1.
Analiza poročanja o kibernetskih tveganjih v letnih poročilih slovenskih podjetijLara Meh, 2025, diplomsko delo
Opis: Diplomsko delo se posveča vprašanju, koliko slovenska podjetja v svojih letnih poročilih razkrivajo kibernetska tveganja ter ukrepe za zagotavljanje kibernetske varnosti. Namen raziskave je ugotoviti raven razkrivanja kibernetskih tveganj. Podjetja se soočajo z vse bolj kompleksnimi kibernetskimi tveganji, ki ne izvirajo zgolj iz zunanjih virov (kot so npr. vdori v e-poštna sporočila, zlonamerna programska oprema, spletne prevare) , temveč tudi iz notranjega okolja, kot so napake zaposlenih ali zlonamerna dejanja. V diplomskem delu smo opredelili kibernetska tveganja in kibernetsko varnost kot sestavni del upravljanja tveganj. Prestavili smo notranje in zunanje grožnje za podjetja ter veljavno zakonodajo in evropsko regulativo, prav tako pa tudi podlago za razkrivanje tveganj v letnih poročilih podjetij. Predstavili smo tudi nekatere dobre in slabo prakse razkrivanja tveganj z zgledi. Izvedli smo empirično raziskavo, in sicer za 30 izbranih podjetij (15 velikih in 15 srednje velikih podjetij) smo analizirali razkritja v njihovih letnih poročilih za obdobje 2021–2023. Preverili smo, ali podjetja zaznavajo tveganja na splošno, tveganja v zvezi z informacijsko varnostjo ter tveganj v zvezi s kibernetsko varnostjo. Tveganja so razkrita v vseh letnih poročilih, kibernetska tveganja je razkrivalo 35 % vseh letnih poročil, informacijsko varnost pa kar 53 %. Torej kibernetska tveganja je razkrivalo 6 od 30 izbranih podjetij (podjetja so kibernetska tveganja razkrivala vsaj v dveh letnih poročilih). Informacijsko varnost pa je razkrivalo 16 od 30 izbranih podjetij. Najbolj so razkrivala tveganja velika podjetja, zlasti tista, ki kotirajo na borzi ali delujejo v panogah energije ali telekomunikacij. Srednje velika podjetja iz manj tveganih panog razkrivajo bistveno manj, pogosto pa se omejijo zgolj na osnovna razkritja o tveganjih. Prvo hipotezo, da večina podjetij kibernetskih tveganj ne razkriva, smo lahko potrdili, saj le 35 % letnih poročil vsebuje omembe o kibernetskih tveganjih (le 7 od 30 podjetij je vsaj v enem letnem poročilu v izbranem obdobju razkrivalo kibernetska tveganja). Drugo hipotezo, da vsaj tretjina podjetij razkriva kibernetski napad, smo zavrnili, saj je le eno podjetje od tridesetih podjetij razkrilo tak napad. Tretjo hipotezo, da obstajajo razlike glede na velikost/panogo podjetja, smo potrdili, saj je prihajalo do večjih razlik med podjetji. Ugotavljamo, da večina podjetij tematiki razkritij še vedno ne posveča zadostne pozornosti. Le redka podjetja kibernetska tveganja celovito vključujejo v svoja razkritja, zato je potreba po večji zakonodajni jasnosti, izobraževanju zaposlenih ter sistematičnem vključevanju upravljanja kibernetskih tveganj v strateške dokumente podjetij. V prihodnje bi bilo zanimivo proučevati letna poročila podjetij, katerih kibernetski napad je bil poročan v medijih. Tako bi lahko ugotovili, če so in kako so to podjetja razkrivala v svojih letnih poročilih. Smiselno bi bilo čez nekaj let narediti tudi analizo, kako so se spremenila razkritja v letnih poročilih podjetja v vzorcu zaradi novih regulativnih zahtev s področja informacijske varnosti.
Ključne besede: kibernetska varnost, kibernetsko tveganje, nevarnosti informacijske tehnologije, strategije obvladovanja kibernetskih tveganj, poročanje kibernetskih tveganj, letno poročilo
Objavljeno v DKUM: 24.10.2025; Ogledov: 0; Prenosov: 5
Celotno besedilo (2,47 MB)
