Velcí výrobci a velkoobchodníci s drogami, stejně jako největší nemocnice a zdravotnická zařízení v Polsku, budou brzy povinni splnit požadavky směrnice NIS - první směrnice o kybernetické bezpečnosti v historii EU. Náročný postup bude velkou výzvou, zejména pro polské nemocnice.
Podle odborníků na kybernetickou bezpečnost lze společnosti rozdělit na ty, které byly napadeny, a ty, které o tom dosud nevědí. Výzkumy ukazují, že každá společnost zažila tento typ incidentu a internet je prostor, ve kterém jsou bezpečnostní systémy pod neustálým útokem.
- Předpovědi pro blízkou budoucnost v této oblasti říkají, že zatímco dosud intenzivní útoky byly zaměřeny především na tzv kritická infrastruktura, tj. subjekty spojené např.společnostmi a institucemi v oblasti zdravotní péče a výrobních linek se stanou dalšími cíli - říká advokát Marcin Jan Wachowski, expert jedné z prvních polských advokátních kanceláří specializujících se na poradenství v oblasti kybernetické bezpečnosti. To staví výrobce léků do zvláštního postavení na křižovatce těchto dvou oblastí.
- Nejde jen o hrozby narušující nebo pozastavující procesy výroby drog, ale také o mnohem nebezpečnější, jako jsou změny receptur. Pokud tento typ útoku není detekován, může představovat hrozbu pro zdraví a život lidí užívajících drogu, říká Marcin Jan Wachowski. - Výzkum kybernetických útoků ukazuje, že společnost se v průměru po přibližně 90 dnech dozví, že se stala jejím cílem. Během této doby si již potenciálně nebezpečný lék může najít cestu do lékáren, což s sebou nese rizika a obrovské náklady.
Směrnice proti hackerům
Povědomí o kybernetických hrozbách bylo hlavním předpokladem pro vytvoření směrnice o bezpečnosti sítí a informací (zkráceně NIS), kterou přijal Evropský parlament v červenci 2016. zaručit stejnou úroveň zabezpečení sítí a informačních systémů v celé Unii. Polský parlament tak připravil zákon o národním bezpečnostním systému, který vstoupil v platnost 28. srpna 2018. Poskytovatelé digitálních služeb (internetové prohlížeče, cloudy, obchodní platformy), státní správa a tzv. provozovatelé klíčových služeb, tj. subjekty, jejichž bezpečnost IT je obzvláště důležitá. Odhaduje se, že v Polsku je to o něco více než 300 subjektů - včetně bank, společností z energetického a dopravního průmyslu. Téměř třetinu tvoří společnosti a instituce ze zdravotnictví: výrobci a velkoobchodníci s drogami, velká zdravotnická zařízení.
- Všechny tyto subjekty musí plnit řadu nákladných a časově náročných povinností. Asi 70 procent z nich jsou technologické problémy a zbývajících 30 procent tvoří právní záležitosti, jako je příprava příslušné bezpečnostní dokumentace, řešení incidentů, řízení rizik, školení zaměstnanců - říká Marcin Jan Wachowski.
Implementace zákona v Polsku teprve vstupuje do implementační fáze - 9. listopadu uplynula lhůta pro označení provozovatelů klíčových služeb a v tuto chvíli se přijímají správní rozhodnutí. V případě zdravotní péče označuje provozovatele klíčových služeb ministr zdravotnictví.
- Každý z uvedených subjektů se samozřejmě může proti tomuto rozhodnutí odvolat, např. Pokud se domnívá, že byl nesprávně klasifikován. Povinnosti související s přizpůsobením se NIS byly rozděleny do tří etap trvajících několik měsíců. Po roce bude dokončen bezpečnostním auditem, který se bude opakovat každé dva roky - vysvětluje Marcin Jan Wachowski.
Vysoké náklady, málo specialistů
Přizpůsobení předpisům souvisejícím s bezpečností IT je finanční a organizační výzvou. Podle odborníků by s tím měli mít nejméně problémů zástupci farmaceutických společností působících v Polsku. Obvykle se jedná o technologicky vyspělé globální společnosti s přístupem k cloudovým nástrojům, takže implementace NIS zde bude relativně jednoduchá. Velkoobchody a řetězce lékáren, které obvykle používají externí správce sítě, čelí o něco větší výzvě. Tento proces bude určitě největším problémem pro nemocnice a zdravotnická zařízení, zejména z finančních důvodů.
- Nedávno jsme pro tento typ subjektů připravili studii, která má pomoci při získávání finančních prostředků na zajištění kybernetické bezpečnosti, a ukázalo se, že neexistují žádné finanční prostředky na inovace ani sektory, které by tuto oblast pokrývaly. Situace je tedy docela obtížná. Stát od nemocnic vyžaduje, aby to provedly, ale peníze je třeba najít v jejich vlastním rozpočtu. Všichni mezitím víme, že finanční situace polského zdravotnictví není růžová, říká Marcin Jan Wachowski
Avšak i pro společnosti, které se nebojí nákladů několika stovek tisíc zlotých, může být problém najít specialisty na kybernetickou bezpečnost. O ty, které jsou k dispozici v Polsku, již dlouho poptávají bohaté západní podniky. Méně problematický je přístup k právnímu poradenství, které bude nutné při vytváření dokumentace nebo speciálních operačních středisek, kde CSIRT (Team Security Incident Response Team) bude shromažďovat a zpracovávat data incidentů.
Nedostatečná dokumentace a právní postupy přizpůsobené požadavkům zákona vystavují provozovatele klíčových služeb pokutám, které mohou dosáhnout až dvou milionů zlotých (nebo až dvojnásobné odměny osobám, které tyto organizace řídí). Jeden z prvních takových případů, který souvisí také s porušením GDPR, byl nedávno nahlášen v Portugalsku, kde bylo nemocničnímu středisku Barreiro-Montijo uložena pokuta 400 000 EUR za nedbalost umožňující přístup k lékařským údajům mnoha lidem, kteří tak neučinili by měl mít takový přístup.
-od-wita.jpg)
