CC BY
45Организация защиты учетной информации в условиях обеспечения кибербезопасности
сч о сч
сч
О!
о ш т
X
<
т О X X
Ордынская Марина Евгеньевна,
кандидат экономических наук, доцент, доцент кафедры учета и финансирования, Адыгейский государственный университет
Багова Саида Асланбиевна,
кандидат экономических наук, доцент, доцент кафедры учета и финансирования, Адыгейский государственный университет
Силина Татьяна Александровна,
кандидат экономических наук, доцент, доцент кафедры учета и финансирования, Адыгейский государственный университет
Таусова Ирина Федоровна,
кандидат экономических наук, доцент, доцент кафедры учета и финансирования, Адыгейский государственный университет
Сегодня технологии играют ключевую роль в различных областях экономики. Однако быстрое распространение новых технологических решений и возрастающая зависимость от технологий увеличили угрозы кибербезопасности, обострив другие риски, такие как цифровая фрагментация, нарушение конфиденциальности и неравенство. Таким образом, неправильное использование технологий может иметь долгосрочные последствия для общества.
В статье доказана важность учетной информации для хозяйственной жизни предприятия. Представлены сферы применения Интернет- и ^-технологий при отражении отдельных фактов хозяйственной жизни в системе бухгалтерского учета. Определены риски, с которыми сталкиваются электронные бухгалтерские информационные системы на основе выделения рисков для всех составляющих процесса бухгалтерского учета. Представлены предложения по снижению и нивелированию рисков информационной безопасности в системе бухгалтерского учета. Показано, что защита учетной информации и избежание кибератак возможны лишь в случае соблюдения комплексных мероприятий и совместных действий руководящего персонала, учетного персонала, аудиторов и учреждений образования при обучении будущих экономистов. Сделан вывод, что безопасность электронной информации в настоящее время стала критической проблемой. Ученые, менеджеры, бухгалтеры и аудиторы должны быть осведомлены о возникающих угрозах и мерах безопасности, которые эффективны для обеспечения безопасности информационных систем бухгалтерского учета, а эффективная коммуникация между руководством, бухгалтерами и аудиторами важны для уменьшения или защиты от возникающих угроз информационной системе бухгалтерского учета.
Ключевые слова: учетная информация, кибербезопасность, кибератака, информационная безопасность, риск.
Введение
Информационная система бухгалтерского учета формируется из конфиденциальной и частной информации, несанкционированное использование которой может привести к пагубным последствиям, связанным с потерей информации, неправильным вводом данных и злоупотреблением конфиденциальной информацией. Неадекватная информационная безопасность увеличивает возможность манипулирования, фальсификации или изменения бухгалтерских записей. Поэтому вопросы защиты информации, сформированной в системе бухгалтерского учета, являются чрезвычайно актуальными, а обеспечение ее безопасности является приоритетом во многих фирмах.
Проблемным аспектам определения угроз нарушения кибербезопасности и в целом информационной безопасности, включая различные подходы к сохранению бухгалтерской информации [1], разработку мер к повышению ее защищенности [2], предупреждение нарушения информационной безопасности и кибератак [3] посвящены исследования многочисленных ученых и практиков. Однако подходы к организации защиты информации в условиях обеспечения кибербезопасности требуют дополнительного обобщения. Актуальным является определение вклада каждого причастного к осуществлению хозяйственной деятельности предприятия в формирование средств и направлений защиты информации и обзор современных подходов управления исследуемой предметной областью.
Цель исследования: обобщить существующие подходы и очертить перспективные направления к организации защиты учетной информации в условиях обеспечения кибербезопасности.
Результаты исследования
Как замечает Н.М. Кучукова [4], информация о фактах хозяйственной жизни предприятия формируется в системе бухгалтерского учета и характеризуется высокой степенью ценности. Она является залогом устойчивости, развития и эффективности деятельности такого предприятия, но только при условии ее надежной защиты. Несанкционированный или несоответствующий доступ к информационной системе бухгалтерского учета или неспособность установить и поддерживать разделение обязанностей в рамках системы внутреннего
контроля может затруднить обеспечение регистрации, обработки и представления достоверных и точных транзакций.
Активное применение интернет- и 1Т-технологий системой бухгалтерского учета (на примере отдельных операций), которые могут подвергнуться воздействию риска кибератаки приведено в табл. 1.
Таблица 1
Применение Интернет- и 1Т-технологий при отражении отдельных фактов хозяйственной жизни в системе бухгал-
Хозяйственная операция Характеристика
Управление денежными потоками Информационная система бухгалтерского учета обеспечивает процесс управления, который включает в себя данные о денежных средствах, запасах и реализации. Компьютеризированная система может предоставить информацию гораздо быстрее, чем неавтоматизированный учет, что де-пает ее важным инструментом в управлении наличными и уровнем запасов
Процесс реализации Система бухгалтерского учета признает реализацию как увеличение выручки вместе с увеличением денежных средств или дебиторской задолженности. Программное обеспечение торговых точек позволяет сканировать товары и передавать данные в систему бухгалтерского учета в режиме реального времени, что является основным преимуществом в управлении денежными средствами и запасами
Расчеты В зависимости от типа бизнеса платежи могут осуществляться в форме чеков, кредитных карт, наличных, банковского перевода и денежных переводов. Эти транзакции фиксируются в системе бухгалтерского учета. У некоторых компаний есть специальные модули дебиторской задолженности, которые распознают не только данные бухгалтерского учета, но также детали продаж, условия, контакты и другую информацию.
Доставка В интегрированных системах доставки деятельность отображается в главной книге, в основном в части инвентаризации. Система регистрирует все соответствующие транзакции, поэтому сотрудникам, которые работают на складе, не нужно знать бухгалтерский учет для правильного выполнения этой деятельности. Функция отгрузки состоит из двух частей: отбор товара и отгрузка. Штрих-коды часто используются для ускорения этого процесса, документирования и уменьшения инвентарных счетов.
Отчетность Информационная система бухгалтерского учета может создавать отчеты, используемые руководством для принятия решений по финансовым вопросам. Некоторые общие отчеты - это отчеты об уровне запасов, анализ тенденций и отчеты о сроках погашения дебиторской задолженности. Без компьютерной системы было бы очень сложно составлять эти подробные отчеты своевременно и эффективно
Источник: систематизирован и дополнен на основе [4], [5].
По мнению исследователей [6], кибератака, которая приводит к значительному нарушению данных, может иметь пагубные последствия не только для операционной стороны фирмы, но также будет иметь юридические последствия для директоров
бизнеса, когда высший менеджмент может столкнуться с регуляторным расследованием или судебным разбирательством. Нарушение данных также может вызвать значительный риск доверия и репутации, что может привести к потере дохода/снижению цены акций публично зарегистрированных компаний. Как отмечает A.Güney [6], ежегодно теряются миллионы долларов из-за фи-шинговых писем и текстовых сообщений, выдающих себя за банки или поставщиков коммунальных услуг, которые ищут данные для входа; поддельные онлайн-викторины, опросы и объявления о работе. В целом, исследование случаев киберпре-ступности и связанных с ней расходов показывает значительный рост. [6]
Что касается выделения рисков угрозы безопасности бухгалтерских данных, то исследователями уделяется этому вопросу достаточно внимания. Так, Г.И. Золотарева [7] акцентирует внимание на применении слабых инструментов аутентификации пользователей бухгалтерской информации; пренебрежении правилами защиты рабочих компьютеров или иных устройств, с которых совершаются доступ и работа с учетными данными; применении рабочих устройств в нерабочих целях; отсутствии или недостаточности у бухгалтеров элементарных знаний по основам кибербезопасности; неправильной расстановке приоритетов и отсутствия должной поддержки со стороны системы менеджмента предприятия; пренебрежении правилами хранения бухгалтерских данных и их периодического резервирования; игнорировании имеющихся рисков и негативного опыта других участников рынка; отсутствия на предприятии соответствующего специалиста из защиты бухгалтерской информации.
С.Н. Поленова [8] замечает, что одним из самых распространенных видов информационных угроз являются вирусные атаки. И.В. Федоренко [1] отмечает, что специфической угрозой информационной безопасности учетной информации является недостоверность информации, которая может возникнуть вследствие влияния ряда факторов, в частности, из-за ошибок в используемом программном обеспечении.
J.H. Lim [9] приводит перечень рисков, связанных с системами бухгалтерского учета, - от бронирования фальшивых транзакций до кражи всей финансовой информацией. Примеры рисков: кража номеров социального страхования у сотрудников и подрядчиков; платежи поддельным-по-ставщикам; удаление/потеря данных; повреждение резервных лент и носителей информации; кража серверов или компьютеров.
Интересным подходом является подход к выделению групп риска, предложенный M.AlHaija [10], который привел риски, исходя из процессов, что включает в себя бухгалтерский учет: процесса
х
X
о го А с.
X
го m
о
2 О
м
сч
0 сч
сч
01
о ш
В
X
<
В
О X X
сбора, накопления, систематизации, обобщения учетной информации (табл. 2).
Таблица 2
Риски, с которыми сталкиваются электронные бухгалтерские информационные системы
1. Персонал неправильно вводит (случайно/намеренно) данные.
2. Непреднамеренное уничтожение данных сотрудниками.
3. Умышленное уничтожение данных сотрудниками
Содержание
Характеристика
Риски, связанные со сбором и вводом данных в автоматизи-_рованную систему_
Маскировка (притворство авторизованного пользователя) и подключение к телекоммуникационным линиям являются примерами хакер-ских действий, которые могут серьезно повлиять на достоверность данных
Риски, связанные с обработкой информации и ее хранением на электронных ^ носителях
1. Незаконный (несанкционированный) доступ к данным и системе сотрудников.
2. Незаконный доступ к данным и системе сторонних людей.
3. Участие многих сотрудников в одном пароле.
4. Внедрение компьютерного вируса для учетной системы и влияние на работу системы данных.
5. Перехват и доступ к данным с серверов на компьютеры пользователей
Незаконный доступ к файлам или их удаление, уничтожение или повреждение логики программы с помощью вирусов или изменение логики программы, что заставляет приложение обрабатывать данные неправильно. Неспособность поддерживать файлы резервных копий или другие методы извлечения приводит к потере данных_
Риски, связанные с этапом обобщения и передачей информации
1. Формирование фальсифициро ванной отчетности.
2. Кража данных/информации, копирование
3. Несанкционированное раскрытие данных путем отображения на экране или печати на бумаге.
4. Распечатка и распространение информации посторонними лицами
5. Передача конфиденциальных документов для утилизации, не отвечающая требованиям безопасности
Кража, перенаправление или неправильное использование компьютерных данных может нанести ущерб конкурентоспособности или репутации организации
Источник: обобщен и дополнен на основе [10].
Наличие выделенных угроз продуцирует разработку методов их минимизации. Так, в частности, А.Е. Шевелев и Е.В. Шевелева [11], подчеркивая необходимость защиты от рисков, отмечают, что в случае их игнорирования, они могут подорвать актуальность и надежность финансовой информации, что приведет к принятию неправильных решений различными заинтересованными сторонами.
И.В. Федоренко [1] предлагает меры для минимизации рисков в части логической (идентификация рисков, рассмотрение обеспечения информационной безопасности предприятия как части корпоративной культуры) и физической (шифрование данных, физическая защита технического обеспечения) безопасности. Учет этих мер позволит значительно минимизировать последствия кибератак.
Н. О^ D. Ко [3] также идентифицируют две группы методов управления рисками: превентивные (с целью предупреждения рисков) и детективные (с целью выявления проблем посфактум). Как только риски идентифицированы, можно настроить средства управления для защиты системы: частая смена пароля; шифрование данных; ежемесячная проверка отчетов поставщиков; безопасная и защищенная серверная и компьютерная среда; безопасное и защищенное архивирование резервных копий вне офиса.
М.В. Львова и Т.В. Бочкарева [5] выделяют три группы мероприятий: 1) организационные (ограничение несанкционированного доступа к конфиденциальной учетной информации); 2) технические (предупреждение намеренного повреждения учетной информации с помощью специально спровоцированных нарушений работоспособности технических средств или программного обеспечения); 3) кадровая работа (повышение компетентности работников и их ответственности в применении новейших информационных технологий).
Можем согласиться со всеми вышеприведенными предложениями. Ведь каждый субъект хозяйствования пытается избежать рисков кибе-ратак и обеспечить информационную безопасность информации любым способом.
Однако, по нашему мнению, защита учетной информации и избежание потенциальной кибератаки возможны лишь в случае соблюдения комплексных мер и совместных действий руководства, учетного персонала, аудиторов и, в то же время, образовательных учреждений при обучении будущих специалистов. Так, например, руководитель предприятия должен обладать соответствующими знаниями и компетенцией, чтобы понимать порядок документирования и уметь тестировать систему внутреннего контроля. Это не значит, что руководитель должен быть бухгалтером по специальности или специалистом в сфере программирования или защиты информации. Но руководитель должен понимать сущность всех операций и интересоваться такими вопросами, как реальное наличие активов и обязательств указанных в финансовой отчетности; действительность отражения зарегистрированных и отраженных в отчетности хозяйственных операций и все ли операции отражены; правильно ли классифицируются и раскрываются объекты бухгалтерского учета в финансовой отчетности; можно ли доверять отчетам ответственных работников, если существует угроза информационной безопасности предприятия, а руководство не приняло мер для защиты организации от внутренних и внешних угроз.
Бухгалтеры должны быть осведомлены об угрозах безопасности и соответствующих методах контроля, чтобы защитить свои информационные системы и консультировать предприятия относительно рисков безопасности. Важным является
обеспечение рабочих мест бухгалтеров самыми современными антивирусными программами. Актуальным является умение распознавать мошенничество по электронной почте, которое не адресовано напрямую. Например, A. Güney [6] приводит 6 способов распознания фальшивых писем: низкий уровень грамматики / орфографии, некачественные иллюстрации; наличие инструкции перехода по ссылке; странное происхождение; ощущение срочности. Кроме того, необходимо создавать резервные копии данных и использовать сложные пароли. И, конечно, избегать открытия вложений от неизвестных лиц в письме.
Важным субъектом обеспечения избежания угроз кибератак предприятия является аудитор (внешний, внутренний). Так, процедуры, когда аудитор может назначить ИТ-специалиста, включают: выяснение того, какие данные и транзакции инициируются, регистрируются, обрабатываются и признаются; проверку системной документации; наблюдение за работой средств контроля ИТ; планирование и выполнение тестов ИТ-средств управления. Аудитор должен иметь достаточные знания в области ИТ, чтобы довести до ведома ИТ-специалиста цель аудита, оценить, будут ли процедуры соответствовать целям аудитора, а также оценить результаты процедур, поскольку они связаны с характером, сроками и объемом других аудиторских процедур [2].
Также в современных реалиях важным аспектом подготовки будущих экономистов является понимание ими необходимости ИТ-безопасности и важность совместной работы над разработкой политик, процессов и технологий для устранения угроз. Сегодня от будущих выпускников ВУЗов в области бухучета и налогообложения следует требовать знания и навыки, которые позволят им понимать бизнес-среду, проводить оценку рисков, оценивать внутренний контроль и внедрять эффективные и действенные меры безопасности. Важно стремиться к интеграции методов безопасности в учебные программы по бухгалтерскому учету.
Как отмечают исследователи [12], сертификаты CPA (подтверждает профессиональные знания в области аудита, хозяйственного права, финансового учета и отчетности, налогообложения), CMA (сертифицированный бухгалтер по управленческому учету) и CIA (дипломированный внутренний аудитор) все больше признают важность ИКТ в системе бухгалтерского учета. Так, на экзамене CPA от 12% до 18% в разделе «Аудит и аттестация» и от 22% до 28% в тестовых темах раздела «Бизнес-среда и концепции» относятся к компьютеризированной среде и влиянию ИКТ на бизнес-среду. На экзамене CMA 15% заданий частей I и II экзамена посвящены различным областям, связанным с информационными системами и технологиями. На экзамене CIA от 30% до 40% заданий части III
охватывает ИКТ, включая структуры управления, данные и сетевую связь, электронный обмен данными, шифрование и защиту информации. Следует отметить, что в российском профессиональном стандарте Бухгалтер требование знания правил защиты информации предусмотрено для трудовых функций 6— 8 уровня квалификации.
Новые профессиональные обозначения, такие как сертифицированный специалист по информационным технологиям (ОТР), сертифицированный аудитор информационных систем (CISA) и сертифицированный специалист по безопасности информационных систем (CISSP), демонстрируют потребность в сертификации, связанной с информационными технологиями, системным аудитом и безопасностью систем.
Заключение
Безопасность электронной информации в настоящее время стала критической проблемой. Ученые, менеджеры, бухгалтеры и аудиторы должны быть осведомлены о возникающих угрозах и мерах безопасности, которые эффективны для обеспечения безопасности информационных систем бухгалтерского учета.
Таким образом, эффективная коммуникация между руководством, бухгалтерами и аудиторами важна для уменьшения рисков или защиты от возникающих угроз информационной системе бухгалтерского учета. Чтобы правильно оценить потенциальные риски, бухгалтеры и аудиторы должны быть знакомы с применяемыми и новыми технологиями. Контроль несанкционированного доступа к бухгалтерским записям является важным компонентом внутреннего контроля. Политика доступа и паролей, шифрование, цифровые подписи, блокировка дисков, межсетевые экраны и цифровые сертификаты являются примерами мер обеспечения безопасности бухгалтерской информации, которые должны быть идентифицированы, задокументированы, доведены до исполнителей и подвергнуты проверке при оценке эффективности контроля.
Литература
1. Федоренко И.В. Проблемы защиты бухгалтерской информации в современных услових ее обработки// Учет, анализ и аудит: проблемы теории и практики. 2017. № 18. С. 166-171.
2. Ситнов А.А. Аудит состояния информационной инфраструктуры// Аудитор. 2012. № 12. С. 16-21.
3. Oh H., Ko D. Effects Characteristic of Accounting Information System Cause on Accounting Information System Performance// JournalofIndustrialEconomicsandBusiness.2018. Vol. 31(5). pp. 1673-1691.
4. Кучукова Н.М. Роль бухгалтерского учета и внутреннего контроля в обеспечении экономиче-
х
X
о го А с.
X
го m
о
2 О
м
ской безопасности и эффективного контроля имущественного комплекса предпринимательских структур / Вестник УГНТУ. Наука, образование, экономика. Серия: Экономика. 2017. № 3(21). С.93-98
5. Львова М.В., Бочкарева Т.В. Роль бухгалтерского учета в обеспечении экономической безопасности хозяйствующего субъекта // Экономика и современный менеджмент. 2017. № 4 (66). С. 11-16.
6. Güney A. Role of technology in accounting and e-accounting//Procedia - Social and Behavioral Sciences.2014. Vol. 152.pp. 852- 855.
7. Золотарева Г.И., Федоренко И.В. Методология аудита информационной безопасности системы бухгалтерского учета: монография. - Красноярск, 2015. 176 с.
8. Поленова С.Н. Обеспечение соблюдения коммерческой тайны в бухгалтерском учете//Ауди-тор.2014. №8. С. 61-65.
9. Lim J.H. A Study on the Effects of Accounting Information System Characteristics on Accounting Information System Performance//Korea International Accounting Review.2010. Vol. 34.pp. 129-146.
10. Al Haija M. The Impact of Computerized Accounting Information Systems Risks on the Quality of Accounting Information// International Journal of Business and Management. Vol. 16(7). pp. 91-103.doi:10.5539/ijbm. v16n7p91
11. Шевелев А.Е., Шевелева Е.В. Риски в бухгалтерском учете. - М.: КНОРУС, 2008. 304 с.
12. Boyd D.T., Boyd S.C., Berry P.A Primer for Accounting Certification: Complete Analysis Of The Process With Listing Of Sources// American Journal of Business Education. 2009. Vol. 2(7). pp. 83-96.
СЧ
0
СЧ СЧ
01
Organization of account protection under cyber security conditions Ordynskaya M.E., Bagova S.A., Silina T.A., Tausova I.F.
Adyghe State University
JEL classification: B00, D20, E22, E44, L23, L51, L52, M11, M20, M30, Z33
Technology plays a key role in various areas of the economy today. However, the proliferation of new technological solutions and increasing reliance on technology have increased cybersecurity threats, exacerbating other risks such as digital fragmentation, privacy breaches, and inequality. Thus, misuse of technology can have long-term consequences for society.
The article proves the importance of accounting information for the economic life of an enterprise. The areas of application of Internet and IT technologies are presented when reflecting certain facts of economic life in the accounting system. The article identifies the risks faced by electronic accounting information systems on the basis of identifying risks for all components of the accounting process. Proposals for the reduction and leveling of information security risks in the accounting system are presented. It is shown that the protection of accounting information and avoidance of cyberattacks are possible only in the case of compliance with complex measures and joint actions of management personnel, accounting personnel, auditors and educational institutions in training future economists. It is concluded that the security of electronic information has now become a critical issue. Scientists, managers, accountants and auditors need to be aware of emerging threats and security measures that are effective to secure the accounting information systems, and effective communication between management, accountants and auditors is essential to reduce or protect against emerging threats to the accounting information system. Keywords: accounting information, cybersecurity, cyberattack, information
security, risk. References
1. Fedorenko I.V. Problems of accounting information protection in modern
conditions of its processing // Accounting, analysis and audit: problems of theory and practice. 2017. No. 18. S. 166-171.
2. Sitnov A.A. Audit of the state of information infrastructure // Auditor. 2012.
No. 12. P. 16-21.
3. Oh H., Ko D. Effects Characteristic of Accounting Information System
Cause on Accounting Information System Performance // Journal of Industrial Economics and Business. 2018. Vol. 31 (5). pp. 1673-1691.
4. Kuchukova N.M. The role of accounting and internal control in ensuring
economic security and effective control of the property complex of business structures / Bulletin of USPTU. Science, education, economics. Series: Economics. 2017. No. 3 (21). Pp. 93-98
5. Lvova M.V., Bochkareva T.V. The role of accounting in ensuring the
economic security of an economic entity // Economics and modern management. 2017. No. 4 (66). S. 11-16.
6. Guney A. Role of technology in accounting and e-accounting // Procedia -
Social and Behavioral Sciences. 2014. Vol. 152.pp. 852- 855.
7. Zolotareva G.I., Fedorenko I.V. Methodology for auditing information
security of the accounting system: monograph. - Krasnoyarsk, 2015.176 p.
8. Polenova S.N. Ensuring compliance with commercial secrets in accounting
// Auditor. 2014. No. 8. S. 61-65.
9. Lim J.H. A Study on the Effects of Accounting Information System
Characteristics on Accounting Information System Performance // Korea International Accounting Review. 2010. Vol. 34.pp. 129-146.
10. Al Haija M. The Impact of Computerized Accounting Information Systems
Risks on the Quality of Accounting Information // International Journal of Business and Management. Vol. 16 (7). pp. 91-103.doi: 10.5539 / ijbm. v16n7p91
11. Shevelev A.E., Sheveleva E.V. Risks in accounting. - M.: KNORUS, 2008.304 p.
12. Boyd D. T., Boyd S. C., Berry P. A Primer for Accounting Certification: Complete Analysis Of The Process With Listing Of Sources // American Journal of Business Education. 2009. Vol. 2 (7). pp. 83-96.
О Ш
m x
<
m о x
X
