Големите производители и търговци на едро на лекарства, но и най-големите болници и медицински заведения в Полша скоро ще бъдат задължени да отговарят на изискванията на Директивата за НИС - първата директива за киберсигурност в историята на ЕС. Скъпата процедура ще бъде голямо предизвикателство, особено за полските болници.
Според експертите по киберсигурност компаниите могат да бъдат разделени на тези, които са били атакувани, и тези, които все още не го знаят. Изследванията показват, че всяка компания е имала такъв тип инциденти, а Интернет е пространство, в което системите за сигурност са подложени на постоянна атака.
- Прогнозите за близко бъдеще в тази област казват, че докато интензивните атаки до момента са насочени предимно към т.нар критична инфраструктура, т.е. обекти, свързани с напр.компаниите и институциите в областта на здравеопазването и производствените линии ще станат следващите цели - казва адвокатът Марчин Ян Вачовски, експерт в една от първите адвокатски кантори в Полша, специализирана в консултации по киберсигурност. Това поставя производителите на лекарства в специална позиция на кръстопътя на тези две области.
- Не става въпрос само за заплахи за нарушаване или спиране на процесите на производство на лекарства, но и за много по-опасни, като например промени в рецептите. Ако този тип атака не бъде открита, това може да представлява заплаха за здравето и живота на хората, приемащи наркотика, казва Марчин Ян Вачовски. - Изследванията на кибер атаките показват, че компанията научава, че е станала своя цел средно след приблизително 90 дни. През това време потенциално опасно лекарство може вече да намери пътя до аптеките, а това води до рискове и огромни разходи.
Директива срещу хакерите
Информираността за кибер заплахите беше основната предпоставка за създаването от Европейския парламент на Директивата за мрежовата и информационна сигурност (съкратена като NIS), която беше приета през юли 2016 г. Наскоро Европейската комисия в специален призив, адресиран до 17 държави, включително Полша, задължи изцяло да прилага тези разпоредби за гарантират еднакво ниво на сигурност на мрежовите и информационните системи в целия Съюз. В резултат на това полският парламент подготви акт за системата за национална сигурност, който влезе в сила на 28 август 2018 г. Доставчици на цифрови услуги (интернет браузъри, облаци, платформи за търговия), държавна администрация и т.нар. оператори на ключови услуги, т.е. субекти, чиято ИТ сигурност е особено важна. Смята се, че в Полша това са малко повече от 300 предприятия - включително банки, компании от енергийната и транспортната индустрия. Почти една трета ще бъдат компании и институции от сектора на здравеопазването: производители и търговци на едро на лекарства, големи медицински заведения.
- Всички тези субекти трябва да изпълняват редица скъпи и отнемащи време задължения. Около 70 процента от тях са технологични проблеми, а останалите 30 процента са правни въпроси, като например изготвяне на подходяща документация за сигурност, обработка на инциденти, управление на риска, обучение на персонала - казва Марчин Ян Уашовски.
Прилагането на закона в Полша тепърва навлиза във фазата на изпълнение - на 9 ноември изтече срокът за посочване на оператори на ключови услуги и в момента се внасят административни решения. В случай на здравни грижи, операторите на ключови услуги се посочват от министъра на здравеопазването.
- Всеки от посочените субекти може, разбира се, да обжалва това решение, например ако смята, че е бил класиран неправилно. Задълженията, свързани с адаптацията към НИС, бяха разделени на три етапа с продължителност няколко месеца. След една година той ще бъде завършен от одит на сигурността, който ще се повтаря на всеки две години - обяснява Марчин Ян Вачовски.
Високи разходи, малко специалисти
Адаптирането към разпоредбите, свързани с ИТ сигурността, е финансово и организационно предизвикателство. Според експерти най-малко проблеми с това трябва да имат представителите на фармацевтични компании, работещи в Полша. Това обикновено са глобални високотехнологични компании с достъп до базирани на облак инструменти, така че внедряването на NIS тук ще бъде относително лесно. Търговците на едро и аптечните вериги, които обикновено използват външни мрежови администратори, са изправени пред малко по-голямо предизвикателство. Този процес със сигурност ще бъде най-големият проблем за болниците и медицинските заведения, главно по финансови причини.
- Наскоро подготвихме проучване за този тип организации, за да помогнем при получаването на финансиране за осигуряване на киберсигурност и се оказа, че няма средства за иновации или сектор, които да покриват тази област. Така че ситуацията е доста трудна. Държавата изисква болниците да правят това, но парите трябва да се намерят в техния собствен бюджет. Междувременно всички знаем, че финансовото състояние на полската здравна служба не е розово, казва Марчин Ян Вачовски
Въпреки това, дори за компании, които не се страхуват от разходи от няколкостотин хиляди злоти, намирането на специалисти по киберсигурност може да е проблем. Наличните в Полша отдавна се търсят от богатите западни предприятия. По-малък проблем е достъпът до правни съвети, които ще са необходими при създаването на документация или специални оперативни центрове, където CSIRT (Екип за реагиране при инциденти на компютърната сигурност) ще събира и обработва данни за инциденти.
Липсата на документация и законови процедури, адаптирани към изискванията на закона, излага оператора на ключови услуги на санкции, които могат да достигнат до два милиона злоти (или до два пъти възнаграждението за лицата, управляващи такива организации). Един от първите такива случаи, също свързан с нарушение на GDPR, беше докладван наскоро в Португалия, където болничен център Barreiro-Montijo беше глобен с 400 000 EUR за небрежно предоставяне на достъп до медицински данни на много хора, които не го направиха. трябва да има такъв достъп.
