SEC не в состоянии обеспечить собственную ИТ-безопасность
Эксперты Счетной палаты США) провели первый внешний аудит Комиссии по ценным бумагам США (SEC) и установили отсутствие процедуры контроля над отчетностью для предотвращения мошенничества и подтверждения точности учета.
Именно к такому выводу пришли эксперты GAO (Счетная палата США - Government Accountability Office), проводившие первый внешний аудит SEC (Комиссия по ценным бумагам США - Securities and Exchange Commission). Было установлено, что SEC не реализовала процедуры контроля над составляемой отчетностью, призванные предотвращать мошенничество и подтверждать точность ведения финансовой отчетности. Между тем SEC сама должна проверять публичные компании на предмет наличия таких процедур и следить за соблюдением законодательства, в том числе закона Сарбаниса-Оксли.
Аудиторы GAO выяснили, в ИТ-инфраструктуре SEC не реализованы «всесторонние средства мониторинга, позволяющие выявить необычную или подозрительную активность при доступе к информации». Другими словами, SEC не оснастила свою ИТ-инфраструктуру эффективными средствами управления доступом, а также процедурами аудита и мониторинга событий ИТ-безопасности. Речь идет об учетных записях и паролях пользователей, временных и постоянных правах доступа, сетевой безопасности и вообще об ограничении и выявлении доступа к критической финансовой отчетности и чувствительным компонентам ИТ-инфраструктуры. Как результат, риски неавторизованного доступа к важной информации, ее модификации или потери были очень и очень высоки.
Более того, специалисты GAO нашли погрешности во внутренней финансовой отчетности SEC. В частности было установлено, что SEC накладывала на проверяемые компании неправильные штрафы. По мнению аудиторов GAO, это явилось следствием предыдущего недостатка: в условиях очень слабого контроля над своей внутренней ИТ-безопасностью SEC просто не могла обеспечить должные точность и корректность своих финансовых записей.
Представители SEC сообщили, что сожалеют о результатах аудита и заверили, что организация покажет пример того, как надо устранять выявленные бреши в системе внутренней ИТ-безопасности. Тем не менее, как заметили специалисты GAO, SEC не нарушала законодательного регулирования, касающегося внутреннего контроля над финансовой отчетностью.
«Фискальная система США работает достаточно эффективно. Благодаря GAO мы узнали о недостатках SEC, которые эта организация пытается устранить в публичных компаниях. Будем надеяться, что SEC действительно покажет достойный пример устранения слабостей в системе внутренней ИТ-безопасности. К тому же это достаточно легко сделать: сегодня существует целый ряд комплексных решений, обеспечивающих управление доступом, защиту конфиденциальной информации, а также аудит и мониторинг отчетности», - прокомментировал Евгений Преображенский, генеральный директор компании InfoWatch.
Аудиторы GAO выяснили, в ИТ-инфраструктуре SEC не реализованы «всесторонние средства мониторинга, позволяющие выявить необычную или подозрительную активность при доступе к информации». Другими словами, SEC не оснастила свою ИТ-инфраструктуру эффективными средствами управления доступом, а также процедурами аудита и мониторинга событий ИТ-безопасности. Речь идет об учетных записях и паролях пользователей, временных и постоянных правах доступа, сетевой безопасности и вообще об ограничении и выявлении доступа к критической финансовой отчетности и чувствительным компонентам ИТ-инфраструктуры. Как результат, риски неавторизованного доступа к важной информации, ее модификации или потери были очень и очень высоки.
Более того, специалисты GAO нашли погрешности во внутренней финансовой отчетности SEC. В частности было установлено, что SEC накладывала на проверяемые компании неправильные штрафы. По мнению аудиторов GAO, это явилось следствием предыдущего недостатка: в условиях очень слабого контроля над своей внутренней ИТ-безопасностью SEC просто не могла обеспечить должные точность и корректность своих финансовых записей.
Представители SEC сообщили, что сожалеют о результатах аудита и заверили, что организация покажет пример того, как надо устранять выявленные бреши в системе внутренней ИТ-безопасности. Тем не менее, как заметили специалисты GAO, SEC не нарушала законодательного регулирования, касающегося внутреннего контроля над финансовой отчетностью.
«Фискальная система США работает достаточно эффективно. Благодаря GAO мы узнали о недостатках SEC, которые эта организация пытается устранить в публичных компаниях. Будем надеяться, что SEC действительно покажет достойный пример устранения слабостей в системе внутренней ИТ-безопасности. К тому же это достаточно легко сделать: сегодня существует целый ряд комплексных решений, обеспечивающих управление доступом, защиту конфиденциальной информации, а также аудит и мониторинг отчетности», - прокомментировал Евгений Преображенский, генеральный директор компании InfoWatch.