Didieji vaistų gamintojai ir didmenininkai, taip pat didžiausios ligoninės ir medicinos įstaigos Lenkijoje netrukus turės įvykdyti NIS direktyvos - pirmosios kibernetinio saugumo direktyvos ES istorijoje - reikalavimus. Brangi procedūra bus didelis iššūkis, ypač Lenkijos ligoninėms.
Anot kibernetinio saugumo ekspertų, įmones galima suskirstyti į tas, kurios buvo užpultos, ir tas, kurios dar to nežino. Tyrimai rodo, kad kiekviena įmonė patyrė tokio tipo įvykius, o internetas yra erdvė, kurioje nuolat atakuojamos apsaugos sistemos.
- Artimiausios ateities prognozės šioje srityje sako, kad nors kol kas intensyvūs išpuoliai buvo nukreipti pirmiausia į vadinamuosius kritinė infrastruktūra, t. y. subjektai, susiję su pvz.įmonės ir įstaigos sveikatos priežiūros ir gamybos linijų srityje taps kitais tikslais - sako advokatas Marcin Jan Wachowski, vienos pirmųjų advokatų kontorų Lenkijoje ekspertas, besispecializuojantis kibernetinio saugumo konsultavimo srityje. Tai suteikia vaistų gamintojams ypatingą padėtį šių dviejų sričių sankirtoje.
- Kalbama ne tik apie grasinimus sutrikdyti ar sustabdyti vaistų gamybos procesus, bet ir apie daug pavojingesnius, pavyzdžiui, receptų pakeitimus. Jei tokio tipo priepuolis neaptinkamas, tai gali kelti grėsmę narkotikus vartojančių žmonių sveikatai ir gyvybei, sako Marcin Jan Wachowski. - Kibernetinių išpuolių tyrimai rodo, kad įmonė sužino, kad ji tapo jos taikiniu vidutiniškai po maždaug 90 dienų. Per šį laiką potencialiai pavojingas vaistas jau gali patekti į vaistines, o tai kelia riziką ir didžiules išlaidas.
Direktyva prieš įsilaužėlius
Kibernetinių grėsmių supratimas buvo pagrindinė prielaida Europos Parlamentui sukurti 2016 m. Liepos mėn. Priimtą Tinklų ir informacijos saugumo direktyvą (sutrumpintai - NIS). Neseniai Europos Komisija, specialiai kreipdamasi į 17 šalių, įskaitant Lenkiją, privalėjo visiškai įgyvendinti šias taisykles. garantuoti vienodą tinklo ir informacinių sistemų saugumo lygį visoje Sąjungoje. Dėl to Lenkijos parlamentas parengė įstatymą dėl nacionalinio saugumo sistemos, kuris įsigaliojo 2018 m. Rugpjūčio 28 d. Skaitmeninių paslaugų teikėjai (interneto naršyklės, debesys, prekybos platformos), valstybės administracija ir vadinamosios pagrindinių paslaugų operatoriai, t. y. subjektai, kurių IT saugumas yra ypač svarbus. Manoma, kad Lenkijoje tai yra šiek tiek daugiau nei 300 subjektų - įskaitant bankus, energetikos ir transporto pramonės įmones. Beveik trečdalį sudarys sveikatos priežiūros sektoriaus įmonės ir įstaigos: vaistų gamintojai ir didmenininkai, didelės medicinos įstaigos.
- Visi šie subjektai turi vykdyti daugybę brangių ir daug laiko reikalaujančių įsipareigojimų. Apie 70 procentų jų yra technologiniai klausimai, o likę 30 procentų yra teisiniai klausimai, tokie kaip tinkamų saugumo dokumentų rengimas, incidentų tvarkymas, rizikos valdymas, darbuotojų mokymai - sako Marcin Jan Wachowski.
Akto įgyvendinimas Lenkijoje dar tik eina į įgyvendinimo etapą - lapkričio 9 dieną baigėsi pagrindinių paslaugų operatorių nurodymo terminas ir šiuo metu yra priimami administraciniai sprendimai. Sveikatos priežiūros srityje pagrindinių paslaugų operatorius nurodo sveikatos apsaugos ministras.
- Kiekvienas iš nurodytų subjektų, žinoma, gali apskųsti šį sprendimą, pvz., Jei mano, kad jie buvo neteisingai klasifikuoti. Įsipareigojimai, susiję su prisitaikymu prie TIS, buvo padalyti į tris etapus, trunkančius kelis mėnesius. Po metų jį užbaigs saugumo auditas, kuris bus kartojamas kas dvejus metus - aiškina Marcin Jan Wachowski.
Didelės išlaidos, mažai specialistų
Prisitaikymas prie taisyklių, susijusių su IT sauga, yra finansinis ir organizacinis iššūkis. Ekspertų teigimu, mažiausiai problemų dėl to turėtų turėti Lenkijoje veikiančių farmacijos kompanijų atstovai. Paprastai tai yra aukštųjų technologijų pasaulinės kompanijos, turinčios prieigą prie debesų įrankių, todėl NIS diegimas čia bus gana paprastas. Didmenininkams ir vaistinių tinklams, kurie dažniausiai pasitelkia išorinius tinklo administratorius, tenka kiek didesnis iššūkis. Šis procesas tikrai bus didžiausia ligoninių ir medicinos įstaigų problema, daugiausia dėl finansinių priežasčių.
- Neseniai parengėme tokio tipo subjektų tyrimą, kuris padėjo gauti finansavimą kibernetiniam saugumui užtikrinti, ir paaiškėjo, kad nėra lėšų naujovėms ar sektoriams, kurie padengtų šią sritį. Taigi situacija yra gana sunki. Valstybė reikalauja, kad ligoninės tai atliktų, tačiau pinigai turi būti rasti jų pačių biudžete. Tuo tarpu visi žinome, kad finansinė Lenkijos sveikatos tarnybos padėtis nėra rožinė, sako Marcin Jan Wachowski
Tačiau net ir įmonėms, kurios nebijo kelių šimtų tūkstančių zlotų išlaidų, susirasti kibernetinio saugumo specialistus gali kilti problemų. Turimi Lenkijoje jau seniai yra paklausūs turtingų Vakarų įmonių. Galimybė gauti teisinę konsultaciją, kuri bus reikalinga kuriant dokumentus ar specialius operatyvinius centrus, kuriuose CSIRT (reagavimo į kompiuterinės saugos incidentus komanda) fiksuos ir apdoros incidentų duomenis, yra mažiau problema.
Dėl to, kad trūksta dokumentų ir teisinių procedūrų, pritaikytų įstatymo reikalavimams, pagrindinių paslaugų operatoriui taikomos baudos, kurios gali siekti iki dviejų milijonų zlotų (arba iki dvigubai didesnio atlygio už tokias organizacijas valdantiems asmenims). Vienas iš pirmųjų tokių atvejų, taip pat susijęs su GDPR pažeidimu, neseniai buvo užregistruotas Portugalijoje, kur Barreiro-Montijo ligoninės centrui buvo skirta 400 000 eurų bauda už aplaidų prieigos prie medicinos duomenų suteikimą daugeliui žmonių, kurie to nepadarė. turėtų turėti tokią prieigą.
