Российские технологии кибербезопасности должны развиваться под прицелом аудита, а сам аудит — при участии технологий. Эта взаимозависимость стала предметом дискуссий специалистов по информационной безопасности на Уральском форуме «Кибербезопасность в финансах». Участники сессии «Кибераудит в эпоху цифровизации», которую модерировал главный аудитор Банка России Валерий Горегляд, поговорили о том, насколько безопасны GPT-модели в роли консультантов и какие стандарты нужны для аудита в будущем.
Основные тенденции аудита информационной безопасности на ближайшую пятилетку описал Александр Хонин, руководитель отдела консалтинга и аудита Angara Security. По его мнению, у российских компаний уж прослеживается тренд на непрерывный аудит ИБ. «Заказчик не хочет проводить аудит в моменте. Ему требуется в постоянном режиме знать, какие угрозы для него реальны, какой ущерб возможен и какие технологии стоит применять прямо сейчас», — подчеркнул Александр Хонин.
Второй тренд — усиление регуляторных требований, стандартизацию и унификацию работы аудиторов. В качестве удачного примера регуляторной политики эксперт привел серию стандартов аудита в финансовой сфере от Банка России. «В других отраслях ситуациях обстоит хуже: аудиты идут по синусоиде — на них то есть спрос, то нет. Необходимость проведения аудита возникает под определенные задачи бизнеса: показать отчет партнеру перед сделкой или подготовиться к приходу регулятора. Такие нерегулярные аудиты проходят бессистемно, нет единого стандарта по срокам и порядку их проведения», — объяснил директор отдела консалтинга и аудита Angara Security.
И третьим трендом кибераудита, по мнению Хонина, станут технологии как объект и одновременно как инструмент оценки, и анализа информационных систем и процессов. Отечественные компании регулярно внедряют новейшие технологии, в том числе с использованием моделей искусственного интеллекта, которым в обязательном порядке требуется аудит кибербезопасности. При этом аудиторы сами используют автоматизацию, GPT-модели и другие технологические новинки для ускорения работы.
Новые технологии могут существенно упростить работу аудиторов, уверен Антон Свинцицкий, заместитель председателя Ассоциации АБИСС. По его мнению, на рынке ожидают активного применения GPT-моделей. «Кадровый голод и нехватка экспертов высокого уровня становится все ощутимее. На рынке работает ограниченное число аудиторов, которые не успевают закрывать все потребности отрасли. Применение альтернативных моделей позволяет быстрее обучать младших консультантов тонкостям технологий, — заявил Свинцицкий. — Становится возможной и автоматизация проверки. Робот может проанализировать за единицу времени в сотни или тысячи раз больше информации, чем человек-аудитор. Буквально в два клика с мобильного телефона можно проверить, соответствует ли загруженная конфигурация требованиям того или иного стандарта».
За технологиями не успевают и регламенты. Нормативных требований, которые бы учитывали специфику систем ИИ, больших данных и других технологических новаций в России нет, признают эксперты. Банк России готовит стандарты по передаче на аутсорсинг вопросов аудита ИБ. Рекомендации финансового регулятора могут стать базой для разработки стандартов для других отраслей. При этом «ручной работы» у самих аудиторов еще долгое время будет достаточно, уверены эксперты.
