Riadenie kybernetických rizík: Úloha vnútorného auditu

June 28, 2023

Doron Rozenblum, vedúci partner spoločnosti Kreston-Ezra Yehuda-Rozenblum, sa nedávno objavil v časopise Accounting Today, kde sa podelil o svoje postrehy o tom, prečo je interný audit kľúčom k riadeniu kybernetických rizík. Najväčšie globálne riziko predstavujú kybernetické incidenty, ako sú výpadky IT, úniky údajov a útoky ransomvéru. Narušenie ochrany údajov sa týka najmä spoločností, pričom náklady v roku 2022 dosiahli rekordnú výšku 4,4 milióna USD a v roku 2023 sa predpokladá, že prekročia 5 miliónov USD. Medzi ďalšie významné riziká patria útoky ransomvéru a zlyhania digitálnych dodávateľských reťazcov alebo cloudových služieb. Kybernetické vektory vrátane kriminálnych útokov, ľudských chýb a technických porúch môžu vážne narušiť chod podnikov. Hackeri sa v súčasnosti zameriavajú na digitálne aj fyzické dodávateľské reťazce, čo predstavuje väčšiu hrozbu pre malé a stredné podniky, zatiaľ čo veľké korporácie investujú do kybernetickej bezpečnosti viac.

Vývoj kybernetických rizík: Hrozby a trendy

V digitálnom prostredí je každá spoločnosť bez ohľadu na veľkosť zraniteľná voči narušeniam, ktoré môžu ohroziť prevádzku, povesť, značku a príjmy. Oblasť kybernetických rizík v roku 2023 je rozmanitá a neustále sa vyvíja, pričom sa predpokladá, že náklady na kybernetickú kriminalitu dosiahnu do roku 2023 8 biliónov USD a do roku 2025 10,5 bilióna USD.

Útoky ransomvéru, najmä prostredníctvom phishingu, predstavujú najväčšiu hrozbu vo verejnom aj súkromnom sektore. Počet týchto útokov sa zvyšuje nielen z hľadiska ich počtu, ale aj z hľadiska finančných nákladov a nákladov na poškodenie dobrej povesti. Phishing spočíva v tom, že hackeri podvedú jednotlivcov, aby zdieľali cenné údaje alebo šírili škodlivý softvér prostredníctvom klamlivých e-mailov, pričom sa často vydávajú za vyššie postavené osoby alebo dôveryhodné inštitúcie. Ďalším závažným problémom je kompromitácia firemných e-mailov (BEC), ktorá sa často spája s phishingom. Útočníci používajú na realizáciu svojich plánov aj iné nástroje na spoluprácu než len e-mail, napríklad chat a aplikácie na zasielanie mobilných správ. Hackeri často zneužívajú značku Microsoft pri phishingových útokoch a útoky vydávajúce sa za značku sú spôsobené zlými bezpečnostnými návykmi a nedostatočnými znalosťami používateľov.

Podvody, najmä krádeže identity, sú v digitálnej oblasti trendom, pretože čoraz viac ľudí využíva online bankovníctvo a nakupovanie. V roku 2022 spotrebitelia nahlásili stratu takmer 9 miliárd dolárov v dôsledku podvodov, čo je o 30 % viac ako v predchádzajúcom roku, pričom počet hlásení o krádeži identity bol značný.

Posilnenie riadenia kybernetických rizík: Stratégie pre vnútorný audit

Podniky čelia zvýšenej zraniteľnosti voči kybernetickým rizikám vzhľadom na svoju veľkosť, zložitosť a vzájomnú prepojenosť. Používanie cloudových služieb a internetu vecí (IoT) vytvára nové vektory útokov, ktorých zabezpečenie je náročné. Na riešenie týchto rizík sú nevyhnutné spoľahlivé stratégie riadenia kybernetických rizík, do ktorých sú zapojené všetky zainteresované strany.

Umelá inteligencia (AI) má potenciál, ale môže byť aj nositeľom hrozieb. Systémy a platformy umelej inteligencie by sa mali implementovať opatrne vzhľadom na možnosť nepresných predpokladov a záverov vyvodených z nespoľahlivých zdrojov.

Interný audit sa vyvinul ako kritická ochrana proti kybernetickým rizikám. Presahuje rámec finančných oblastí a zahŕňa aj kybernetickú bezpečnosť. Na účinný audit kybernetických rizík si interný audit vyžaduje pochopenie najnovších hrozieb, znalosť IT prostredia organizácie a rámca kybernetickej bezpečnosti, odborné znalosti v oblasti riadenia rizík a analýzy údajov, ako aj spoluprácu s útvarmi IT, riadenia rizík a dodržiavania predpisov.

Pre silný interný audit kybernetických rizík je potrebný prístup založený na rizikách. Je potrebné identifikovať a chrániť kritické aktíva a systémy, vyhodnotiť existujúce kontroly a identifikovať oblasti, ktoré je potrebné zlepšiť. Riadenie kybernetických rizík by malo byť začlenené do celkovej stratégie riadenia rizík organizácie a predstavenstvu a vrcholovému manažmentu by sa mali pravidelne poskytovať aktuálne informácie o profile kybernetických rizík a nových hrozbách. Riadenie dodávateľského reťazca je ďalšou kritickou oblasťou, ktorá si vyžaduje posúdenie postupov kybernetickej bezpečnosti predajcov a dodávateľov.

Na záver možno konštatovať, že kybernetické riziká predstavujú pre organizácie čoraz väčšiu hrozbu a interný audit zohráva pri ich riadení dôležitú úlohu. Posúdenie rizikového prostredia, preskúmanie vnútorných kontrolných mechanizmov a využívanie nástrojov na analýzu údajov sú kľúčové pre efektívne riadenie. Interný audit môže organizáciám pomôcť pri orientácii v zložitom a vyvíjajúcom sa prostredí kybernetických rizík tým, že prijme prístup založený na spolupráci a rizikách.

Viac informácií nájdete tu.