Artikli autor Richard Chambers, CIA, CFE, QIAL, CRMA, CGAP, oli aastatel 2009–2021 The Institute of Internal Auditors president ja tegevjuht. Tal on enam kui 40 aastane kogemus siseauditi valdkonnas.
Siseaudiitoritel on olnud aastaid kohustus arvestada pettuste riske riskide hindamistel ja auditite planeerimisel. IIA äsja avaldatud uued ülemaailmsed siseauditi standardid rõhutavad uuesti standardi 9.4 – siseauditi plaan – nõuet. Kuid pettuseriskide arvestamise nõudest teadlik olemine ja suutlikkus seda teha on kaks erinevat asja, selgitab IIA eelmine president ja tegevjuht Richard Chambers.
Paljud meist tunnevad end mugavalt, tuvastades traditsioonilisi pettuseriske, nagu töötajatega seotud vargused, altkäemaksu võtmine ja omastamine. Kuid uute tehnoloogiate võidukäik, küberkurjategijate üha keerukamad skeemid ja veebiteenuste ülemaailmne laienemine loovad soodsa pinnase täiesti uutele petuskeemidele.
On tuhandeid silmapaistvaid asjatundjaid, ajakirjanikke, koolitajad ja blogide kirjutajad, kes juhivad tähelepanu uutele IT-ga seotud pettusriskidele. Kuid nagu sain teada oma hiljutist blogipostitust "Tehisintellekt: 6 kriitilist riski, mida siseaudiitorid ei saa ignoreerida" kirjutades, on paljudel siseaudiitoritel teadmiste ja ressursside põud ning neil ei ole ülevaadet võimalikest nö uutest riskidest, mida tuleks arvestada siseauditi riskianalüüsides.
Ausalt öeldes pole ma ei pettuste ega IT-auditi ekspert. Aga kui ma juhiksin 2024. aastal siseauditi riskianalüüsi tegemist, oleks minu radaril vähemalt kuus IT-pettuste riski:
1. Süvavõltsingute tehnoloogia
Hongkongi politsei teatas hiljuti finantstöötajast, kes petti välja maksma 25 miljonit dollarit petturitele, kes kasutasid süvavõltstehnoloogiat, et esineda ettevõtte finantsjuhina. Juhtum illustreerib olulist hüpet võltsitud heli ja video kvaliteedis, mis võimaldab luua väga veenvat võltsitud sisu.
Ja see ainult suurendab sügavat haavatavust identiteedipettuste, desinformatsioonikampaaniate isiku- ja ettevõtteandmete varguste, maineriskide ning isegi finantsturgude ja poliitiliste maastikega manipuleerimise ümber.
Sügavvõltsingutehnoloogia riski hindamisel peaksid siseaudiitorid kaaluma, kas täiustatud biomeetrilised kontrollisüsteemid on võltsingute kindlad, et kaitsta juba loodut ja rakendatut. Sõltuvalt valdkonnast peaksid siseaudiitorid ka kindlaks tegema, kas nende organisatsioon on selle riski tuvastanud ning tõstnud teadlikkust ja koolitanud töötajaid süvavõltsitud sisu olemasolust ja riskidest.
2. AI-põhised andmepüügirünnakud
Tehisintellekt on kahe teraga mõõk. Kuigi see pakub tähelepanuväärseid võimalusi turvameetmete tõhustamiseks, avab see samas ka ukse väga keerukatele andmepüügirünnakutele. Küberjulgeolekufirma SlashNext teatas hiljuti, et eelmisel aastal suurenes pahatahtlike andmepüügimeilide arv 1265%, sealhulgas 967% volikirjade andmepüügil. AI-algoritmid võivad genereerida isikupärastatud ja veenvaid andmepüügisõnumeid ulatuslikult, sihtides pahaaimamatuid isikuid ja organisatsioone ning saada volitamata juurdepääsu tundlikule teabele.
Siseaudiitorid peaksid kaaluma, kas nende organisatsioon kasutab keerukate andmepüügikatsete tuvastamiseks ja neutraliseerimiseks tehisintellektil põhinevaid turbelahendusi. Mõelge ka sellele, kas sinu organisatsioon teeb regulaarselt töötajatele ja sidusrühmadele turvakoolitusi andmepüügiohtude äratundmiseks ja neile reageerimiseks.
3. IoT-seadmete haavatavus
Asjade internet (IoT) laieneb jätkuvalt, ühendades hulgaliselt seadmeid alates kodumasinatest kuni tööstusseadmeteni. See omavaheline ühenduvus, pakkudes mugavust ja tõhusust, tekitab samas ka mitmeid haavatavusi, sealhulgas volitamata juurdepääsu isiklikele ja ettevõtte võrkudele, andmetega seotud rikkumisi ja süsteemihäireid.
IoT-ga seotud riskide hindamisel peaksid siseaudiitorid tuvastama, kas nende organisatsioon tagab, et kõiki IoT-seadmeid värskendatakse regulaarselt uusimate turvalahendustega, kas rakendatakse tugevaid võrguturbe protokolle ja kas IoT-seadmed on eraldi kriitilistest võrkudest. Ettevõtluse IT- ja küberturvalisuse juhtimise ja strateegiaekspert Mary K. Pratt on tuvastanud kuus levinumat asjade Interneti haavatavust ja kuus välist ohtu, mis kujutavad endast kõige märkimisväärsemaid riske. Seda tasub lugeda, kui analüüsite ja hindate asjade Internetiga seotud riske.
4. Lunavara kui teenus (RaaS)
Lunavararünnakud pole uudis, kuid Ransomware as a Service (RaaS) platvormide ilmumine võimaldab isegi mittetehnilistel kurjategijatel käivitada keerukaid lunavarakampaaniaid. Nagu on märkinud küberturvalisuse ekspert Edward Kost: RaaS „on tellimuspõhine mudel, mis võimaldab sidusettevõtetel kasutada lunavararünnakute läbiviimiseks juba väljatöötatud lunavaratööriistu ning nad teenivad protsendi igast edukast lunarahamaksest. Selline lunavara demokratiseerimine suurendab rünnakute sagedust ja mitmekesisust, mis on suunatud igas suuruses ettevõtetele ja ka eraisikutele, millel võib olla laastav finants- ja tegevusmõju.
Siseaudiitorid peaksid otsustama, kas nende organisatsioon teeb kriitiliste andmete regulaarseid varukoopiaid turvalistes asukohtades väljaspool ettevõtet. Samuti hinnake, kas organisatsioon investeerib täiustatud küberturvalisuse kaitsemehhanismidesse, sealhulgas lõpp-punktide kaitsesse ja sissetungimise tuvastamise süsteemidesse.
5. Sünteetiline identiteedipettus
Sünteetiline identiteedipettus hõlmab fiktiivsete identiteetide loomist, kombineerides tegelikku ja väljamõeldud teavet. Seda tüüpi pettusi on eriti keeruline avastada, kuna seal ei lange keegi otseselt ohvriks, vaid kasutatakse ära krediidi- ja pangandussüsteemides leiduvaid lünki. Nende sünteetiliste identiteetide pikaajaline kasvatamine võib põhjustada olulisi rahalisi kaotusi krediidipettuste ja laenumaksete tõttu.
Jällegi, olenevalt tegevusvaldkonnast hinnake, kas ettevõte kasutab sünteetilistele identiteetidele viitavate mustrite tuvastamiseks täiustatud analüütikat ja masinõpet. Samuti hinnake, kas uute kontode avamise ja krediiditaotluste jaoks on välja töötatud ja rakendatud täiustatud kontrolliprotsessid.
6. Mobiilimakse pettused
Mobiilimakseplatvormide levik on oluliselt suurendanud finantstehingute mugavust. Siiski pakub see ka uusi võimalusi turvanõrkuste ärakasutamiseks volitamata tehingute ja kontode ülevõtmisega. Maksesüsteemide sujuv integreerimine sotsiaalmeedia ja e-kaubanduse platvormidega muudab turvamaastiku veelgi keerulisemaks.
Kui teie organisatsioon kasutab mobiilimakseid, siis kas kõigi finantstehingute puhul rakendatakse mitmefaktorilist autentimist (MFA)? Kas on välja töötatud ja kasutusele võetud pettuste tuvastamise täiustatud süsteemid, mis jälgivad ebatavalisi tehingumustreid?
7. Siseringi IT-ohud
Siseringi IT-ohud on püsiv ja salakaval risk: rahulolematud ja/või rahaliselt motiveeritud töötajad kasutavad oma volitusi ja juurdepääse tundliku teabe hankimiseks, mis põhjustab andmetega seotud rikkumisi, intellektuaalomandi vargusi ja finantspettusi. Kaugtöö ja isiklike seadmete kasutamine ametialaste ülesannete täitmiseks (BYOD-i eeskirjad) süvendavad neid haavatavusi veelgi.
Nende riskide hindamisel mõelge, kas teie organisatsioon viib läbi põhjalikku taustakontrolli ja töötajate tegevuse jälgimist privaatsusreegleid rikkumata. Hinnake ka seda, kas see edendab organisatsioonis turvateadlikkuse ja lojaalsuse kultuuri, et vähendada ettevõtte siseseid ohtsid.
Tehnoloogia pidevas arengus on selge, et pettuste riskid on muutunud keerukamaks ja dünaamilisemaks. Tipptasemel tehnoloogiate integreerimine meie äriprotsessidesse pakub uskumatuid eeliseid, kuid toob kaasa ka olulisi haavatavusi.
Nende riskide vastu võitlemine nõuab mitmekülgset lähenemist, mis ühendab tehnoloogilised lahendused, regulatiivsed raamistikud ja inimese enda individuaalse valvsuse. Kuna siseaudiitorid võtavad endale kohustuse hinnata pettuseriske, peavad nad olema nendega kursis ja olema ka proaktiivsed. See vähendab teie enda riski olla kurikuulsa küsimuse sihtmärk: "Kus olid siis siseaudiitorid?"