NKÚ: Čím více používáme IT technologie, tím větší je riziko kyberútoků. Stát i firmy musí zvýšit IT bezpečnost

Tisková zpráva ke konferenci interních a externích auditorů na téma „Kyberbezpečnost“ – 3. listopadu 2022

V pořadí již osmý ročník konference interních a externích auditorů se konal ve čtvrtek 3. listopadu v pražském sídle NKÚ, tentokrát na téma „Kyberbezpečnost“. Setkání uspořádal NKÚ ve spolupráci s Českým institutem interních auditorů, Komorou auditorů ČR, Radou pro veřejný dohled nad auditem a Ministerstvem financí. Diskutující se shodli na tom, že s růstem významu informačních technologií ve společnosti roste i riziko útoků. Je tedy nutné zvýšit kybernetickou bezpečnost a provádět IT audity.

„Kyberútoky mohou pro stát znamenat obrovské komplikace i výdaje navíc. I my jsme se při našich kontrolách mohli přesvědčit o závažnosti těchto útoků,“ upozornil prezident NKÚ Miloslav Kala. Architekt kybernetické bezpečnosti Jiří Duchoň za základní problém označil nedodržování a ignoranci základů kybernetické bezpečnosti ve firmách.

Vedoucí oddělení bezpečnosti ICT z České exportní banky Jan Bukovský dodal, že prostřednictvím informačních systémů se dnes už provádí veškeré účetní a většina obchodních činností, procházejí tudy i podnikové informace. „Za toto větší pohodlí se však platí vyšším rizikem napadnutelnosti systémů a technologií. Proto je potřeba provádět stále důkladnější kontrolu IT systémů, a to třeba i pomocí specialistů, kteří provedou tzv. penetrační test, tedy napodobí postupy skutečných hackerů.“ Zdůraznil, že více než 90 % kyberútoků míří na e- maily.

Na rizika, spojená s kyberbezpečností, která musí při auditu účetní závěrky auditor zvažovat, upozornila metodička auditu a účetnictví z Komory auditorů ČR Martina Křížová Chrámecká. „Data pro sestavení účetní závěrky pocházejí z IT systémů, proto může v některých případech nedostatečné zabezpečení proti kybernetickým útokům zvyšovat riziko nesprávnosti v účetní závěrce. Statutární auditor tak musí toto riziko vyhodnotit a někdy se obrátit i na odborníka IT, aby získal dostatečné ujištění o správnosti účetní závěrky.“ Při kyberútoku na účetní systémy podle ní hrozí nejen nedostupnost či přímo ztráta dat, ale i zcizení majetku, zneužití informací a často i nemožnost plnit smluvní závazky. Firma je pak nucena hradit pokuty či penále, je ohrožena ztrátou zákazníků a dobrého jména, což má své dopady i do účetní závěrky. Uvedla příklad útoku na dálku, o němž napadená společnost po určitý čas vůbec nevěděla. Kyberútočníci změnili bankovní účty v databázi dodavatelů a společnost v domnění, že hradí své závazky, posílala peníze na účty útočníků.

Kontrolor z Rady pro veřejný dohled nad auditem Jiří Diepolt téma konference shrnul slovy: „Kyberbezpečnost se týká každého z nás. Klíčovou roli v kybernetické bezpečnosti zatím hrají lidé.“ Podle něj je IT audit jedním z pilířů systému řízení bezpečnosti.

Odbor komunikace
Nejvyšší kontrolní úřad

tisk stránky