Raport roczny Grupy Kapitałowej Śnieżka 2022

Cyberbezpieczeństwo

Kompleksowe podejście do zarządzania bezpieczeństwem cyfrowym wynika z rosnącej cyfryzacji w zakresie metod pracy, stosowanych narzędzi i systemów informatycznych Grupy Śnieżka. Szczególnie ważne są dla nas te systemy, które wymagają gromadzenia danych osobowych pracowników, klientów czy partnerów biznesowych.

Działania w tym obszarze skupiają się również na budowaniu kultury bezpieczeństwa cyfrowego. Dotyczy to przede wszystkim kształtowania właściwych nawyków wśród pracowników poprzez uświadamianie, cykliczne szkolenia i inne działania edukacyjne z tego zakresu. Równie istotne są przeglądy dojrzałości zarządzania bezpieczeństwem w Grupie Śnieżka, obejmujące analizę, monitoring oraz rozwój polityk, procedur i innych dokumentów regulujących obszar cyberbezpieczeństwa.

W 2022 roku została wdrożona Polityka bezpieczeństwa cyfrowego Grupy Kapitałowej Śnieżka (opisana w Sprawozdaniu w punkcie 3.3.10), która ma na celu zapewnienie bezpieczeństwa przetwarzanych danych oraz zapewnienie ciągłości świadczonych usług.

W ramach realizowanej współpracy z dostawcą usług z zakresu Security Operation Centre w 2022 roku system SIEM monitorował systemy IT Grupy Śnieżka. Zgłoszonych i rozwiązanych zostało 75 incydentów bezpieczeństwa oraz 257 podatności (słabych punktów danego systemu). Ponadto zidentyfikowano i zablokowano 1754 podejrzane adresy IP.

W 2022 roku w ramach cyklicznej weryfikacji poziomu bezpieczeństwa stosowanych rozwiązań informatycznych przeprowadzono po raz kolejny szereg testów identyfikujących luki w systemach IT wynikających z pojawiania się nowych podatności. Kolejne portale Grupy Śnieżka dostępne wprost z internetu poddane zostały próbnym atakom z zewnątrz, a pracownicy ponownie byli poddawani testowym symulowanym atakom pishingowym w celu zwiększania odporności organizacji na potencjalne zagrożenia ze strony cyberprzestępczości. Zidentyfikowane luki zostały naprawione.

„Mapa drogowa” rozwoju dojrzałości systemów bezpieczeństwa IT

W Grupie Śnieżka zatwierdzono mapę drogową rozwoju dojrzałości systemów bezpieczeństwa IT. W roku 2022 w ramach realizacji działań zgodnie z ww. mapą wypracowano m.in.:

  • procedury zautomatyzowanej obsługi incydentów bezpieczeństwa;
  • procedury reakcji na ataki ransomware;
  • testy bezpieczeństwa 12 kolejnych systemów informatycznych FFiL Śnieżka SA oraz Śnieżka ToC wystawionych do internetu – po przeprowadzeniu testów usunięto kluczowe zidentyfikowane podatności;
  • plan dalszych działań optymalizacyjnych w Centrach Kompetencji oraz pozostałych spółkach Grupy;
  • audyt bezpieczeństwa spółek Grupy;
  • testy symulowanych ataków pishingowych na pracowników wraz ze szkoleniami uzupełniającymi w celu zwiększania odporności organizacji na tego typu ataki;
  • uruchomiono do realizacji podprojekt wypracowania szczegółowych zasad współpracy Grupy z dostawcami w zakresie bezpieczeństwa IT, w szczególności z uwzględnieniem priorytetów współpracy, stopnia ryzyka oraz wielkości dostawców.

Na bazie audytu bezpieczeństwa trwa opracowywanie raportu na temat dojrzałości rozwiązań bezpieczeństwa IT w spółkach zagranicznych w zestawieniu z poziomem dojrzałości w polskich spółkach Grupy.

Budowanie świadomości cyberbezpieczeństwa

W ramach programu budowania świadomości cyberbezpieczeństwa wprowadziliśmy i kontynuujemy cykl szkoleń z tego zakresu. Szkolimy naszych pracowników i sprawdzamy ich wiedzę m.in. na temat dostępu do danych i ich przetwarzania, zachowywania bezpieczeństwa w sieci internetowej, odpowiedniego reagowania w przypadkach wykrycia incydentu. Szkolenia prowadzone były także w 2022 roku.

Rozpoczęliśmy też wysyłkę „Cybersecurity News”, czyli cyklicznych newsletterów prezentujących najświeższe informacje i ciekawe przykłady z obszaru cyberbezpieczeństwa.

Bezpieczeństwo cyfrowe jest jednym z obszarów priorytetowych Strategii Zrównoważonego Rozwoju Śnieżki, w którym zostały określone następujące cele.

Cel strategiczny:

  • Kompleksowa ochrona przed cyberprzestępczością i zarządzanie bezpieczeństwem danych.
  • Cele operacyjne:

  • Edukacja w zakresie cybersecurity, w tym ochrony danych.

  • Przegląd dojrzałości zarządzania bezpieczeństwem GK Śnieżka.