Великі виробники та оптові торговці ліками, а також найбільші лікарні та медичні установи в Польщі незабаром зобов’язані будуть відповідати вимогам Директиви про СНД - першої в історії ЄС директиви про кібербезпеку. Дорога процедура буде великим викликом, особливо для польських лікарень.
На думку експертів з кібербезпеки, компанії можна розділити на ті, на кого напали, та ті, які цього ще не знають. Дослідження показують, що кожна компанія мала подібний випадок, і Інтернет - це простір, в якому системи безпеки зазнають постійних атак.
- Прогнози на найближче майбутнє в цій галузі говорять, що хоча інтенсивні атаки до цього часу були спрямовані насамперед на т.зв. критична інфраструктура, тобто сутності, пов'язані зКомпанії та установи в галузі охорони здоров'я та виробничих ліній стануть наступними об'єктами, - каже адвокат Марцін Ян Ваховскі, експерт однієї з перших юридичних фірм у Польщі, що спеціалізується на консалтингу в галузі кібербезпеки. Це ставить виробників ліків у особливе становище на перехресті цих двох областей.
- Йдеться не лише про загрози порушити або призупинити процеси виробництва наркотиків, а про набагато більш небезпечні, такі як, наприклад, зміна рецептів. Якщо такий тип нападу не буде виявлено, це може становити загрозу здоров’ю та життю людей, які приймають наркотики, зазначає Марцін Ян Вачовскі. - Дослідження кібератак показують, що компанія дізнається, що вона стала її ціллю в середньому приблизно через 90 днів. Протягом цього часу потенційно небезпечний препарат може вже потрапити в аптеки, а це тягне за собою ризики та величезні витрати.
Директива проти хакерів
Поінформованість про кіберзагрози була головною передумовою для створення Європейським парламентом Директиви про мережеву та інформаційну безпеку (скорочено NIS), яка була прийнята в липні 2016 року. Нещодавно Європейська Комісія у спеціальному зверненні, адресованому 17 країнам, включаючи Польщу, зобов’язала повністю виконувати ці правила, гарантувати рівний рівень безпеки мережевих та інформаційних систем по всьому Союзу. В результаті польський парламент підготував акт про систему національної безпеки, який набув чинності 28 серпня 2018 р. Постачальники цифрових послуг (Інтернет-браузери, хмари, торгові платформи), державне управління та т.зв. оператори ключових служб, тобто організації, ІТ-безпека яких особливо важлива. За підрахунками, у Польщі це трохи більше 300 суб'єктів господарювання - включаючи банки, компанії з енергетичної та транспортної галузі. Майже третину становитимуть компанії та установи із галузі охорони здоров’я: виробники та оптовики ліків, великі медичні установи.
- Усі ці суб’єкти повинні виконати низку дорогих та трудомістких зобов’язань. Близько 70 відсотків з них стосуються технологічних питань, а решта 30 відсотків - юридичних питань, таких як підготовка відповідної документації щодо безпеки, обробка інцидентів, управління ризиками, навчання персоналу, - каже Марчин Ян Вачовскі.
Реалізація закону в Польщі лише вступає у фазу його реалізації - 9 листопада закінчився термін вказівки операторів ключових послуг, і на даний момент приймаються адміністративні рішення. У випадку охорони здоров'я операторів ключових служб вказує міністр охорони здоров'я.
- Кожен із зазначених суб’єктів може, звичайно, оскаржити це рішення, наприклад, якщо вважає, що він був класифікований неправильно. Зобов'язання, пов'язані з адаптацією до НІС, були розділені на три етапи, які тривали кілька місяців. Через рік це буде завершено аудитом безпеки, який буде повторюватися кожні два роки, - пояснює Марцін Ян Ваховскі.
Високі витрати, мало фахівців
Адаптація до нормативних актів, що стосуються ІТ-безпеки, є фінансовою та організаційною проблемою. На думку експертів, у представників фармацевтичних компаній, що працюють у Польщі, із цим повинно бути найменше проблем. Зазвичай це високотехнологічні глобальні компанії, які мають доступ до хмарних інструментів, тому впровадження NIS тут буде відносно простим. Оптовики та аптечні мережі, які зазвичай використовують зовнішніх адміністраторів мереж, стикаються з дещо більшим викликом. Цей процес, безумовно, буде найбільшою проблемою для лікарень та медичних закладів, головним чином з фінансових причин.
- Нещодавно ми підготували дослідження для суб’єктів такого типу, щоб допомогти у отриманні фінансування для забезпечення кібербезпеки, і виявилося, що немає коштів на інновації чи галузеві, які б охоплювали цю сферу. Тож ситуація досить складна. Держава вимагає, щоб це робили лікарні, але гроші повинні знаходитись у їхньому власному бюджеті. Тим часом ми всі знаємо, що фінансове становище польської служби охорони здоров’я не є райдужним, говорить Марцін Ян Ваховскі
Однак навіть для компаній, які не бояться витрат у кілька сотень тисяч злотих, пошук фахівців з кібербезпеки може стати проблемою. Наявні в Польщі давно користуються попитом багатих західних підприємств. Доступ до юридичної консультації, яка буде необхідна при створенні документації або спеціальних оперативних центрів, де CSIRT (Група з реагування на інциденти комп’ютерної безпеки) буде збирати та обробляти дані про інциденти, є меншою проблемою.
Відсутність документації та юридичних процедур, адаптованих до вимог Закону, піддає оператору ключових послуг штрафні санкції, які можуть сягати до двох мільйонів злотих (або до подвоєної винагороди для осіб, які керують такими організаціями). Один з перших таких випадків, також пов'язаний з порушенням GDPR, нещодавно був зареєстрований у Португалії, де лікарняний центр Баррейру-Монтійо був оштрафований на 400 000 євро за необережність надання доступу до медичних даних багатьом людям, які не повинен мати такий доступ.
--waciwoci.jpg)
---waciwoci-i-zastosowanie-przepis-na-chleb-z-teffu.jpg)
