Store produsenter og grossister av narkotika, men også de største sykehusene og medisinske fasilitetene i Polen, vil snart være forpliktet til å oppfylle kravene i NIS-direktivet - det første cybersikkerhetsdirektivet i EUs historie. Den dyre prosedyren vil være en stor utfordring, spesielt for polske sykehus.
I følge cybersecurity-eksperter kan selskaper deles inn i de som er blitt angrepet og de som ikke vet det ennå. Forskning viser at hvert selskap har hatt denne typen hendelser, og Internett er et rom der sikkerhetssystemer er under konstant angrep.
- Prognoser for nær fremtid i dette området sier at mens de intense angrepene så langt først og fremst har vært rettet mot de såkalte kritisk infrastruktur, dvs. enheter relatert til f.eks.selskaper og institusjoner innen helse- og produksjonslinjer vil bli de neste målene - sier advokat Marcin Jan Wachowski, en ekspert fra et av de første advokatfirmaene i Polen som spesialiserer seg på cybersikkerhetsrådgivning. Dette setter legemiddelprodusenter i en spesiell posisjon ved veikrysset mellom disse to områdene.
- Det handler ikke bare om trusler om å forstyrre eller suspendere narkotikaproduksjonsprosesser, men om mye farligere, som for eksempel endringer i oppskrifter. Hvis denne typen angrep ikke blir oppdaget, kan det utgjøre en trussel for helsen og livet til mennesker som tar stoffet, sier Marcin Jan Wachowski. - Forskning på nettangrep viser at selskapet får vite at det har blitt målet etter omtrent 90 dager i gjennomsnitt. I løpet av denne tiden kan et potensielt farlig stoff allerede finne veien til apotek, og dette medfører risiko og store kostnader.
Et direktiv mot hackere
Bevissthet om cybertrusler var hovedforutsetningen for at parlamentet opprettet nettverks- og informasjonssikkerhetsdirektivet (forkortet NIS), som ble vedtatt i juli 2016. Nylig forpliktet EU-kommisjonen i en spesiell appel rettet til 17 land, inkludert Polen, til å implementere disse forskriftene til garantere et like høyt sikkerhetsnivå for nettverk og informasjonssystemer i hele Unionen. Som et resultat utarbeidet det polske parlamentet en lov om det nasjonale sikkerhetssystemet, som trådte i kraft 28. august 2018. Digitale tjenesteleverandører (nettlesere, skyer, handelsplattformer), statsadministrasjon og de såkalte operatører av viktige tjenester, dvs. enheter hvis IT-sikkerhet er spesielt viktig. Det anslås at det i Polen er litt mer enn 300 enheter - inkludert banker, selskaper fra energi- og transportindustrien. Nesten en tredjedel vil være selskaper og institusjoner fra helsesektoren: produsenter og grossister av medisiner, store medisinske fasiliteter.
- Alle disse enhetene må oppfylle en rekke kostbare og tidkrevende forpliktelser. Rundt 70 prosent av dem er teknologiske spørsmål, og de resterende 30 prosent er juridiske spørsmål, som for eksempel utarbeidelse av passende sikkerhetsdokumentasjon, hendelseshåndtering, risikostyring, personalopplæring - sier Marcin Jan Wachowski.
Implementeringen av loven i Polen er akkurat i ferd med implementeringsfasen - 9. november utløp fristen for å indikere operatører av nøkkeltjenester, og for øyeblikket administrative avgjørelser blir levert. Når det gjelder helsevesen, er operatører av viktige tjenester angitt av helseministeren.
- Hver av de angitte enhetene kan selvfølgelig klage på denne avgjørelsen, for eksempel hvis de mener at de er klassifisert feil. Forpliktelsene knyttet til tilpasningen til NIS er delt inn i tre trinn som varer i flere måneder. Etter et år vil det bli fullført med en sikkerhetsrevisjon, som vil bli gjentatt hvert annet år - forklarer Marcin Jan Wachowski.
Høye kostnader, få spesialister
Å tilpasse seg regelverk knyttet til IT-sikkerhet er en økonomisk og organisatorisk utfordring. Ifølge eksperter burde representantene for farmasøytiske selskaper som opererer i Polen ha minst problemer med dette. Dette er vanligvis høyteknologiske globale selskaper med tilgang til skybaserte verktøy, så implementering av NIS vil være relativt enkelt her. Grossister og apotekskjeder, som vanligvis bruker eksterne nettverksadministratorer, står overfor en litt større utfordring. Denne prosessen vil absolutt være det største problemet for sykehus og medisinske fasiliteter, hovedsakelig av økonomiske årsaker.
- Vi har nylig utarbeidet en studie for denne typen enheter for å hjelpe til med å skaffe finansiering for å sikre cybersikkerhet, og det viste seg at det ikke er midler til innovasjon eller sektor som dekker dette området. Så situasjonen er ganske vanskelig. Staten krever sykehus å gjøre dette, men pengene må finnes i eget budsjett. I mellomtiden vet vi alle at den økonomiske situasjonen til den polske helsetjenesten ikke er rosenrød, sier Marcin Jan Wachowski
Imidlertid, selv for selskaper som ikke er redd for kostnadene på flere hundre tusen zloty, kan det være et problem å finne spesialister på it-sikkerhet. De som er tilgjengelige i Polen har lenge vært etterspurt av velstående vestlige virksomheter. Et mindre problem er tilgang til juridisk rådgivning, som vil være nødvendig når du lager dokumentasjon eller spesielle operasjonssentre, der CSIRT (Computer Security Incident Response Team) vil fange opp og behandle data om hendelser.
Mangelen på dokumentasjon og juridiske prosedyrer tilpasset kravene i loven utsetter operatøren av viktige tjenester for straffer, som kan nå opptil to millioner zloty (eller opptil dobbelt så godtgjørelse for personer som leder slike organisasjoner). En av de første slike tilfellene, også relatert til brudd på GDPR, ble nylig rapportert i Portugal, hvor Barreiro-Montijo Hospital Center ble ilagt en bot på 400 000 EUR for uaktsom adgang til medisinske data til mange mennesker som ikke gjorde det skal ha slik tilgang.
-porada-eksperta.jpg)
