorisoidaan niiden tietoturva ensin. McAfeen tutkimus osoittaa yhä useamman
(45%) Eurooppalaisen yrityksen käyttävän tällaista strategiaa, jossa
priorisoidaan missä tietoturvapäivitykset otetaan ensin käyttöön. Valitettavasti
tutkimus paljastaa kuitenkin, että suuri osa yrityksistä ei fokusoi resurssejaan
kriittisiin alueisiin.
Yritysten pitäisi yhdistää priorisoitu tietoturvapäivitysten hallinta proaktiivisilla estoratkaisuilla, jotka suojaavat verkkoa tunnettuja ja tuntemattomia uhkia vastaan tarjoten organisaatiolle näin lisäaikaa tietoturvapäivitysten tutkimiseen ja käyttöönottoon.
“Isojen yritysten palaute on selkeä – tietoturvapäivitysten hallinta on heille vakava huolenaihe”, sanoo McAfee Finlandin System Engineer Janne Aro. ”Organisaatiot ovat haavoittuvia IT-hyökkäyksille, koska tietoturvapäivityksiä tulee liian usein, jotta yritykset ehtisivät turvallisesti testata ja ottaa käyttöön niitä koko tietojärjestelmässä riittävän nopeasti. Ainoa ratkaisu lievittää tästä aiheutuvia riskejä on priorisoitu tietoturvapäivitysten hallinta proaktiivisilla tietomurtojen estoratkaisuilla.”
Tietoa tutkimuksesta
Tutkimuksen toteutti Ipsos Research, joka
haastatteli 600 IT-ammattilaista Englannissa, Ranskassa, Saksassa, Italiassa,
Espanjassa ja Hollannissa marraskuussa 2005.
Lisätietoja
Tiedotus ja testituotteet:
Visionist / Jiri Koivuniemi, email:
jiri@visionist.fi, puh: 040-8378097
Tekniset kysymykset ja haastattelut:
McAfee Nordic / Flemming Domdal, email:
flemming domdal@mcafee.com, puh: +45-30555862
Tukkurit ja myynti:
Scribona Oy,
www.scribona.fi, puh: 09-52721
DNS Finland Oy,
www.dns-finland.fi, puh: 09-4393630
McAfee Finland / Caj Salovaara, email:
caj_salovaara@mcafee.com, puh: 09-2516353
McAfee Inc.
McAfee Inc.:n pääkonttori on Santa Clarassa, Yhdysvalloissa. Yritys on
maailman johtava tietomurtojen estämiseen ja riskienhallintaan keskittyvien
ratkaisujen kehittäjä. Se toimittaa testattuja ja hyväksi havaittuja
tietoturvaratkaisuja sekä -palveluja, jotka suojaavat järjestelmiä ja verkkoja
ympäri maailman. Ainutlaatuisen tietoturvaosaamisensa ansiosta McAfee auttaa
kotikäyttäjiä, yrityksiä, julkista sektoria ja palveluntarjoajia estämään
hyökkäyksiä ja käyttökatkoksia sekä seuraamaan ja parantamaan tietoturvaansa.
www.mcafee.com