Yəqin diqqət yetirmisiniz ki, cəmi bir neçə il ərzində kibertəhlükəsizlik faktiki olaraq hər bir təşkilatın üzləşdiyi risklərin idarə edilməsində ən mühüm problemlərdən birinə çevrilib. Kibertəhükəsizliklə bağlı artan təhdidlər və pozuntular son illər ərzində təkcə beynəlxalq təşkilatlarda deyil həmçinin yerli təşkilatlarda da baş verib. Mümkün kiberhücumlar nəticəsində bir çox şirkət həm məlumat, həm də maliyyə itkiləri ilə üzləşə bilər. Kibertəhlükəsizlik dedikdə təşkilatın informasiya aktivlərini – kompüterləri, şəbəkələri, proqramları və məlumatları icazəsiz girişdən qorumaq üçün nəzərdə tutulmuş texnologiyalar, proseslər və təcrübələr başa düşülür. Bəllidir ki, indiki zamanda texnologiya və məlumatlar müştəri məlumatlarından əqli mülkiyyətə, insan resurları qeydlərinə qədər biznes və əməliyyatların praktiki olaraq bütün aspektlərinə nüfuz edir və onların istifadəsi təkcə texnologiya və İT şirkətləri ilə məhdudlaşmır. İş yerləri isə getdikcə rəqəmsal mühitə çevrilir. Və təbii ki, texnologiyadan bu qədər asılılıq istər-istəməz onunla bağlı bpyük risklər yaradır.
Ümumiyyətlə kiber hücümların tarixinə getsək, hələ 80-ci illərin sonlarından bəri rəqəmsal sistemlər məlumat oğurlamağa və icazəsiz giriş əldə etməyə çalışan internet quldurlarının hücumlarına qarşı həssasdır. Morris Worm 1989-cu ildə ABŞ-da 6000 kompüterə təsir edən və 100.000 dollardan 10.000.000 ABŞ dollarına qədər ziyan vuran ilk geniş yayılmış xidmətdən imtina (DoS) hücumu idi. Kiberhücum istənilən bir təşkilat üçün ölümcül ola bilər çünki o həssas məlumatları və onun vasitəsilə maliyyə vəziyyətini, strateji baxışını və daha da əhəmiyyətlisi şirkətin illər ərzində formalaşdırdığı inam və etibarı pozur. Kiber cinayətkarlar isə daim istismar etmək üçün yeni zəifliklər və cinayətkar davranışlarından pul qazanmağın yeni yollarını axtarırlar. Getdikcə də ‘ransomware’ və digər xidmətdən imtina tipli hücumların sayı və mürəkkəbliyi artır və nəticələri də daha geniş təsirlərə malik olur. Ancaq bununla bərabər kiberhücumların artması ilə bir çox tənzimləyici qurumlar bu məsələyə diqqət yetirməyə başlayıblar. Çünki bir çox mötəbər təşkilatların qiymətli aktivləri və məlumatları kiberhücumlarla təhdid altındadır. Təşkilatların üzləşdiyi kiber təhlükələr müştəri məlumatlarının açıqlanması, əqli mülkiyyətin oğurlanması, biznes məlumatlarının oğurlanması və ya biznes proqramlarına və ya təchizat zəncirlərinə ziyan kimi ümumiləşdirilə bilər. Bütün bu təhdidlərin nəticələri maliyyə itkisi və reputasiya itkisi şəklində özünü göstərir. Buna görə də təşkilatlar kibertəhlükəsizlik risklərinə diqqət yetirməlidirlər və bu riskləri ən az zərərlə aşkar etmək, azaltmaq və ya onlardan qurtulmaq üçün xüsusi tədqiqatlar tələb olunur. Kibertəhlükəsizlik riskləri ilə mübarizədə ilk növbədə təşkilatda maarifləndirmə səviyyəsinin artırılması vacibdir. Bu istiqamətdə həm daxili, həm də xarici tərəflərin kibertəhlükəsizlik riski barədə məlumatlılığının artırılması üçün təlimlər və proqramlar təşkil edilməlidir. Təşkilatların kibertəhlükəsizlik riski ilə bağlı şüurunun formalaşmasından sonra isə risklərin idarə edilməsində istifadə edilən mühüm model olan Üç Xətt (Üç Müdafiə Xətti) modeli qurulmalıdır. Bu modelin sonun müdafiə xəttində müstəqil qiymətləndirici kimi daxili audit funksiyası yer alır. Tarixə baxsaq, haradasa on il əvvəl daxili audit funksiyası özünü inkişaf etdirdi və informasiya texnologiyalarının (İT) biznes əməliyyatlarının bütün aspektlərində oynadığı getdikcə daha vacib rola uyğunlaşdı. Bu gün isə daxili audit kibertəhlükəsizliklə bağlı kritik riskləri həll etmək üçün bir daha uyğunlaşma ehtiyacı ilə üzləşir. Bununla belə daxili auditin təmin edə biləcəyi real dəyər mütləq kibertəhlükəsizlik bilikləri vasitəsilə deyil riskin müəyyənləşdirilməsi, riskin kommunikasiyası və riski həll etmək üçün nəzarət vasitələrinin qiymətləndirilməsi bilikləridir. Risk fərqlidir, lakin daxili auditin rolu isə dəyişməz olaraq qalır.
Ümumiyyətlə kiber risk onu digər əməliyyat risk mənbələrindən əsaslı surətdə fərqləndirən üç əsas xüsusiyyətlə xarakterizə olunur: onun yayılma sürəti və miqyası, həmçinin təhdid subyektlərinin potensial niyyəti. Müxtəlif informasiya sistemlərinin qarşılıqlı əlaqəsi kiber insidentlərin tez və geniş şəkildə yayılmasına şərait yaradır. Bir sözlə kibertəhlükəsizlik riskləri əksər ənənəvi risklərdən nəzərəçarpacaq dərəcədə dinamikdir və vaxtında reaksiya tələb edir. Bəzi son hadisələr kiber cinayətkarların böyük təşkilatların şəbəkələrinə nüfuz etmək və onları tez bir zamanda sıradan çıxarmaq qabiliyyətini nümayiş etdirdi. Kiber insidentlər həmçinin sektorlar arasında və coğrafi sərhədlərdən kənarda, o cümlədən əsas hədəf və ya pozulma mənbəyi olmayan qurumlara geniş şəkildə yayıla bilər. Zərərli kiber insidentlər getdikcə davamlı və geniş yayılır, bu da təhdid subyektlərinin nail ola bildikləri yüksək səviyyəli mürəkkəbliyi və koordinasiyanı nümayiş etdirir. Bu əsnada daxili audit funksiyası davamlı olaraq audit fəaliyyətləri həyata keçirməklə təşkilatlara kibertəhlükəsizlik təhdidlərinin inkişaf edən təbiəti ilə ayaqlaşmağa kömək etmək üçün davamlı risk qiymətləndirmələrini təmin edə bilərlər. Daxili audit funksiyasının həyata keçirdiyi kibertəhlükəsizlik auditi və ya qiymətləndirməsi təşkilatların mövcud İT infrastrukturunun, siyasətlərinin və prosedurlarının hərtərəfli təhlili və sınaqdan keçirilməsidir. Belə bir qiymətləndirmə tənzimləmə qaydalarına riayət olunmasına təşviq edir və digər şeylərlə bərabər kiber təhdidləri və siyasət səhvlərini müəyyən edir və qarşısını alır. İstənilən təşkilatda daxili auditorların rolu məsul maraqlı tərəflərə təşkilatın fəaliyyətinin effektivliyi və səmərəliliyi barədə müstəqil obyektiv təminat verməklə dəyər əlavə etmək üçün nəzərdə tutulmuşdur. Kibertəhlükəsizlik auditinin qiymətləndirilməsi də həmçinin daxili auditorlar tərəfindən həyata keçirilən digər qiymətləndirmələrə oxşar yanaşmanı izləyir. Daxili audit funksiyası üçüncü müdafiə xətti olaraq təşkilatda şuraya və icraçı rəhbərliyə təşkilatın öz risklərini nə dərəcədə effektiv qiymətləndirdiyi və idarə etdiyi, o cümlədən birinci və ikinci müdafiə xəttinin nə qədər effektiv fəaliyyət göstərməsi ilə bağlı obyektiv təminat verir. Bu müdafiə xəttinin ən azı ilk ikisi qədər güclü olması mütləqdir. Səriştəli və obyektiv təminatverici funksiya olmadan təşkilat məlumatların qorunması üsullarının qeyri-adekvat və ya hətta köhnəlməsi ilə bağlı real risklərlə üzləşir.
Daxili Auditorlar İnstitutu OnRisk (Riskin anlaşılması, uyğunlaşdırılması və optimallaşdırılması üçün bələdçi) 2021-ci və 2022-ci illər hesabatında kibertəhlükəsizliyi qlobal miqyasda həmin illlər üçün ən yüksək risk kimi müəyyən edib. Həmin hesabatda bu risk həmçinin gələcəkdə diqqət yetirilməli risklər arasında ən üst yerdə dayanır. Cybersecurity Ventures tədqiqat mərkəzinin Cisco şirkəti ilə birgə nəşr etdiyi ‘Cybersecurity Almanac’ hesabatına əsasən kiber cinayətlərin qlobal olaraq verə biləcəyi ziyanın dəyəri 2025-ci ildə 10.5 trilyon dollara çatacağı ehtimal edilir. Bu rəqəm özlüyündə kiber risklərin təsir şiddətini anlamağa kifayət edir. Daxili Auditorlar İnstitutu davamlı olaraq kibertəhlükəsizliklə bağlı praktiki sənədlər dərc edir. Məsələn, Daxili Auditorlar İnstitutu tərəfindən nəşr olunan Qlobal Texnologiya Auditi üzrə Qlobal Bələdçi (GTAG) seriyasından olan “Kibertəhlükəsizlik Riskinin Qiymətləndirilməsi: Üç Xətt Modeli” Praktiki Təlimatında üçlü müdafiə xəttinin rolu aşkarlanmağa çalışılıb. Həmçinin bu Praktiki Təlimat daxili auditorlara kibertəhlükəsizlik riskləri üzərində təminat verməkdə səriştənin inkişaf etdirilməsinə kömək etmək üçün nəzərdə tutulmuşdur.
Daxili Auditorlar İnstitutunun bu günlərdə nəşr etdiyi yeni ‘GTAG’ təlimatı “Kibertəhlükəsizlik əməliyyatlarının auditi: Önləmə və Aşkarlama” daxili auditorlara kibertəhlükəsizliyin yüksək səviyyəli nəzarət məqsədlərini daha yaxşı başa düşməyə kömək etmək üçün yaradılmışdır ki, bu da onlara audit tapşırıqları və məsləhət xidmətləri zamanı əlavə etdikləri dəyəri maksimum dərəcədə artırmağa imkan verəcək.
Son olaraq qeyd edilməlidir ki, kibertəhlükəsizliyə önəm verməməklə və ya onun vacibliyini dərk etməməklə təşkilatlar uzunmüddətli perspektivdə özünün fəaliyyət nəticələrinə ziyan vurmaq şansını xeyli artırır.
Fuad Kələşli, CFE
