V pořadí již osmý ročník konference interních a externích auditorů se konal ve čtvrtek 3. listopadu v pražském sídle NKÚ, tentokrát na téma „Kyberbezpečnost“. Setkání uspořádal NKÚ ve spolupráci s Českým institutem interních auditorů, Komorou auditorů ČR, Radou pro veřejný dohled nad auditem a Ministerstvem financí. Diskutující se shodli na tom, že s růstem významu informačních technologií ve společnosti roste i riziko útoků. Je tedy nutné zvýšit kybernetickou bezpečnost a provádět IT audity.
„Kyberútoky mohou pro stát znamenat obrovské komplikace i výdaje navíc. I my jsme se při našich kontrolách mohli přesvědčit o závažnosti těchto útoků,“ upozornil prezident NKÚ Miloslav Kala. Architekt kybernetické bezpečnosti Jiří Duchoň za základní problém označil nedodržování a ignoranci základů kybernetické bezpečnosti ve firmách.
Vedoucí oddělení bezpečnosti ICT z České exportní banky Jan Bukovský dodal, že prostřednictvím informačních systémů se dnes už provádí veškeré účetní a většina obchodních činností, procházejí tudy i podnikové informace. „Za toto větší pohodlí se však platí vyšším rizikem napadnutelnosti systémů a technologií. Proto je potřeba provádět stále důkladnější kontrolu IT systémů, a to třeba i pomocí specialistů, kteří provedou tzv. penetrační test, tedy napodobí postupy skutečných hackerů.“ Zdůraznil, že více než 90 % kyberútoků míří na e- maily.
Na rizika, spojená s kyberbezpečností, která musí při auditu účetní závěrky auditor zvažovat, upozornila metodička auditu a účetnictví z Komory auditorů ČR Martina Křížová Chrámecká. „Data pro sestavení účetní závěrky pocházejí z IT systémů, proto může v některých případech nedostatečné zabezpečení proti kybernetickým útokům zvyšovat riziko nesprávnosti v účetní závěrce. Statutární auditor tak musí toto riziko vyhodnotit a někdy se obrátit i na odborníka IT, aby získal dostatečné ujištění o správnosti účetní závěrky.“ Při kyberútoku na účetní systémy podle ní hrozí nejen nedostupnost či přímo ztráta dat, ale i zcizení majetku, zneužití informací a často i nemožnost plnit smluvní závazky. Firma je pak nucena hradit pokuty či penále, je ohrožena ztrátou zákazníků a dobrého jména, což má své dopady i do účetní závěrky. Uvedla příklad útoku na dálku, o němž napadená společnost po určitý čas vůbec nevěděla. Kyberútočníci změnili bankovní účty v databázi dodavatelů a společnost v domnění, že hradí své závazky, posílala peníze na účty útočníků.
Kontrolor z Rady pro veřejný dohled nad auditem Jiří Diepolt téma konference shrnul slovy: „Kyberbezpečnost se týká každého z nás. Klíčovou roli v kybernetické bezpečnosti zatím hrají lidé.“ Podle něj je IT audit jedním z pilířů systému řízení bezpečnosti. (4.11.2022)