Stowarzyszenie Inwestorów Indywidualnych i NASK SA przedstawiły listę rekomendowanych zasad cyberbezpieczeństwa w organizacji dla spółek notowanych na Giełdzie Papierów Wartościowych w Warszawie. Zasady te powinny być stałym elementem ładu korporacyjnego spółek i rekomendacjami dla zarządów chcących działać na rzecz ograniczenia zagrożeń cyfrowych .
W lipcu 2024 r. SII i NASK SA podjęły inicjatywę przygotowania wytycznych dla spółek publicznych dotyczących zarządzania cyberbezpieczeństwem w organizacji (Cybersecurity Corporate Governance). Celem współpracy miało być wskazanie polityk, procesów i praktyk, które powinny zostać wdrożone przez spółki publiczne w celu zapewnienia skutecznego i efektywnego nadzoru oraz ochrony nad ich systemami informatycznymi i zasobami cyfrowymi.
W trakcie ForFin 2024 SII i NASK zaprezentowały 25 zasad dotyczących cyberbezpieczeństwa oraz zawarły porozumienie mające na celu ich wdrażanie na polskim rynku kapitałowym.
Zasady cyber governance zgodne są z wytycznymi SEC (Securities and Exchange Commission) dla spółek notowanych na rynkach kapitałowych i odnoszą się do zarządzania ryzykiem cyberbezpieczeństwa, ochrony danych oraz zarządzania incydentami związanymi z bezpieczeństwem IT. W obecnej sytuacji zasady cyberbezpieczeństwa są dla inwestorów i akcjonariuszy jednym z kluczowych elementów corporate governance.
– W dzisiejszych czasach skuteczne i efektywne zarządzanie cyberbezpieczeństwem powinno stanowić priorytet dla spółek notowanych na giełdzie. Ochrona zasobów informatycznych oraz danych wrażliwych ma bowiem kluczowe znaczenie dla budowania zaufania interesariuszy oraz pozycji i wiarygodności na rynku, co przekłada się również na wyższe wyceny spółek – powiedział Jarosław Grzywiński, prezes zarządu NASK.
– Dlatego też wspólnie ze Stowarzyszeniem Inwestorów Indywidualnych w ramach projektu Cyber Governance 2025 opracowaliśmy 25 zasad dotyczących cyberbezpieczeństwa, których stosowanie rekomendujemy wszystkim spółkom giełdowym. Ich wdrożenie nie tylko zapewnia ochronę przed cyberzagrożeniami, ale również usprawnia działalność całej organizacji i pozwala zbudować bezpieczne środowisko dla wszystkich interesariuszy. Biorąc to pod uwagę, zasady Cyber Governance powinny być stałym elementem ładu korporacyjnego mającym na celu kompleksowe wzmocnienie cyberodporności spółek notowanych na giełdzie – dodał Grzywiński.
|
Czym jest NASK SA
Powołana przez NASK Państwowy Instytut Badawczy spółka NASK SA jest operatorem telekomunikacyjnym oraz dostawcą zaawansowanych usług i rozwiązań teleinformatycznych o krytycznym znaczeniu dla biznesu i sektora publicznego. Świadczy zaawansowane usługi bezpieczeństwa teleinformatycznego, kolokacji i hostingu, buduje sieci korporacyjne, oferuje usługi centrum danych ulokowane we własnych serwerowniach. Zapewnia również tradycyjne usługi teleinformatyczne – dostęp do Internetu i telefonię.
Więcej informacji dostępnych jest na stronie www.nasksa.pl. |
– Odporność na zagrożenia cyfrowe to jeden z obszarów, o których najczęściej mówi się dopiero wtedy, gdy taki problem w danej spółce powstanie. Wspólnie z NASK SA chcemy podnieść poziom świadomości wśród zarządów spółek na tego rodzaju niebezpieczeństwa, które mogą przełożyć się na realne straty dla akcjonariuszy. WIerzę, że nasz głos spotka się z pozytywną reakcją, a projekt Cyber Governance 2025 będzie kolejną cegiełką, którą kładziemy w celu budowania silnego i sprawnego rynku kapitałowego w Polsce – stwierdził Jarosław Dominiak, prezes zarządu Stowarzyszenia Inwestorów Indywidualnych.
Jarosław Dominiak, prezes SII oraz Jarosław Grzywiński, prezes NASK SA na ForFin 2024
W czasie ForFin 2024 Jarosław Dominiak i Jarosław Grzywiński wzięli udział w panelu dyskusyjnym „Nowe wyzwania przed inwestorami w XXI wieku, czyli cyberbezpieczeństwo na rynku finansowym”. W najbliższym czasie opublikujemy zapis tego wydarzenia.
SII i NASK S.A. – rekomendacje zasad cyber governance dla spółek notowanych na rynkach kapitałowych
Przedstawiamy 25 kluczowych zasad i polityk, których stosowanie spółki giełdowe powinny rozważyć, przede wszystkim w interesie akcjonariuszy i inwestorów, w kontekście tych wytycznych. Wskazane zasady mogą pomóc w zapewnienieu odpowiedniego zarządzania ryzykiem związanym z technologiami informacyjnymi.
1. Zasada pełnej odpowiedzialności Zarządu za cyberbezpieczeństwo
Zarząd spółki publicznej powinien ponosić wyznaczoną odpowiedzialność za bezpieczeństwo cybernetyczne oraz monitorować ryzyko związane z cyberzagrożeniami.
Zarząd pełni kluczową rolę w zapewnieniu skutecznej ochrony Spółki przed cyberzagrożeniami oraz odpowiada za wdrażanie bezpiecznych i skutecznych rozwiązań w regulacjach wewnętrznych dotyczących wszystkich obszarów jej funkcjonowania.
Zarząd, w celu lepszego rozumienia występujących ryzyk oraz świadomego podejmowanie decyzji dotyczących cyberbezpieczeństwa, powinien stale pogłębiać swoją wiedzę z tego obszaru. Zarówno w Zarządzie, jak i w samej Spółce, powinny zostać wyznaczone osoby odpowiedzialne za jej cyberbezpieczeństwo, które powinny być regularnie rozliczane z wyznaczonych im w tym zakresie celów.
2. Zasada kultury bezpieczeństwa
Należy budować kulturę organizacyjną, która promuje świadomość i odpowiedzialność za bezpieczeństwo wśród wszystkich pracowników.
Kultura organizacyjna, która priorytetowo traktuje kwestie związane z cyberbezpieczeństwem i daje pracownikom przestrzeń oraz zachęca do aktywnego działania na rzecz bezpiecznego środowiska pracy, odgrywa kluczową rolę.
Budowanie kultury cyberbezpieczeńśtwa, w której wszyscy w organizacji mają poczucie odpowiedzialności za kwestie związane z cyberbezpieczeństwem nie tylko zapewnia kompleksową ochronę przed cyberzagrożeniami, ale również buduje reputację Spółki, jako podmiotu odpowiedzialnego i dbającego o bezpieczeństwo akcjonariuszy i inwestorów.
3. Zasada właściwej oceny ryzyk cyberbezpieczeństwa
Spółki publiczne na rynku kapitałowym powinny regularnie oceniać ryzyka związane z cyberbezpieczeństwem, w tym potencjalne skutki incydentów cyberbezpieczeństwa oraz naruszeń danych.
Budowanie systemu mającego zapewnić cyberbezpieczeńśtwo w spółce publicznej notowanej na rynku kapitałowym powinno być poprzedzone kompleksową analizą ryzyka (security by design), która pozwoli zidentyfikować oraz ocenić kluczowe obszary i zagrożenia, z uwzględnieniem wymagań biznesowych.
Analiza ryzyka powinna być przeprowadzana regularnie i uwzględniać zarówno czynniki zewnętrzne, takie jak cyberzagrożenia i obowiązujące regulacje, jak i wewnętrzne funkcjonowanie i specyfikę Spółki.
4. Zasada transparentnych polityk i procedur
W spółkach publicznych powinny istnieć jasne polityki dotyczące ochrony danych, zarządzania incydentami oraz odpowiedzi na pojawiające się zagrożenia.
W spółkach publicznych notowanych na rynkach kapitałowych powinny obowiązywać regulacje zawierające szczegółowe zasady związane z cyberbezpieczeństwem, w tym dotyczące stosowanych zabezpieczeń, zawierające instrukcje reagowania na incydenty bezpieczeństwa oraz opisujące właściwe sposoby zabezpieczania oraz korzystania z danych.
Konieczne jest przy tym zapewnienie stałego dostosowywanie tych regulacji do aktualnych przepisów i pojawiających się zagrożeń.
5. Zasada zarządzanie dostępem do systemów, aplikacji i danych
Spółki notowane na rynku kapitałowym powinny stosować zasady ograniczonego dostępu do systemów, aplikacji i danych na zasadzie „najmniejszego uprawnienia”.
System dostępu do zasobów informatycznych Spółki powinien być zorganizowany w ten sposób, że użytkownicy mają dostęp wyłącznie do tych danych i elementów systemu informatycznego, które są im w danym momencie niezbędne do wykonywania ich obowiązków.
Uprawnienia dostępu do poszczególnych danych i elementów systemu informatycznego powinny być nadawane pod nadzorem i kontrolą administratora, a wszelkie nietypowe aktywności użytkowników weryfikowane (np. logowania i aktywność w systemie informatycznym powinny być monitorowane). Jednocześnie dostęp do pomieszczeń, w których znajdują się serwery i inne urządzenia sieciowe powinien być ściśle ograniczony i nadzorowany.
6. Zasada regularnego testowanie systemów
Spółki powinny przeprowadzać regularne testy penetracyjne oraz audyty bezpieczeństwa swoich systemów IT.
Testy penetracyjne w zakresie cyberbezpieczeństwa oraz audyty bezpieczeństwa pozwalają na weryfikację przez zewnętrzny i niezależny podmiot, czy w systemie informatycznym występują luki lub podatności bezpieczeństwa umożliwiające obejście stosowanych zabezpieczeń.
W ich wyniku możliwe jest wprowadzenie odpowiednich usprawnień i modyfikacji systemu informatycznego.
7. Zasada najwyższego zabezpieczenia na poziomie sieciowym
Należy stosować odpowiednie mechanizmy ochrony na poziomie sieci, w tym zapory ogniowe, wykrywanie zagrożeń oraz szyfrowanie.
8. Zasada monitorowania incydentów w czasie rzeczywistym
Spółki powinny stosować systemy monitorowania i reagowania na incydenty w czasie rzeczywistym, aby szybko wykrywać i neutralizować zagrożenia.
W Spółce powinny zostać wdrożone narzędzia monitorujące w środowiskach IT i OT umożliwiające błyskawiczne reagowanie na wszelkie anomalie i nieprawidłowości wykrywane w ruchu w sieci.
Wykorzystywane powinny być takie rozwiązania, jak dzienniki bezpieczeństwa, do których analizy w czasie rzeczywistym może być wykorzystywane dedykowane oprogramowanie (np. rozwiązania klasy SIEM – Security Information and Event Management) lub dedykowane centrum operacji bezpieczeństwa SOC (Security Operation Center).
9. Zasada zarządzania i reagowania na incydenty
Należy opracować i wdrożyć szczegółowy plan reagowania na incydenty, który obejmuje identyfikację, analizę, odpowiedź i raportowanie incydentów cyberbezpieczeństwa.
Spółka powinna być przygotowana na wystąpienie incydentów cyberbezpieczeństwa i mieć opracowany plan reagowania na incydenty, uwzględniający ryzyko wystąpienia różnego rodzaju cyberzagrożeń oraz obowiązki poszczególnych członków organizacji w razie ich wystąpienia, a także wskazujący na odpowiednie środki zapobiegawcze.
Pracownicy powinni zostać poinstruowani kogo informować o zidentyfikowanych incydentach cyberbezpieczeństwa i jak na nie reagować. Wszystkie incydenty cyberbezpieczeńśtwa powinny być rejestrowane i analizowane, co pozwala na identyfikację luk i podatności bezpieczeństwa, a także zapobieganie im w przyszłości.
10. Zasada szkolenia z zakresu cyberzagrożeń dla pracowników
Pracownicy na wszystkich szczeblach powinni być cyklicznie szkoleni w zakresie cyberzagrożeń, takich jak np. phishing, oraz wewnętrznych regulacji dotyczących cyberbezpieczeńśtwa – pozwala to na budowanie świadomości bezpieczeństwa i odpowiedzialności wśród pracowników oraz kultury organizacyjnej.
Znajomość zasad dotyczących cyberbezpieczeństwa powinna być traktowana priorytetowo jako element kultury organizacyjnej i regularnie weryfikowana. Każdy pracownik przed uzyskaniem dostępu do danych i systemu informatycznego powinien otrzymać podstawowe informacje o cyberbezpieczeństwie i materiały szkoleniowe, a także potwierdzić zapoznanie się z nimi.
11. Zasada współpracy z zewnętrznymi ekspertami i zarządzania ryzykiem
Spółki powinny współpracować z podmiotami specjalizującymi się w cyberbezpieczeństwie, aby uzyskać wsparcie w zarządzaniu ryzykiem.
Zewnętrzne podmioty, które posiadają doświadczenie i specjalizują się w dostarczaniu rozwiązań z zakresu cyberbezpieczeństwa, mogą stanowić istotne wsparcie przy identyfikacji głównych procesów biznesowych oraz ryzyk i zagrożeń z nimi związanych, a także wdrażaniu odpowiednich rozwiązań i mechanizmów.
12. Zasada zarządzania łańcuchem dostaw i o oceny ryzyk partnerów biznesowych
Spółki publiczne powinny mieć polityki dotyczące oceny i zarządzania ryzykiem związanym z dostawcami oraz partnerami, którzy mają dostęp do ich danych i systemów.
Dostęp podmiotów zewnętrznych do danych lub infrastruktury informatycznej Spółki powinien być stale monitorowany i nadzorowany, w tym poprzez wdrożenie odpowiednich mechanizmów zabezpieczających (takich jak np. system uwierzytelniania i autoryzacji urządzeń zewnętrznych).
Spółka publiczna powinna mieć jasno określone zasady współpracy z podmiotami zewnętrznymi uwzględniające podstawowe wymagania dotyczące bezpieczeństwa danych i infrastruktury informatycznej.
W przypadku udostępniania danych wrażliwych rozpoczęcie współpracy z podmiotem zewnętrznym powinno zostać poprzedzone podpisaniem umowy o zachowaniu poufności.
Spółki powinny weryfikować swoich kontrahentów pod kątem stosowanych przez nich standardów bezpieczeństwa, a także bezpieczeństwo dostarczanych przez nich urządzeń rozwiązań.
13. Zasada bezwzględnej ochrony danych osobowych
Należy stosować środki ochrony danych osobowych zgodne z obowiązującymi przepisami prawa (w tym RODO).
Środki ochrony danych osobowych powinny zostać określone z uwzględnieniem zakresu danych osobowych, które przetwarzane są w systemie informatycznym Spółki oraz celu tego przetwarzania, biorąc pod uwagę obowiązujące przepisy.
Dostęp do danych osobowych powinien być ograniczony wyłącznie do osób posiadających stosowne upoważnienia, którym dane te są niezbędne do wykonywania pracy.
Spółka powinna przetwarzać dane osobowe wyłącznie w niezbędnym zakresie przez okres, w którym są one potrzebne lub wymagane odpowiednimi przepisami.
14. Zasada przygotowania do sytuacji kryzysowych i poważnych incydentów
Spółki powinny opracować procedury i plany awaryjne na wypadek poważnych incydentów cyberbezpieczeństwa, które mogą mieć wpływ na ich działalność.
Procedury i plany awaryjne powinny uwzględniać konieczność zapewnienia ciągłości działania spółek publicznych w sytuacjach kryzysowych oraz nieprzerwanej realizacji kluczowych zadań.
Planowanie awaryjne powinno zostać oparte na analizie ryzyka wystąpienia incydentów cyberbezpieczeństwa oraz newralgicznych elementów systemu informatycznego.
Procedury i plany awaryjne powinny być regularnie aktualizowane, dostosowywane i weryfikowane.
15. Zasada przygotowania technologicznego i reagowania na zmieniające się zagrożenia
Spółki powinny dostosowywać swoje strategie cyberbezpieczeństwa do zmieniających się zagrożeń i trendów w technologii.
Spółki powinny alokować odpowiednie zasoby w celu zapewnienie cyberbezpieczeństwa swojej infrastruktury.
16. Zasada wdrożenia polityk dotyczących bezpieczeństwa aplikacji
Należy stosować bezpieczne praktyki w procesie tworzenia, wdrażania i utrzymywania aplikacji, z uwzględnieniem testów ich bezpieczeństwa i szkolenia pracowników z ich bezpiecznego użytkowania.
17. Zasada zarządzania danymi w chmurze
Spółki publiczne korzystające z usług chmurowych powinny zadbać o odpowiednią ochronę swoich danych, zgodnie z wymaganiami regulacyjnymi i politykami bezpieczeństwa.
Spółki powinny uwzględniać aspekty związane z bezpieczeństwem i nieprzerwaną dostępnością chmury w umowach z dostawcami usług chmurowych. Jednocześnie każdorazowo należy brać pod uwagę przepisy mające zastosowanie do danego dostawcy usług chmurowych, z uwagi na kraj jego siedziby i miejsce przechowywania danych.
18. Zasada zgodności z regulacjami i normami
Spółki muszą zapewnić zgodność z obowiązującymi regulacjami dotyczącymi cyberbezpieczeństwa, takimi jak dyrektywa NIS2 czy ustawa o krajowym systemie cyberbezpieczeństwa.
19. Zasada wykrywania i analizowania incydentów
Spółki powinny wdrożyć procedury i mechanizmy umożliwiające szybką identyfikację incydentów cyberbezpieczeństwa oraz podejmowanie działań mających na celu ich analizę oraz ograniczenie ich skutków.
Spółki powinny mieć wdrożone systemy monitorowania swojej infrastruktury informatycznej oraz narzędzia do wykrywania potencjalnych podatności bezpieczeństwa.
20. Zasada odpowiedzialności wobec akcjonariuszy
Zarząd i członkowie rady nadzorczej powinni odpowiedzialnie informować akcjonariuszy o ryzykach związanych z cyberbezpieczeństwem i podejmować odpowiednie działania w celu ich minimalizacji.
Działalność zarządu oraz rady nadzorczej spółki publicznej w obszarze cyberbezpieczeństwa powinna być oparta na transparentności podejmowanych decyzji i działań, rzetelności wobec akcjonariuszy oraz odpowiedzialności korporacyjnej.
Przejrzyste regulacje wewnętrzne dotyczące cyberbezpieczeństwa, jasne procedury decyzyjne oraz podział odpowiedzialności i odpowiednie zarządzanie ryzykiem są kluczowe w budowaniu zaufania i wzajemnych relacji inwestorskich.
21. Zasada zarządzania incydentami związanymi z reputacją
Skuteczna strategia odpowiedzi na incydenty cyberbezpieczeństwa, określająca także zasady i procedurę szybkiego i transparentnego informowania o incydentach, pozwala ochronę reputacji spółki w przypadku naruszenia danych lub ataku cybernetycznego.
Sprawna i efektywna komunikacja w sytuacjach kryzysowych pozytywnie wpływa na zaufanie klientów i relacje inwestorskie.
22. Zasada zarządzania zgodnością z umowami i zobowiązaniami
Spółki powinny na bieżąco monitorować, czy spełniają wszystkie obowiązki dotyczące ochrony danych i cyberbezpieczeństwa określone w umowach z klientami i partnerami.
23. Zasada edukacji i podnoszenie świadomości
Spółka powinna regularne organizować wewnętrzne kampanie edukacyjne i informacyjne, aby podnosić świadomość pracowników wszystkich szczebli na temat zagrożeń cybernetycznych.
24. Zasada przechowywania i archiwizowanie danych
Spółki powinny stosować odpowiednie mechanizmy przechowywania i archiwizowania danych w sposób zapewniający ich bezpieczeństwo.
Spółki powinny stosować rozwiązania zapewniające bezpieczeństwo danych we wszystkich systemach informatycznych i na wszystkich urządzeniach, zarówno podczas ich przesyłania i użytkowania, jak i podczas przechowywania. Dostęp do danych powinien być ograniczony wyłącznie do upoważnionych użytkowników z uwzględnieniem niezbędnego zakresu dostępu.
Dane wrażliwe powinny być szyfrowane, a dostęp do nich stale monitorowany. W Spółce powinna zostać wdrożona polityka haseł uwzględniająca uwierzytelnianie silnym hasłem lub uwierzytelnianie dwuskładniowe, cykliczne zmiany haseł, zakaz ujawniania haseł oraz konieczność stosowania różnych haseł do różnych urządzeń i systemów.
Dla kluczowych zasobów informacyjnych Spółki (z uwagi np. na konieczność zachowania ciągłości działania lub z biznesowego punktu widzenia) powinny być regularnie wykonywane kopie zapasowe. Kopie zapasowe powinny być przechowywane w innym miejscu niż to, w którym są przetwarzane.
25. Zasada regularnej oceny skuteczności polityk cyberbezpieczeństwa
Spółka powinna regularnie oceniać skuteczność swoich polityk i procedur cyberbezpieczeństwa, dostosowując je do zmieniającego się otoczenia regulacyjnego i krajobrazu zagrożeń.
