Cyberbezpieczeństwo i cyberryzyko w raportach zintegrowanych i sprawozdaniach zarządu operatorów usług kluczowych

• Authors: Ferens Aleksandra

Title variants

EN

Cybersecurity and cyber risk in integrated and management reports of key service operators

• Languages of publication: PL

Abstracts

PL

Cel: Zakres interaktywnych informacji przetwarzanych i wymienianych w cyberprzestrze-ni gwałtownie wzrósł. Istnieje zatem potrzeba zbudowania obszarów cyberbezpieczeństwa chroniących tę przestrzeń przed wewnętrznymi i zewnętrznymi zagrożeniami, a także opra-cowanie odpowiedniego systemu raportującego model cyberbezpieczeństwa funkcjonujący w firmie. Celem artykułu jest identyfikacja i ocena zakresu ujawnień na temat cyberbez-pieczeństwa i cyberryzyka w raportach zintegrowanych i sprawozdaniach zarządu wybra-nych spółek notowanych na GPW w Warszawie. Metodyka: Przedmiotem badania są raporty zintegrowane oraz sprawozdania zarządu 17 wybranych spółek należących do branż wskazanych w ustawie o krajowym systemie cyberbezpieczeństwa jako operatorów usług kluczowych. Przy wyborze próby reprezenta-tywnej zastosowano dobór celowy. Był on poprzedzony wstępną analizą spółek wchodzących do indeksu WIG-30, co do liczby sporządzanych raportów zintegrowanych wśród operatorów usług kluczowych. W badaniach wykorzystano metodę analizy literatury, regulacji prawnych, dedukcji, analizę struktury i zakresu raportowanych informacji o cyberbezpieczeństwie. Wyniki: Przeprowadzone analizy pokazały, że ujawnienia dotyczące cyberryzyka i cyberbez-pieczeństwa w badanych przedsiębiorstwach są stosunkowo niewielkie, informacje te są roz-proszone w różnych częściach sprawozdań biznesowych, a także nieporównywalne ze względu na brak jednolitej struktury danych. Ponadto wykazano, że raporty nie zawierają szczegó-łowych informacji o prowadzonych działaniach z zakresu cyberbezpieczeństwa, co uniemoż-liwia dokonanie wieloaspektowej i wielosektorowej oceny jednostki raportującej. Oryginalność: Artykuł uzupełnia dorobek naukowy z zakresu raportowania niefinansowe-go, identyfikując braki związane z raportowaniem sposobu zabezpieczenia się przed ryzykiem związanym z cyberzagrożeniami w dotychczas sporządzanych raportach, a także potwier-dza potrzebę doskonalenia zawartości raportów biznesowych o informacje ilościowe i jako-ściowe w tym zakresie.

EN

Purpose: The scope of interactive information processed and exchanged through cyber-space has grown exponentially. Therefore, there is a need to develop cybersecurity that protects this space against both internal and external threats, as well as to work out an appropriate reporting system on the cybersecurity model operating in the company. The aim of the paper is to identify and assess the disclosures on cybersecurity and cyber risk in the integrated and management reports of selected companies listed on the Warsaw Stock Exchange. Methodology: The study focused on the integrated and management reports of 17 select-ed companies identified as operators of so-called key services. The representative sample was chosen through purposive sampling. This process was preceded by a preliminary anal-ysis of companies listed in the WIG 30 Index, drawing on the number of integrated reports prepared by the operators of key services. The research involved an analysis of the litera-ture and legal regulations, as well as the structure and scope of information on cybersecu-rity reported by the surveyed companies, along with the deductive method. The results of the analysis showed that only some companies present information on existing cyber risks and cybersecurity, while information is scattered in different parts of the business reports and non-comparable due to the lack of a unified data structure. It was noted that the reports do not contain detailed information on the activities in the field of cybersecurity, which makes it impossible to perform a multifaceted and multisectoral as-sessment of the results reported by the entities. Originality: The paper builds on and thus complements the scientific achievements in the field of non-financial reporting, including the business model, by identifying the shortcom-ings related to reporting on how to protect companies against the risk related to cyber threats in the reports to date. The study also confirms the need to improve the content of business reports with quantitative and qualitative information in this regard.

Keywords

PL

cyberbezpieczeństwo; cyberryzyko; model biznesu; bezpieczeństwo infor-matyczne

EN

cybersecurity; cyber risk; business model; IT security

• Publisher: Stowarzyszenie Księgowych w Polsce (SKwP), Zarząd Główny, Rada Naukowa
• Journal: Zeszyty Teoretyczne Rachunkowości
• Year: 2021
• Issue: 45(2)
• Pages: 31-50

Contributors

author

Ferens Aleksandra

• Uniwersytet Ekonomiczny w Katowicach, Katedra Rachunkowości

References

• Azmi R., Kautsarina K., Apriany I., Tibben W.J. (2020), Revisiting „Cyber” Definition: Con-text, History, and Domain, [w:] W. Yaokumah W., Rajarajan M., Abdulai J., Wiafe I., Apietu. Katsriku F. (eds.), Modern Theories and Practices for Cyber Ethics and Security Compliance, IGI Global, Hershey, PA, s. 1–17.
• Bass T. (2000), Intrusion detection systems and multisensor data fusion: Creating cyberspa-ce situational awareness, „Communications of the ACM”, 43 (4), s. 99–105.
• Biener C., Eling M., & Wirfs J.H. (2015), Insurability of cyber risk: An empirical analysis,„The Geneva Papers on Risk and Insurance-Issues and Practice”, 40 (1), s.131–158.
• Brenner S.W. (2010), Cybercrime: criminal threats from cyberspace, ABC-CLIO Corporate, Santa Barbara, CA.
• Curti F., Gerlach J., Kazinnik S., Lee M.J., Mihov A. (2019), Cyber risk definition and clas-sification for financial risk management, Working Paper, Federal Reserve Bank of Rich-mond, August (mimeo).
• Dębowski T.R., Wrocławski U. (2018), Cyberbezpieczeństwo wyzwaniem XXI wieku, Wydaw-nictwo Naukowe ArchaeGraph Diana Łukomiak, Łódź.
• Gao L., Calderon T.G., Tang F. (2020), Public companies’ cybersecurity risk disclosures, „International Journalof Accounting Information Systems”, 38.
• Gogołek W., Cetera W. (2014), Leksykon tematyczny. Zarządzanie, IT, Wydawnictwo Wydziału Dziennikarstwa i Nauk Politycznych UW, Warszawa.
• Grzelak M., Liedel K. (2012), Bezpieczeństwo w cyberprzestrzeni. Zagrożenia i wyzwania dla Polski – zarys problemu, „Bezpieczeństwo Narodowe”, 22, s. 125–139.
• Janvrin D.J., Wang T. (2019), Implications of Cybersecurity on Accounting Information, „Journal of Information Systems”, 33 (3), s. A1–A2.
• Knapp K.J., Morris R.F, Marshall T.E., Byrd T.A. (2009), Information security policy: An organizational-level process model, „Computer & Security”, 28 (7), s. 493–508.
• Konieczny M. (2012), Poszukiwanie tożsamości w cyberprzestrzeni. Implikacje pedagogiczne, VULCAN, Wrocław.
• Kowalewski J., Kowalewski M. (2014), Cyberterroryzm szczególnym zagrożeniem bezpie-czeństwa państwa, „Telekomunikacja i Techniki Informacyjne”, 1–2, s. 24–32.
• Lambert S. (2008), A conceptual framework for business model Research, 21st Bled eConfe-rence eCollaboration: Overcoming Boundaries through Multi-Channel Interaction, Bled, Slovenia.
• Marczyk M. (2018), Cyberprzestrzeń jako nowy wymiar aktywności człowieka: analiza poję-ciowaobszaru, „Przegląd Teleinformatyczny”, 6, s. 59–72.
• Mukhopadhyay A., Chatterjee S., Saha D., Mahanti A. and Sadhukan S.K. (2013), Cyber-Risk Decision Models: To Insure IT or Not?, Decision Support Systems 56 (1), s. 11– 26.
• Ottis R., Lorents P. (2010), Cyberspace: Definition and implications, 5 th International Conference on Cyber Warfare and Security, Dayton, OH, Academic Publishing Limited, s. 267–270.
• Rabai L.B.A., Jouini M., Aissa A.B., Mil A. (2013), A cybersecurity model in cloud computing environments, „Journal of King Saud University-Computer and Information Scien-ces”, 25 (1), s. 63–75.
• Reveron D.S. (ed.) (2012), Cyberspace and national security: threats, opportunities, and power in a virtual world, Georgetown University Press, Washington, DC.
• Rot A., Olszewski B. (2017), Advanced Persistent Threats Attacks in Cyberspace. Threats, Vulnerabilities, Methods of Protection,Position Papers on Federated Conference on Com-puter Science and Information Systems, Prague, s. 113–117.
• Schatz D., Bashroush R., Wall J. (2017), Towards a more representative definition of cyber security, „Journal of Digital Forensics, Security and Law”, 12 (2), s. 53–74.
• Smith K.T, Smith L.M., Smith J.L. (2011), Case Studies of Cybercrime and The Impact on Marketing Activity and Shareholder Value, „Academy of Marketing studies Journal”, 15 (2), s. 67–86.
• Stubbs W., Higgins C. (2014), Integrated reporting and internal mechanisms of change, „Accounting, Auditing & Accountability Journal”, 27 (7), s. 1068–1089.
• Suchorzewska A. (2010), Ochrona prawna systemów informatycznych wobec zagrożenia cyberterroryzmem, Wolters Kluwer, Warszawa.
• Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz.U. 2020 poz. 1369.
• Von Solms R., Van Niekerk J. (2013), From information security to cyber security, „Computers and Security”, 38, s. 97–102.
• Walińska, E. (2013), Sprawozdanie finansowe a raport biznesowy – głos w dyskusji, „Przegląd Organizacji”, (10), s. 40–45.
• Wasilewski J. (2013), Zarys definicyjny cyberprzestrzeni, „Przegląd Bezpieczeństwa Wewnętrznego”, 5 (9), s. 225–234.
• Yang L., Lau L., Gan H. (2020), Investors’ perceptions of the cybersecurity risk management reporting framework, „International Journal of Accounting & Information Management”, 28 (1), s.167– 183.
• Business Insider, https://businessinsider.com.pl/technologie/nowe-technologie/cyberprzestepstwa-w-polsce-statystyki/zrn11l7 (dostęp 11.05.2021).
• Cybersecurity & Infrastructure Security Agency, Security Trip (2009), https://us-cert.cisa-.gov/ncas/tips/ST04-001
• De Groot (2020), What is Cyber Security? Definition, Best Practices & More, https://digitalguardian.com/blog/what-cyber-security (dostęp 26.11.2020).
• DOD Dictionary of Military and Associated Terms (2020), https://www.jcs.mil/Portals/36/-Documents/Doctrine/pubs/dictionary.pdf (dostęp 17.12.2020).
• https://www.pwc.pl/pl/publikacje/2018/cyber-ruletka-po-polsku-5-edycja-badania-stanu-bezpieczenstwa-informacji-pwc.html (dostęp 11.05.2021).
• Rządowy Program Ochrony Cyberprzestrzeni Rzeczypospolitej polskiej na lata 2011–2016 (2010), https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map-/Poland_Cyber_Security_Strategy.pdf