Вебинар Рабочей группы ИНТОСАИ по аудиту информационных технологий: ИТ аудит в эпоху индустрии 4.0: возможности и вызовы»
2 сентября 2021 года состоялся Вебинар Рабочей группы ИНТОСАИ по аудиту информационных технологий «ИТ аудит в эпоху индустрии 4.0: возможности и вызовы». Организатором данного мероприятия, которое собрало 380 участников, стал ВОА Индонезии.
Формат проведения мероприятия представлял собой панельную сессию под модерацией ВОА Индонезии.
Первым спикером стал аудитор ВОА Индонезии Н. Пеленкаху, он представил информацию о проведении аудита устойчивости системы национальной кибербезопасности. В своем выступлении он сообщил, что в Индонезии с 2019 года действует Закон о кибербезопасности и устойчивости. Также была представлена статистика попыток проведения кибератак и утечки информации с персональными данными. Докладчиком была затронута тема несовершенства правового регулирования в области кибербезопасности, а также дублирования функций у министерств и ведомств. Также рассмотрен аспект отсутствия системы межведомственной коммуникации. Кроме того, Н. Пеленкаху поделился методикой и результатами проведения аудита эффективности в сфере национальной кибербезопасности.
Представитель ВОА Индонезии в Международной профессиональная ассоциация, специализирующаяся на управлении ИТ (ISACA), И. Ачдиат в ходе своего выступления сообщил о новых проблемах в деятельности ИТ-аудиторов. В качестве ключевых вызовов он подчеркнул три проблемы в управлении системами кибербезоасности:
- серьезную нехватку средств;
- отсутствие системности в управлении;
- сложности в координации систем на национальном и наднациональном уровне.
По мнению спикера, решить вышестоящие проблемы поможет вовлечение заинтересованных сторон, а также привлечение разносторонних, высококвалифицированных сторонних специалистов (таких как эксперт по безопасности, технический адвокат, профессиональные оценщики ИТ-рисков).
Спикер из ВОА Австралии Э.Аподерадо продолжил тему аудита киберустойчивости. Он рассказал об риск ориентированном подходе к проверке систем кибербезопасности и опыте проведения аудита в данной области. Аудит проводился в рамках оценки деятельности правительства по вопросам эффективности применения стратегий снижения рисков кибербезопасности. По итогам проведения аудита ВОА дал следующие рекомендации:
- Необходимо своевременно предоставлять отчетность для общественности о реализации политики в сфере кибербезопасности;
- Организации и ведомства должны уделять приоритетное внимание реализации стратегии по укреплению кибербезопасности и оперативно реагировать на новые появляющиеся угрозы;
- Необходимо своевременно проводить оценку рисков для определения уровня защиты, необходимого от киберугроз;
- Организации должны поддерживать внедрять механизмы контроля и отчетности в указанной сфере.
Представитель ВОА Норвегии Я.Бекстрем рассказал об алгоритмах машинного обучения. Он поделился успешными практиками использования алгоритмов ИИ для аналитики данных в процессе аудита. Также во время вебинара была представлена Белая книга для аудиторов «Аудит алгоритмов машинного обучения», разработанная аудиторами ВОА Великобритании, Франции, Германии. Нидерландов и Норвегии. Данный проект реализован в формате Excel и включает в себя контрольный список пунктов, по которым можно провести машинную проверку. Тем не менее, докладчик сделал особый акцент, что при использовании машинных алгоритмов возникают серьезные риски, ввиду того, что не всегда прозрачен механизм принятия «машинного решения» (неясно, как машины получили определенное решение). Именно поэтому аудиторы должны быть выше машин и систем ИИ, шагая в ногу со временем, аудитор должен принимать решение сам.
В ходе сессии вопросов и ответов были затронуты вопросы нормативного регулирования процесса аудита с использованием новых технологий, формирования компетенции ИТ-аудитора, привлечения внешних экспертов и дополнительного финансирования.
