Zmiany: Rady Nadzorcze odpowiedzialne za cyberbezpieczeństwo. Będą mieć pełne ręce roboty

Zmiany: Rady Nadzorcze odpowiedzialne za cyberbezpieczeństwo. Będą mieć pełne ręce roboty
Marek Smolik, członek zarządu i CTO w ICsec S.A. mat.pras.
  • Autor: Artykuł dostarczony przez ICsec S.A.
  • Dodano: 30-11-2022 15:22

Nowelizacja kodeksu spółek handlowych, która weszła w życie 13 października br nakłada istotne obowiązki na rady nadzorcze i wyposaża je w narzędzia kontroli, które mogą przyczynić się do poprawy stanu zabezpieczeń przed atakami hakerów.

Zmiany, wprowadzone na wzór przepisów obowiązujących m.in. w Niemczech i USA, mają dostosować do obecnych realiów biznesowych relacje między zarządami a radami nadzorczymi, czyniąc je bardziej precyzyjnymi. W zamyśle ustawodawcy rady nadzorcze będą pełnić realny nadzór nad spółkami kapitałowymi. Wprowadzone zmiany doprowadzą do ich aktywizacji oraz zachęcą rady nadzorcze do zintensyfikowania realizowania obowiązków nadzorczych, zwłaszcza dzięki nałożeniu na zarząd obowiązku regularnego przekazywania radzie nadzorczej wiadomości, odnoszących się obszarów znajdujących się w centrum zainteresowania rad.

Wzajemna kontrola  

Członkom rad nadzorczych z pewnością przybędzie pracy. Nowelizacja daje im nowe narzędzia, ale również nakłada nowe obowiązki związane z nadzorem nad działalnością spółki. Ważną zmianą w tym zakresie jest bezpośrednie wprowadzenie do porządku prawnego amerykańskiej zasady ‘business judgemement rule’, stanowiącej, że zasiadający w radach nadzorczej będą mogli być, tak jak członkowie zarządów, pociągani do odpowiedzialności nie tylko za działania na szkodę organizacji, ale też za niedostateczną staranność w wypełnianiu swoich zadań.   

Reforma nie pozostawia przestrzeni na zaniedbania - zarówno członkom zarządu, którzy będą zobligowani do regularnego raportowania na temat stanu ryzyka, jak i członkom rad  nadzorczych, których obowiązkiem będzie egzekwowanie takowych raportów. Gdy zaistnieje taka potrzeba, będą oni mogli sięgnąć po wsparcie eksperckie. Według nowelizacji rady nadzorcze będą miały prawo powoływać, na koszt przedsiębiorstwa, zewnętrznych ekspertów, których zadaniem będzie zbadanie działań spółki, a co za tym idzie również i samego zarządu spółki, m.in. pod kątem wdrożenia niezbędnych środków technicznych i organizacyjnych, np. służących zachowaniu najwyższego poziomu odporności na cyberataki.   

– Wyobraźmy sobie następującą sytuację: członek rady nadzorczej zgłasza do zarządu prośbę o przedstawienie analizy ryzyka dla spółki w zakresie bezpieczeństwa cybernetycznego. Dodatkowo rada nadzorcza podejmuje decyzję o zatrudnieniu zewnętrznego doradcy, który dokona oceny działań zarządu w tym zakresie. W obecnej sytuacji geopolitycznej należy się spodziewać, iż takie działanie jest wysoce prawdopodobne. Z jednej strony to członkowie rad nadzorczych mogą czuć presję dokonania oceny funkcjonowania spółki w strategicznych obszarach, aby nie spotkać się z zarzutem niedołożenia należytej staranności, z drugiej strony zarządy muszą raportować do rady nadzorczej kwestie analizy ryzyka spółki. A ta jak wiemy obejmuje szereg aspektów, wśród których coraz istotniejszy jest aspekt bezpieczeństwa –- zwraca uwagę Katarzyna Berbeć, z ICsec, firmy specjalizującej się w analizie cyberbezpieczeństwa infrastruktury krytycznej.  

Infrastruktura krytyczna celem hakerów   

Współczesne przedsiębiorstwa przemysłowe to przede wszystkim ogromna ilość danych -  przesyłanych, przechowywanych i przetwarzanych. Naszpikowane IoT (Internetem Rzeczy), sztuczną inteligencją i uczącymi się maszynami fabryki stanowią łakomy kąsek dla cyberprzestępców. Dlatego też kluczową kategorią w zarządzaniu ryzykiem jest obecnie zapobieganie zagrożeniom ze strony hakerów.  

– Temat bezpieczeństwa infrastruktury przemysłowej powoli rodził się w świadomości organów spółek. Ze względu na niedostateczne zasoby ds. cyberbezpieczeństwa sprawy te nie miały wystarczającej siły przebicia w priorytetyzacji tego obszaru.  Wprowadzona reforma wpłynie na inwestycje w cyber-zabezpieczenia, jak również wymusi podniesienie kwalifikacji kadr w zakresie zagrożeń i umiejętności reagowania na niebezpieczne sytuacje – uważa Marek Smolik, członek zarządu i CTO w ICsec. 

Zdaniem Smolika intensyfikacja działań na tym polu w przemyśle jest niezbędna, nie tylko biorąc pod uwagę napięcia geopolityczne i związane z nimi ataki hakerskie na infrastrukturę przemysłową, w tym krytyczną, ale także ze względu na nieustannie dokonujący się postęp technologiczny w przedsiębiorstwach. Ekspert ostrzega, że każdy cyberatak może oznaczać wielomiesięczny paraliż działalności przedsiębiorstwa i ogromne straty – zarówno finansowe, ale również co ważne dla każdej firmy wizerunkowe, związane z nagłośnieniem faktu, że poziom zabezpieczeń w danej organizacji okazał się niewystarczający.  

– W 2022 r. zaobserwowano bardzo silny trend związany z występowaniem w cyberprzestrzeni złośliwego oprogramowania typu wiper, również w środowiskach przemysłowych. Cyberatak przy wykorzystaniu tej techniki jest bardzo niebezpieczny - tu nawet nie ma dyskusji o negocjacji okupu. Spodziewam się, że 2023 rok pod tym względem nie będzie spokojniejszy – wskazuje Marek Smolik z ICsec.  

Nowe regulacje mogą, ale nie muszą oznaczać podwyższenia poziomu cyberbezpieczeństwa w przedsiębiorstwach. Wskazuje na to Paweł Gruszecki, counsel w praktyce IP/TMT kancelarii Domański Zakrzewski Palinka sp.k:

– Wszystko jest uzależnione od świadomości i wiedzy członków rad nadzorczych co do tego jak i kiedy należy skutecznie interweniować aby poprawić cyberbezpieczeństwo w nadzorowanej spółce. Nietrudno też wyobrazić sobie sytuację, w ramach której nowe uprawnienia zostaną wykorzystane, z różnych powodów, do podważania słusznych działań zarządu w tym zakresie. Miejmy nadzieję jednak, że sam fakt ponoszenia z tego tytułu odpowiedzialności zapewni spójną współpracę pomiędzy poszczególnymi organami spółki. Powyższe może zostać osiągnięte na przykład poprzez wdrożenie i stosowanie w danej spółce odpowiednio dostosowanych do przepisów oraz przejrzystych procedur nadzorczych, które będą dotyczyć obszaru bezpieczeństwa systemów informacyjnych.

O tym, jak brzemienne mogą być skutki zaniedbań w obszarze cyberbezpieczeństwa infrastruktury krytycznej przekonali się Brytyjczycy. W sierpniu 2022 roku spółka wodociągowa South Staffordshire Water została zaatakowana przez hakerów. Cyberprzestępcom udało się uzyskać dostęp do systemów SCADA, wykorzystując podatność bezpieczeństwa sieci. Wyprowadzili z niej 5 terabajtów (TB) danych. co przełożyło się na możliwość wywołania szkód dla 15 milionów mieszkańców południowej Anglii.   

Sprawnie działające zabezpieczenia uratowały natomiast Ukrainę. 23 lutego 2022, dzień przez rosyjską inwazją, dzięki sprawnemu monitoringowi ruchu sieciowego, udało się w porę udaremnić próbę infekcji za pomocą oprogramowania Wiperwave, którego misją było uszkodzenie systemów operacyjnych 70 organizacji szczebla ogólnokrajowego i regionalnego poprzez wymazanie danych i programów bez możliwości ich przywrócenia. Gdyby atak ten, nazwany jako Industroyer 2, zakończył się powodzeniem, doszłoby do paraliżu kluczowych jednostek administracji państwowej, a także infrastruktury krytycznej, w tym systemu energetycznego, co znacznie utrudniłoby odparcie militarnej ofensywy wojsk Federacji Rosyjskiej. 

– Podmioty, które w myśl przepisów obowiązującego prawa posiadają status operatorów usług kluczowych właśnie z tego powodu stanowią cel wielu wyszukanych operacji grup cyberprzestępców mniej lub bardziej powiązanych z innymi państwami – podkreśla Paweł Gruszecki, counsel w praktyce IP/TMT kancelarii Domański Zakrzewski Palinka sp.k. i dodaje: – W obecnej sytuacji zatem uporządkowanie roli jaką poszczególne organy spółek będących operatorami usług kluczowych powinny pełnić w obszarze zarządzania cyberbezpieczeństwem wydaje się być obowiązkiem, a nie wyborem.    

 

 

×

KOMENTARZE (0)

Do artykułu: Zmiany: Rady Nadzorcze odpowiedzialne za cyberbezpieczeństwo. Będą mieć pełne ręce roboty

PISZESZ DO NAS Z ADRESU IP: 18.232.31.206
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!