Управління кібер-ризиками: Роль внутрішнього аудиту

June 28, 2023

Дорон Розенблюм, керуючий партнер Kreston-Ezra Yehuda-Rozenblum, нещодавно був опублікований у виданні Accounting Today, де поділився думками про те, чому внутрішній аудит є ключем до управління кібер-ризиками. Кіберінциденти, такі як збої в роботі ІТ, витік даних та атаки з вимогою викупу, є найбільшим глобальним ризиком. Витоки даних викликають особливе занепокоєння у компаній, оскільки витрати на них сягнуть рекордного рівня у $4,4 млн у 2022 році і, за прогнозами, перевищать $5 млн у 2023 році. Інші значні ризики включають атаки програм-вимагачів та збої в цифрових ланцюгах постачання або хмарних сервісах. Вектори, пов’язані з кіберпростором, включаючи злочинні атаки, людські помилки та технічні збої, можуть спричинити серйозні перебої в роботі бізнесу. Зараз хакери націлені як на цифрові, так і на фізичні ланцюги поставок, створюючи більшу загрозу для малого та середнього бізнесу, тоді як великі корпорації інвестують більше коштів у кібербезпеку.

Еволюція ландшафту кіберризиків: Загрози та тенденції

У цифровому середовищі кожна компанія, незалежно від розміру, вразлива до порушень, які можуть поставити під загрозу її діяльність, репутацію, бренд та джерела доходів. Ландшафт кіберризиків у 2023 році є різноманітним і постійно розвивається: за прогнозами, збитки від кіберзлочинності сягнуть 8 трильйонів доларів до 2023 року і 10,5 трильйонів доларів до 2025 року.

Атаки з використанням програм-вимагачів, особливо через фішинг, становлять найбільшу загрозу як у державному, так і в приватному секторах. Ці атаки зростають не лише за кількістю, але й за фінансовими та репутаційними витратами. Фішинг полягає в тому, що хакери обманом змушують людей ділитися цінними даними або поширювати шкідливе програмне забезпечення за допомогою оманливих електронних листів, часто видаючи себе за високопоставлених осіб або установи, яким довіряють. Компрометація ділової електронної пошти (BEC) – ще одна серйозна проблема, часто пов’язана з фішингом. Для реалізації своїх схем зловмисники використовують не лише електронну пошту, а й інструменти співпраці, такі як чати та мобільні додатки для обміну повідомленнями. Хакери часто зловживають брендом Microsoft у фішингових атаках, а атаки під виглядом бренду викликають занепокоєння через погані навички безпеки та недостатню обізнаність користувачів.

Шахрайство, особливо крадіжка персональних даних, стає все більш поширеним у цифровому середовищі, оскільки все більше людей користуються банківськими послугами та здійснюють покупки в Інтернеті. У 2022 році споживачі повідомили, що втратили майже 9 мільярдів доларів через шахрайство, що на 30% більше, ніж у попередньому році, а також про значну кількість повідомлень про крадіжки персональних даних.

Посилення управління кібер-ризиками: Стратегії для внутрішнього аудиту

Підприємства стикаються з підвищеною вразливістю до кібер-ризиків через їхній розмір, складність та взаємозв’язок. Використання хмарних сервісів та Інтернету речей (IoT) створює нові вектори атак, які складно захистити. Надійні стратегії управління кіберризиками за участю всіх зацікавлених сторін мають вирішальне значення для подолання цих ризиків.

Хоча штучний інтелект (ШІ) має потенціал, він також може бути вектором загрози. Системи та платформи штучного інтелекту слід впроваджувати з обережністю через можливість неточних припущень і висновків, зроблених на основі ненадійних джерел.

Внутрішній аудит перетворився на важливий засіб захисту від кібер-ризиків. Вона виходить за рамки фінансової сфери і включає кібербезпеку. Для ефективного аудиту кіберризиків внутрішній аудит вимагає розуміння новітніх загроз, знання ІТ-середовища та системи кібербезпеки організації, досвіду в управлінні ризиками та аналітиці даних, а також співпраці з ІТ-відділом, відділом управління ризиками та відділом комплаєнсу.

Ризик-орієнтований підхід необхідний для ефективного внутрішнього аудиту кібер-ризиків. Необхідно ідентифікувати та захистити критичні активи та системи, оцінити існуючі засоби контролю та визначити сфери, що потребують вдосконалення. Управління кіберризиками має бути інтегроване в загальну стратегію управління ризиками організації, а правлінню та вищому керівництву слід регулярно надавати оновлену інформацію про профіль кіберризиків та нові загрози. Управління ланцюгами поставок – ще одна важлива сфера, яка вимагає оцінки практик кібербезпеки постачальників і продавців.

Отже, кібер-ризики становлять зростаючу загрозу для організацій, і внутрішній аудит відіграє життєво важливу роль в управлінні цими ризиками. Оцінка ландшафту ризиків, перегляд системи внутрішнього контролю та використання інструментів аналізу даних мають вирішальне значення для ефективного управління. Застосовуючи підхід, заснований на співпраці та оцінці ризиків, внутрішній аудит може допомогти організаціям орієнтуватися в складному та мінливому ландшафті кіберризиків.

Для отримання додаткової інформації натисніть тут.