Marii producători și angrosiști de medicamente, dar și cele mai mari spitale și facilități medicale din Polonia vor fi în curând obligați să îndeplinească cerințele Directivei NIS - prima directivă privind securitatea cibernetică din istoria UE. Procedura costisitoare va fi o mare provocare, în special pentru spitalele poloneze.
Potrivit experților în securitate cibernetică, companiile pot fi împărțite în cele care au fost atacate și cele care nu o cunosc încă. Cercetările arată că fiecare companie a avut acest tip de incident, iar Internetul este un spațiu în care sistemele de securitate sunt atacate constant.
- Previziunile pentru viitorul apropiat în această zonă spun că, în timp ce atacurile intense de până acum s-au îndreptat în primul rând către așa-numitele infrastructură critică, adică entități legate de ex.companiile și instituțiile din domeniul asistenței medicale și liniilor de producție vor deveni următoarele ținte - spune avocatul Marcin Jan Wachowski, expert al uneia dintre primele firme de avocatură din Polonia, specializat în consultanță în domeniul securității cibernetice. Acest lucru pune producătorii de medicamente într-o poziție specială la intersecția acestor două zone.
- Nu este vorba doar de amenințări de a întrerupe sau de a suspenda procesele de producție a drogurilor, ci de altele mult mai periculoase, cum ar fi, de ex. Dacă acest tip de atac nu este detectat, acesta poate reprezenta o amenințare pentru sănătatea și viața persoanelor care iau drogul, spune Marcin Jan Wachowski. - Cercetările privind atacurile cibernetice arată că compania află că a devenit ținta sa după aproximativ 90 de zile în medie. În acest timp, un medicament potențial periculos își poate găsi deja drumul către farmacii, ceea ce implică riscuri și costuri uriașe.
O directivă împotriva hackerilor
Conștientizarea amenințărilor cibernetice a fost principala premisă pentru crearea de către Parlamentul European a Directivei privind securitatea rețelelor și a informațiilor (prescurtată ca NIS), care a fost adoptată în iulie 2016. Recent, Comisia Europeană, într-un apel special adresat 17 țări, inclusiv Polonia, a fost obligată să pună în aplicare pe deplin aceste reglementări să garanteze un nivel egal de securitate pentru rețea și sistemele de informații din întreaga Uniune. Drept urmare, parlamentul polonez a pregătit un act privind sistemul de securitate națională, care a intrat în vigoare la 28 august 2018. Furnizorii de servicii digitale (browsere de internet, cloud, platforme de tranzacționare), administrația de stat și așa-numitele operatorii de servicii cheie, adică entități a căror securitate IT este deosebit de importantă. Se estimează că în Polonia sunt puțin peste 300 de entități - inclusiv bănci, companii din industria energiei și transporturilor. Aproape o treime vor fi companii și instituții din sectorul sănătății: producători și angrosiști de medicamente, facilități medicale mari.
- Toate aceste entități trebuie să îndeplinească o serie de obligații costisitoare și consumatoare de timp. Aproximativ 70% dintre acestea sunt probleme tehnologice, iar restul de 30% sunt probleme juridice, cum ar fi pregătirea documentației de securitate adecvate, gestionarea incidentelor, gestionarea riscurilor, instruirea personalului - spune Marcin Jan Wachowski.
Punerea în aplicare a legii în Polonia tocmai intră în faza de implementare - pe 9 noiembrie, a expirat termenul pentru indicarea operatorilor de servicii cheie, iar în momentul de față sunt luate decizii administrative. În cazul asistenței medicale, operatorii serviciilor cheie sunt indicați de ministrul sănătății.
- Fiecare dintre entitățile indicate poate, desigur, să facă apel împotriva acestei decizii, de exemplu, dacă consideră că au fost clasificate incorect. Obligațiile legate de adaptarea la INS au fost împărțite în trei etape de câteva luni. După un an, va fi finalizat printr-un audit de securitate, care se va repeta la fiecare doi ani - explică Marcin Jan Wachowski.
Costuri mari, puțini specialiști
Adaptarea la reglementările legate de securitatea IT este o provocare financiară și organizațională. Potrivit experților, reprezentanții companiilor farmaceutice care își desfășoară activitatea în Polonia ar trebui să aibă cele mai mici probleme în acest sens. Acestea sunt de obicei companii globale de înaltă tehnologie cu acces la instrumente bazate pe cloud, astfel încât implementarea NIS va fi relativ simplă aici. Angrosistii si lanturile de farmacii, care folosesc de obicei administratori externi de retea, se confrunta cu o provocare ceva mai mare. Acest proces va fi cu siguranță cea mai mare problemă pentru spitale și facilități medicale, în principal din motive financiare.
- Am pregătit recent un studiu pentru acest tip de entități pentru a ajuta la obținerea de finanțare pentru asigurarea securității cibernetice și sa dovedit că nu există fonduri pentru inovare sau sectoriale care să acopere acest domeniu. Deci situația este destul de dificilă. Statul cere spitalelor să facă acest lucru, dar banii trebuie găsiți în propriul buget. Între timp, știm cu toții că situația financiară a serviciului de sănătate polonez nu este roz, spune Marcin Jan Wachowski
Cu toate acestea, chiar și pentru companiile care nu se tem de costuri de câteva sute de mii de zloti, găsirea specialiștilor în securitate cibernetică poate fi o problemă. Cele disponibile în Polonia sunt mult timp solicitate de către întreprinderile occidentale bogate. Accesul la consiliere juridică, care va fi necesar la crearea documentației sau a centrelor operaționale speciale, în care CSIRT (Computer Security Incident Response Team) va capta și prelucra datele incidentelor, este mai puțin problematic.
Lipsa documentației și a procedurilor legale adaptate cerințelor legii expune operatorul serviciilor cheie la penalități, care pot ajunge până la două milioane de zloti (sau până la dublul remunerației pentru persoanele care gestionează astfel de organizații). Unul dintre primele astfel de cazuri, legat și de o încălcare a GDPR, a fost raportat recent în Portugalia, unde Centrul Spitalului Barreiro-Montijo a fost amendat cu 400.000 EUR pentru acordarea neglijentă a accesului la date medicale multor persoane care nu ar trebui să aibă un astfel de acces.
-resekcja-odka-wady-i-zalety-film-z-operacji.jpg)
