Veliki proizvođači i veletrgovci lijekova, ali i najveće bolnice i medicinske ustanove u Poljskoj uskoro će biti dužni ispuniti zahtjeve NIS direktive - prve direktive o kibernetskoj sigurnosti u povijesti EU. Skupi postupak bit će velik izazov, posebno za poljske bolnice.
Prema stručnjacima za kibernetsku sigurnost, tvrtke se mogu podijeliti na one koje su napadnute i one koje to još ne znaju. Istraživanja pokazuju da je svaka tvrtka imala ovakvu vrstu incidenta, a Internet je prostor u kojem su sigurnosni sustavi pod stalnim napadima.
- Prognoze za blisku budućnost na ovom području kažu da su, iako su dosadašnji intenzivni napadi bili usmjereni prvenstveno na tzv kritična infrastruktura, tj. entiteti povezani s npr.tvrtke i ustanove na području zdravstvene zaštite i proizvodnih linija postat će sljedeća meta - kaže zagovornik Marcin Jan Wachowski, stručnjak jedne od prvih odvjetničkih tvrtki u Poljskoj specijaliziranih za savjetovanje u vezi s cyber sigurnošću. To proizvođače lijekova stavlja u poseban položaj na razmeđu ova dva područja.
- Ne radi se samo o prijetnjama da će poremetiti ili obustaviti procese proizvodnje lijekova, već i o puno opasnijim, poput promjena u receptima. Ako se ova vrsta napada ne otkrije, može predstavljati prijetnju zdravlju i životu ljudi koji uzimaju drogu, kaže Marcin Jan Wachowski. - Istraživanje kibernetičkih napada pokazuje da tvrtka dozna da je postala meta u prosjeku nakon otprilike 90 dana. Za to vrijeme potencijalno opasni lijek već može naći put do ljekarni, a to povlači rizike i velike troškove.
Direktiva protiv hakera
Svijest o cyber prijetnjama bila je glavna pretpostavka za stvaranje Europskog parlamenta Direktive o mreži i informacijskoj sigurnosti (skraćeno NIS), koja je usvojena u srpnju 2016. Nedavno je Europska komisija u posebnom apelu upućenom 17 država, uključujući Poljsku, obvezala u potpunosti provoditi ove propise kako bi jamče jednaku razinu sigurnosti mrežnih i informacijskih sustava u cijeloj Uniji. Kao rezultat toga, poljski parlament pripremio je akt o sustavu nacionalne sigurnosti koji je stupio na snagu 28. kolovoza 2018. Davatelji digitalnih usluga (internetski preglednici, oblaci, trgovačke platforme), državna uprava i tzv. operateri ključnih usluga, tj. subjekti čija je informatička sigurnost posebno važna. Procjenjuje se da je u Poljskoj nešto više od 300 subjekata - uključujući banke, tvrtke iz energetske i prometne industrije. Gotovo jednu trećinu činit će tvrtke i ustanove iz zdravstvenog sektora: proizvođači i veletrgovci lijekovima, velike medicinske ustanove.
- Svi ti subjekti moraju ispuniti brojne skupe i dugotrajne obveze. Oko 70 posto njih su tehnološka, a preostalih 30 posto pravna pitanja, poput pripreme odgovarajuće sigurnosne dokumentacije, postupanja s incidentima, upravljanja rizicima, obuke osoblja - kaže Marcin Jan Wachowski.
Provedba zakona u Poljskoj tek ulazi u fazu provedbe - 9. studenog istekao je rok za naznačivanje operatora ključnih usluga i trenutno se donose upravne odluke. U slučaju zdravstvene zaštite, operatore ključnih usluga naznačuje ministar zdravstva.
- Svaki od navedenih subjekata može se naravno žaliti na ovu odluku, npr. Ako vjeruje da je pogrešno klasificiran. Obveze vezane za prilagodbu NIS-u podijeljene su u tri faze u trajanju od nekoliko mjeseci. Nakon godinu dana dovršit će ga sigurnosna revizija koja će se ponavljati svake dvije godine - objašnjava Marcin Jan Wachowski.
Veliki troškovi, malo stručnjaka
Prilagođavanje propisima koji se odnose na informatičku sigurnost financijski je i organizacijski izazov. Prema mišljenju stručnjaka, s tim bi najmanje problema trebali imati predstavnici farmaceutskih tvrtki koje posluju u Poljskoj. To su obično visokotehnološke globalne tvrtke s pristupom alatima temeljenim na oblaku, pa će implementacija NIS-a ovdje biti relativno jednostavna. Trgovci na veliko i ljekarnički lanci, koji obično koriste vanjske mrežne administratore, suočavaju se s malo većim izazovom. Ovaj će postupak zasigurno biti najveći problem bolnicama i medicinskim ustanovama, uglavnom iz financijskih razloga.
- Nedavno smo pripremili studiju za ovu vrstu subjekata kako bismo pomogli u dobivanju financiranja za osiguranje kibernetičke sigurnosti i ispostavilo se da ne postoje sredstva za inovacije niti sektorska koja bi pokrivala ovo područje. Dakle, situacija je prilično teška. Država to zahtijeva bolnice, ali novac se mora naći u vlastitom proračunu. U međuvremenu, svi znamo da financijska situacija poljske zdravstvene službe nije ružičasta, kaže Marcin Jan Wachowski
Međutim, čak i za tvrtke koje se ne boje troškova od nekoliko stotina tisuća zlota, pronalazak stručnjaka za kibernetsku sigurnost može predstavljati problem. Bogata zapadna poduzeća već dugo traže one koji su dostupni u Poljskoj. Pristup pravnom savjetu koji će biti potreban pri izradi dokumentacije ili posebnih operativnih centara, gdje će CSIRT (Tim za odgovor na računalne sigurnosne incidente) hvatati i obrađivati podatke o incidentima, manje je problematičan.
Nedostatak dokumentacije i pravnih postupaka prilagođenih zahtjevima Zakona izlaže operatora ključnih usluga kaznama koje mogu doseći i do dva milijuna zlota (ili do dvostruko veće naknade za osobe koje upravljaju takvim organizacijama). Jedan od prvih takvih slučajeva, također povezan s kršenjem GDPR-a, nedavno je zabilježen u Portugalu, gdje je bolnički centar Barreiro-Montijo kažnjen s 400 000 EUR zbog nesavjesnog davanja pristupa medicinskim podacima mnogim ljudima koji nisu treba imati takav pristup.
