Εκπαίδευση και ευαισθητοποίηση
εργαζόμενων σε θέματα κυβερνοασφάλειας (δια ζώσης, e-learning, ασκήσεις προσομοίωσης phishing)
Προτεραιότητα
η προστασία προσωπικών δεδομένων
53
εσωτερικοί έλεγχοι (51 τακτικοί και 2 έκτακτοι), υπερκαλύπτοντας το πρόγραμμα ελέγχων που είχε καταρτιστεί
Συνεχής επικαιροποίηση
των Σχεδίων και Διαδικασιών Έκτακτων Ανάγκης
Η HELLENiQ ENERGY εφαρμόζει το Σύστημα Εσωτερικού Ελέγχου και Διαχείρισης Κινδύνων, το οποίο είναι σχεδιασμένο για τον εντοπισμό και τη διαχείριση πιθανών απειλών, καθώς και την πρόληψη πιθανών αστοχιών. Περιλαμβάνει δικλείδες ασφαλείας και μηχανισμούς ελέγχου για τα επίπεδα διοίκησης του Ομίλου, όπως περιγράφονται αναλυτικά στην Ετήσια Οικονομική Έκθεση 2023 (σελ. 50-51, 53-54, 64, 66, 68-72).
Καθοριστικός πυρήνας της στρατηγικής της HELLENiQ ENERGY αποτελεί η πρόληψη και διαχείριση των κινδύνων. Σε ετήσια βάση, επαναλαμβάνεται, κυρίως κατά τη διαδικασία του στρατηγικού σχεδιασμού και του ετήσιου επιχειρηματικού πλάνου, ο εντοπισμός και η αξιολόγηση των κινδύνων. Τόσο οι ενδεχόμενες πιθανότητες, όσο και οι σχετικές επιπτώσεις, όπως αυτές προκύπτουν, εξετάζονται αφενός στο πλαίσιο των δραστηριοτήτων του Ομίλου και αφετέρου σε σχέση με τα διάφορα ενδιαφερόμενα μέρη που ενδέχεται να επηρεαστούν.
Μέρος του Συστήματος Εσωτερικού Ελέγχου αποτελεί και η Γενική Διεύθυνση Εσωτερικού Ελέγχου Ομίλου (ΓΔΕΕΟ), η οποία συμβάλλει στη βελτιστοποίηση του περιβάλλοντος Αναγνώρισης, Αξιολόγησης και Διαχείρισης Κινδύνων, των Συστημάτων Εσωτερικού Ελέγχου και της Εταιρικής Διακυβέρνησης. Για τον πιο ολοκληρωμένο και αποδοτικότερο έλεγχο όλων των δραστηριοτήτων του Ομίλου, η ΓΔΕΕΟ συνίσταται από 3 επιμέρους Διευθύνσεις:
Επίσης, η ΓΔΕΕΟ διαθέτει Τμήμα Διασφάλισης Ποιότητας, με βασικό στόχο την εισαγωγή βελτιώσεων στην μεθοδολογία ελέγχου, ώστε να επιτευχθεί πλήρης συμμόρφωση με το Διεθνές Πλαίσιο Επαγγελματικής Εφαρμογής του εσωτερικού ελέγχου (IPPF).
Το 2023, οι δράσεις ορόσημα της ΓΔΕΕΟ ήταν:
Περιοχή Ελέγχου | Πλήθος Ελέγχων |
---|---|
Εγκαταστάσεις παραγωγής, διακίνησης και εμπορίας πετρελαιοειδών | 30 |
Κοινωνικά θέματα (COVID, Προμήθειες, Ανθρώπινο Δυναμικό) | 1 |
Οικονομικά θέματα | 15 |
Θέματα Πληροφορικής | 3 |
Εταιρική Διακυβέρνηση | 4 |
Σύνολο | 53 |
Πρόγραμμα Εσωτερικών Ελέγχων | 2021 | 2022 | 2023 | 2024 (στόχος) |
---|---|---|---|---|
Ετήσιο ποσοστό κάλυψης προγράμματος ελέγχων | 115% | 107% | 104% | 100% |
Η Διεύθυνση Παρακολούθησης και Διαχείρισης Κινδύνων βρίσκεται υπό σύσταση, ώστε να συνδράμει στη λειτουργία του Συστήματος Εσωτερικού Ελέγχου αναφορικά με τον καθορισμό των αρχών, την καθιέρωση και εφαρμογή κατάλληλων και επικαιροποιημένων πολιτικών και διαδικασιών για τη διαχείριση κινδύνων, ως προς την αναγνώριση, την αξιολόγηση, τη ποσοτικοποίηση/ μέτρηση, την παρακολούθηση, τον έλεγχο και τη διαχείρισή τους.
Ο ευρύτερος σχεδιασμός Διαχείρισης Κρίσεων και Επιχειρησιακής Συνέχειας της HELLENiQ ENERGY γίνεται με γνώμονα το μέγεθος και την πολυπλοκότητά της, μέσα από την ανάθεση διακριτών ρόλων και αρμοδιοτήτων, με σκοπό να διασφαλιστεί η ικανότητα επιχειρησιακής συνέχειας του Ομίλου, δηλαδή η απρόσκοπτη λειτουργία των εγκαταστάσεών του, η προστασία από ενδεχόμενους κινδύνους και η ταχεία επαναφορά τους στο επιθυμητό επίπεδο, σε περίπτωση έκτακτου περιστατικού.
Συμπληρωματικά του Σχεδίου Διαχείρισης Κρίσεων και Επιχειρησιακής Συνέχειας οι εγκαταστάσεις του Ομίλου διαθέτουν Εσωτερικά Σχέδια Έκτακτης Ανάγκης, τα οποία επικαιροποιούνται σε συγκεκριμένα χρονικά διαστήματα και εναρμονίζονται πλήρως με την εθνική νομοθεσία, τους διεθνείς Κώδικες, ενώ επίσης τα συμπεράσματα των ασκήσεων ετοιμότητας που εκτελούνται περιοδικά ή έκτακτα στις εγκαταστάσεις του Ομίλου ενσωματώνονται στα Σχέδια με σκοπό την βέλτιστη κατά το δυνατό αντιμετώπιση των καταστάσεων έκτακτης ανάγκης.
Στο πλαίσιο του διαρκούς ανοιχτού διαλόγου με τις τοπικές κοινωνίες, η HELLENiQ ENERGY λαμβάνει υπόψη προτάσεις βελτίωσης που προέρχονται από την αυτοδιοίκηση των όμορων με τις βιομηχανικές εγκαταστάσεις Δήμων ή/και από τοπικούς φορείς, προκειμένου να ενισχύσει περαιτέρω την αποτελεσματικότητα της ανταπόκρισης των επιμέρους Σχεδίων Έκτακτης Ανάγκης.
Ο Όμιλος φροντίζει να εξασφαλίζει τους απαιτούμενους πόρους, σε όλες τις εγκαταστάσεις και δραστηριότητές του, για την άμεση διαχείριση πιθανών συμβάντων ασφάλειας ή της όποιας δυνητικής επίπτωσης στο περιβάλλον.
Επιπρόσθετα, ο Όμιλος λαμβάνει όλα τα μέτρα για να ανταποκριθεί άμεσα σε έκτακτα περιστατικά, διασφαλίζοντας έτσι την συνέχεια στη λειτουργία των δραστηριοτήτων του ή/και την όσο το δυνατόν ταχύτερη επαναφορά στην κανονική λειτουργία, περιορίζοντας αποτελεσματικά τις όποιες πιθανές αρνητικές επιδράσεις. Η HELLENiQ ENERGY αναγνωρίζει ότι η αδιάλειπτη λειτουργία και η ορθή διαχείριση κρίσιμων περιστατικών συνδέονται με τη βιωσιμότητα των επιχειρησιακών λειτουργιών της. Επίσης, σε περίπτωση συμβάντος ασφάλειας ή επιπτώσεων στο περιβάλλον, η έγκαιρη και αποτελεσματική ενημέρωση όλων των κοινωνικών εταίρων κρίνεται απαραίτητη για την αντιμετώπιση των έκτακτων καταστάσεων και την ελαχιστοποίηση των συνεπειών που σχετίζονται με αυτές.
Τα Σχέδια που έχει αναπτύξει ο Όμιλος περιλαμβάνουν στρατηγικές απόκρισης σε σενάρια εσωτερικών και εξωτερικών καταστάσεων έκτακτης ανάγκης. Εκτός αυτών, υπάρχουν επιπλέον διαδικασίες για:
Ο ευρύτερος σχεδιασμός Διαχείρισης Κρίσεων και Επιχειρησιακής Συνέχειας του Ομίλου περιλαμβάνει επιπρόσθετα:
Αξίζει να σημειωθεί ότι, τόσο τα Σχέδια και οι Διαδικασίες αντιμετώπισης καταστάσεων έκτακτης ανάγκης, όσο και η ετοιμότητα και η επάρκεια των πόρων, των υποδομών και του εξοπλισμού, εξετάζονται ετησίως ως προς την ικανότητα απόκρισής τους σε σχέση με τον αρχικό σχεδιασμό. Οι παρατηρήσεις οι οποίες προκύπτουν από την αξιολόγηση των ασκήσεων και την ανάλυση των περιστατικών καταγράφονται, παρακολουθούνται και επιλύονται, ενώ τα Σχέδια αναθεωρούνται αντιστοίχως.
Περισσότερες πληροφορίες σχετικά με τις επιδόσεις ασφάλειας διεργασιών του Ομίλου θα βρείτε στο κεφάλαιο «Υγεία και Ασφάλεια/ Δείκτες Υγείας και Ασφάλειας – Επιδόσεις Εγκαταστάσεων»
Η δέσμευση της HELLENiQ ENERGY να διαχειρίζεται με σεβασμό τα προσωπικά δεδομένα που έρχονται στην κατοχή της, στο πλαίσιο των επιχειρηματικών δραστηριοτήτων της, αποτυπώνεται και εκφράζεται στην Πολιτική Προστασίας Προσωπικών Δεδομένων, η οποία δεσμεύει όλες τις εταιρείες του Ομίλου. Η Πολιτική ακολουθεί τον Ευρωπαϊκό Κανονισμό Προστασίας Προσωπικών Δεδομένων (γνωστό ως GDPR), την ελληνική νομοθεσία, τις διεθνώς αναγνωρισμένες βέλτιστες πρακτικές σε ευρωπαϊκό και διεθνές επίπεδο και τις σύγχρονες τεχνολογικές εξελίξεις. Η προστασία των προσωπικών δεδομένων αποτελεί ύψιστη προτεραιόητα για τον Όμιλο. Για τη διασφάλιση των δεδομένων έχει οριστεί σε επίπεδο Ομίλου, Υπεύθυνος Προστασίας Δεδομένων Ομίλου καθώς και Υπεύθυνοι Προστασίας Ιδιωτικότητας σε κάθε οργανωτική μονάδα και θυγατρική του Ομίλου.
Πέντε εκ των θυγατρικών (ΕΚΟ ΑΒΕΕ, ΚΑΛΥΨΩ Κ.Ε.Α. Α.Ε., ELPEFUTURE, ΕΚΟ Bulgaria και OKTA) έχουν ορίσει αυτοτελείς Υπευθύνους Προστασίας Δεδομένων, οι οποίοι συνεργάζονται με τον Υπεύθυνο Προστασίας Δεδομένων Ομίλου. Με τον τρόπο αυτό, δημιουργήθηκε μία οργανωτική δομή σε όλον τον Όμιλο, προκειμένου να διασφαλίζεται η εφαρμογή της ισχύουσας νομοθεσίας, της Πολιτικής Προστασίας Προσωπικών Δεδομένων και των επιμέρους διαδικασιών και ενεργειών, με τις οποίες η συγκεκριμένη Πολιτική υλοποιείται στο πλαίσιο των καθημερινών δραστηριοτήτων του Ομίλου.
Η θωράκιση των πληροφοριακών συστημάτων του Ομίλου απέναντι στους κινδύνους από κυβερνοεπιθέσεις είναι ζήτημα ύψιστης σημασίας για τη Διοίκηση. Για να δημιουργήσει έναν θετικό αντίκτυπο προς την κοινωνία και τους πελάτες της, η HELLENiQ ENERGY προστατεύει τόσο την κοινωνία όσο και τους πολίτες με τους οποίους συναλλάσσεται, από τους κινδύνους και τις ζημιές που οφείλονται σε κυβερνοεπιθέσεις. Επιπλέον, ο Όμιλος αναγνωρίζει την κρισιμότητα της κυβερνοασφάλειας για τη βιωσιμότητα και μετεξέλιξή του, πρωτίστως για την ασφαλή λειτουργία των εγκαταστάσεών του, αλλά και τον ψηφιακό μετασχηματισμό των εσωτερικών διεργασιών του. Έχοντας αναγνωριστεί σαν Φορέας Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) από την Εθνική Αρχή Κυβερνοασφάλειας, έχει δεσμευτεί για την εναρμόνιση και συμμόρφωσή του με την Οδηγία NIS (EU 2016/1148) και τη σχετική Εθνική Νομοθεσία (N. 4577/2018).
Για τους λόγους που αναφέρθηκαν παραπάνω, η HELLENiQ ENERGY έχει ορίσει Υπεύθυνο Ασφάλειας Πληροφοριών και Συστημάτων, ο οποίος αναφέρεται στην Επιτροπή Ελέγχου σε τακτική βάση, και είναι υπεύθυνος για τον καθορισμό της στρατηγικής και την εποπτεία του προγράμματος κυβερνοασφάλειας του Ομίλου. Το πρόγραμμα κυβερνοασφάλειας, που πλαισιώνεται από το ομιλικό Πλαίσιο Ασφάλειας Πληροφοριών, διασφαλίζει ότι υφίσταται το κατάλληλο επίπεδο διακυβέρνησης, καθώς και οι απαραίτητες ικανότητες, δεξιότητες και μηχανισμοί ελέγχου, ώστε να επιτυγχάνεται η επαρκής προστασία των περιουσιακών στοιχείων του Ομίλου.
Το 2023, δόθηκε ιδιαίτερη έμφαση σε πρωτοβουλίες που θα οδηγήσουν την HELLENiQ ENERGY από το στάδιο της διαρκούς βελτίωσης της κυβερνοάμυνας, στο στάδιο δημιουργίας οργανωτικής ανθεκτικότητας, καλλιεργώντας την ικανότητα πρόβλεψης, αντοχής, αντίδρασης και προσαρμογής σε απρόβλεπτα περιστατικά, προκειμένου να ελαχιστοποιηθεί ο όποιος αρνητικός αντίκτυπος, να επιταχυνθεί η ανάκαμψη και να αναδυθεί ισχυρότερος ο Όμιλος σε περίπτωση εμφάνισης περιστατικών κυβερνοασφάλειας. Επιπλέον ο Όμιλος επενδύει περαιτέρω σε τεχνολογικές λύσεις αιχμής, με εφαρμογή τεχνητής νοημοσύνης, που επιτρέπουν τη συνεχή βελτίωση της στρατηγικής ψηφιακού μετασχηματισμού, αντιμετωπίζοντας παράλληλα το ευρύτερο δυσμενές περιβάλλον κυβερνοασφάλειας.
Ταυτόχρονα, η ευαισθητοποίηση του προσωπικού αναγνωρίζεται ως βασικό συστατικό μιας επιτυχημένης στρατηγικής κυβερνοασφάλειας. Για το σκοπό αυτό, το 2023 αναπτύχθηκε ένα πλήρες πρόγραμμα εκπαίδευσης και ευαισθητοποίησης σε θέματα κυβερνοασφάλειας, το οποίο επέκτεινε το πεδίο εφαρμογής του υφιστάμενου προγράμματος και στο οποίο περιλαμβάνονται εκπαιδεύσεις μέσω μηχανισμών ηλεκτρονικής μάθησης (e-learning), δια ζώσης εκπαιδευτικές συνεδρίες και ασκήσεις προσομοίωσης επιθέσεων ηλεκτρονικού «ψαρέματος» (phishing). Ιδιαίτερη έμφαση δίνεται στην εκπαίδευση του προσωπικού των βιομηχανικών εγκαταστάσεων οι οποίες είναι ζωτικής σημασίας για την απρόσκοπτη λειτουργία του Ομίλου