Szpitale i firmy farmaceutyczne muszą zadbać o cyberbezpieczeństwo
Dyrektywa NIS – pierwsza w historii UE dotycząca cyberbezpieczeństwa wymaga od producentów i hurtowni leków oraz największych szpitali i placówek medyczne w Polsce zmian w tym zakresie. Kosztowna procedura będzie dużym wyzwaniem, szczególnie dla szpitali
Zdaniem ekspertów cyberbezpieczeństwa firmy dzielą się na te, które zostały zaatakowane i te, które o tym jeszcze nie wiedzą. Z badań wynika, że każda firma miała tego typu incydent, a Internet to przestrzeń, w której trwa permanentny atak na systemy zabezpieczające.
- Prognozy na najbliższą przyszłość w tym obszarze mówią, że o ile dotychczas natężone ataki wymierzone były przede wszystkim w tzw. infrastrukturę krytyczną, czyli podmioty związane np. z energetyką, transportem czy służbami oraz w podmioty sektora finansowego, to kolejnymi celami staną się firmy i instytucje z obszaru służby zdrowia oraz linie produkcyjne –mówi adwokat Marcin Jan Wachowski, ekspert jednej z pierwszych w Polsce kancelarii prawnych specjalizujących się w doradztwie z zakresu cyberbezpieczeństwa. Stawia to w szczególnej sytuacji producentów leków, którzy znajdują się na skrzyżowaniu tych dwóch obszarów.
– Chodzi nie tylko o groźby zakłócenia czy wstrzymania procesów produkcji leków, ale o znacznie bardziej niebezpieczne, jak np. wprowadzenie zmian w recepturach. Jeśli tego typu atak nie zostanie wykryty, może spowodować zagrożenie dla zdrowia i życia osób przyjmujących dany lek –mówi Marcin Jan Wachowski. – Z badań dotyczących cyberataków wynika, że firma dowiaduje się, iż stała się jego celem średnio po około 90 dniach. W tym czasie potencjalnie niebezpieczny lek może już trafić do aptek, a to pociąga za sobą zagrożenie i ogromne koszty.
Dyrektywą w hakerów
Świadomość cyberzagrożeń była główną przesłanką stworzenia przez parlament europejski dyrektywy Network and Information Security (w skrócie NIS), którą przyjęto w lipcu 2016 r. Niedawno Komisja Europejska w specjalnym apelu skierowanym do 17 państw, w tym Polski, zobligowała do pełnego wprowadzenia tych regulacji, żeby zagwarantować równy poziom zabezpieczeń sieci i systemów informatycznych w całej Unii. W efekcie polski parlament przygotował ustawę o krajowym systemie bezpieczeństwa, któraweszła w życie 28 sierpnia 2018 r.Do NIS, w pierwszej kolejności dostosować się mają dostawcy usług cyfrowych (przeglądarki internetowe, chmury, platformy handlowe), administracja państwowa oraz tzw. operatorzy usług kluczowych, czyli podmioty, których bezpieczeństwo informatyczne jest szczególnie istotne. Szacuje się, że w Polsce jest to nieco ponad 300 podmiotów – w tym banki, firmy branży energetycznej i transportowej. Niemal jedną trzecią stanowić będą firmy i placówki z sektora służby zdrowia: producenci i hurtownie leków, duże placówki medyczne.
– Wszystkie te podmioty muszą spełnić szereg kosztownych i czasochłonnych obowiązków. Około 70 procent z nich to kwestie technologiczne, a pozostałe 30 procent, to kwestie prawne, jak przygotowanie odpowiedniej dokumentacji bezpieczeństwa, obsługa incydentów, zarządzanie ryzykiem, przeszkolenie personelu –mówi Marcin Jan Wachowski.
Implementacja ustawy w Polsce właśnie wchodzi w fazę realizacji – dziewiątego listopada minął termin wskazania operatorów usług kluczowych, w tej chwili decyzje administracyjne są w trakcie doręczania. W przypadku służby zdrowia operatorów usług kluczowych wskazuje Minister Zdrowia.
– Każdy ze wskazanych podmiotów może się oczywiście odwołać od tej decyzji, np. jeśli uważa, że został błędnie zakwalifikowany. Obowiązki związane z przystosowaniem do NIS zostały rozłożone na trzy kilkumiesięczne etapy. Po roku zakończy je audyt bezpieczeństwa, który będzie powtarzany co dwa lata –wyjaśnia Marcin Jan Wachowski.
Duże koszty mało specjalistów
Przystosowanie do przepisów związanych z bezpieczeństwem informatycznym to wyzwanie finansowe i organizacyjne. Zdaniem ekspertów najmniej problemów powinny mieć z tym działające w Polsce przedstawicielstwa koncernów farmaceutycznych. Są to zwykle globalne firmy na wysokim poziomie technologicznym, z dostępem do narzędzi chmurowych, więc implementacja NIS będzie tu stosunkowo prosta. Nieco większe wyzwanie czeka hurtownie i sieci aptek, które zwykle korzystają z zewnętrznych administratorów sieci. Największym problemem proces ten będzie z pewnością dla szpitali i placówek medycznych, przede wszystkim ze względów finansowych.
– Przygotowaliśmy niedawno analizę dla tego typu podmiotów, żeby pomóc w uzyskaniu finansowania na zapewnienie cyberbezpieczeństwa i okazało się, że nie ma żadnych funduszy na innowacyjność czy sektorowych, które obejmowałyby ten obszar. Sytuacja jest więc dość trudna. Państwo wymaga, żeby szpitale to zrobiły, ale pieniądze muszą znaleźć we własnym budżecie. Tymczasem wszyscy wiemy, że sytuacja finansowa polskiej służby zdrowia nie jest różowa –mówi Marcin Jan Wachowski.
Nawet jednak dla firm, których nie przerażają koszty na poziomie kilkuset tysięcy zł., problemem może okazać się znalezienie specjalistów od cyberbezpieczeństwa. Ci dostępni w Polsce od dawna są rozchwytywani przez bogate zachodnie przedsiębiorstwa. Mniejszym problemem jest dostęp do doradztwa prawnego, które będzie niezbędne przy tworzeniu dokumentacji czy specjalnych centrów operacyjnych, gdzie CSIRT (Computer Security Incident Response Team) będzie wyłapywał i przetwarzał dane dotyczące incydentów.
Brak dostosowanej do wymogów ustawy dokumentacji i opracowanych procedur prawnych naraża operatora usług kluczowych na kary, które mogą sięgnąć nawet dwóch mln złotych (lub do dwukrotności wynagrodzenia dla osób kierujących takimi organizacjami). Jednym z pierwszych takich przypadków, jednocześnie związanym z naruszeniem rodo, mieliśmy niedawno do czynienia w Portugalii, gdzie Centrum Szpitalne Barreiro-Montijo zostało ukarane karą 400 tysięcy euro za to, że w wyniku zaniedbania doszło do przyznania dostępu do danych medycznych wielu osobom, które nie powinny takiego dostępu posiadać.
Kancelaria Adwokacka Wachowski, to warszawska kancelaria prawna z 10-lernim stażem, która jako jedna z pierwszych w Polsce specjalizuje się w doradztwie biznesowym w obszarze cyberbezpieczeństwa i bezpieczeństwa danych. Realizuje je na wszelkich poziomach, zarówno jeśli chodzi o procedury związane z RODO i ochroną danych, implementacji dyrektywy NIS i ustawy o KSC, jak też cyberataków, takich jak ransomware, DDoS, czy phishing.
Nadesłał:
Ontro109
|