/img/star (2).png.webp)
/img/news (2).png.webp)
/img/event.png.webp)
Время прочтения: 2 мин.
Крупные утечки данных о потребителях стали фактом жизни, равно как и полученные многомилионные штрафы, а также ущерб репутации, восстановление которой может занять годы. В статье от 30 июля The New York Times сообщалось, что в этом году уже было 3494 успешных кибератаки — число, которое включает только финансовые учреждения.
В последней кибератаке на Банк Capital One участвовал бывший инженер-программист Amazon, который предположительно получил доступ к компьютерной сети банка через то, что банк назвал «уязвимостью конфигурации» в своем программном обеспечении безопасности. Скомпрометирована личная информация более 100 миллионов человек.
В новом бюллетене Института внутренних аудиторов (далее – IIA) «Облачная безопасность, угрозы изнутри и риски третьих сторон» перечислены 10 вопросов, на которые должны быть готовы ответить руководители по направлению аудита в рамках ревизионных комиссий. Бюллетень также предоставляет список ресурсов, в том числе три Глобальных руководства по аудиту технологий IIA: аутсорсинг информационных технологий, риски кибербезопасности и аудит угроз программ инсайдеров. Список ресурсов также включает в себя доступное обучение, два практических руководства IIA, книгу и ссылку на ресурсный обмен IIA по кибербезопасности.
Несмотря на уязвимости, внутренний аудит может помочь организации противостоять вторжениям и устранить любые опасения, что организация не защищена от искушенных преступников.
В случае Capital One, отчеты указывают на то, что нарушение компьютерной системы банка не было особенно сложным. Предполагаемый преступник получил доступ к записям клиентов, которые банк хранил в облачной службе Amazon, по-видимому, используя уязвимость в брандмауэре веб-приложения Capital One, которое подключается к облаку Amazon Web Services. Представители Capital One отказались отвечать на вопросы о том, взломал ли предполагаемый преступник его системы или просто пролез через окно, которое было случайно оставлено открытым.
Лидеры внутреннего аудита должны начать с понимания, полагается ли их организация на облачные сервисы и в какой степени. Если используется облако, какая информация там хранится и насколько она чувствительна? Какие шаги предприняла организация для обеспечения безопасности данных в облаке? Проще говоря, могла ли уязвимость быть уменьшена лучшим управлением защиты?
Возможность внутреннего аудита заключается в том, чтобы полностью разбираться в критических аспектах кибербезопасности — облачных, внутренних угрозах и сторонних рисках, среди прочего — не обязательно становиться техническим экспертом, но знать достаточно, чтобы задавать правильные вопросы и следовать им, где нужно. Нехватка кадров с опытом в этой области не исчезнет в ближайшее время, и отказ принять меры не вариант. Используйте исследовательские и образовательные материалы вокруг себя, вступите в это пространство и помогите своей организации закрыть окна.