Store producenter og grossister af stoffer samt de største hospitaler og medicinske faciliteter i Polen vil snart være forpligtet til at opfylde kravene i NIS-direktivet - det første cybersikkerhedsdirektiv i EUs historie. Den dyre procedure vil være en stor udfordring, især for polske hospitaler.
Ifølge cybersikkerhedseksperter kan virksomheder opdeles i dem, der er blevet angrebet, og dem, der endnu ikke kender det. Forskning viser, at enhver virksomhed har haft denne type hændelser, og Internettet er et rum, hvor sikkerhedssystemer konstant er under angreb.
- Prognoser for den nærmeste fremtid på dette område siger, at mens de intense angreb hidtil primært har været rettet mod de såkaldte kritisk infrastruktur, dvs. enheder relateret til f.eks.virksomheder og institutioner inden for sundhedspleje og produktionslinjer bliver de næste mål - siger advokat Marcin Jan Wachowski, en ekspert fra et af de første advokatfirmaer i Polen med speciale i rådgivning inden for cybersikkerhed. Dette sætter lægemiddelproducenter i en særlig position ved krydset mellem disse to områder.
- Det handler ikke kun om trusler om at forstyrre eller suspendere lægemiddelproduktionsprocesser, men om langt mere farlige, som f.eks. Ændringer i opskrifter. Hvis denne type angreb ikke opdages, kan det udgøre en trussel for menneskers sundhed og liv, der tager stoffet, siger Marcin Jan Wachowski. - Undersøgelse af cyberangreb viser, at virksomheden finder ud af, at den er blevet sit mål efter ca. 90 dage i gennemsnit. I løbet af denne tid kan et potentielt farligt stof allerede finde vej til apoteker, og det medfører risici og enorme omkostninger.
Et direktiv mod hackere
Bevidsthed om cybertrusler var den vigtigste forudsætning for Europa-Parlamentets oprettelse af net- og informationssikkerhedsdirektivet (forkortet NIS), som blev vedtaget i juli 2016. For nylig forpligtede Europa-Kommissionen sig i en særlig appel til 17 lande, inklusive Polen, til at gennemføre disse regler fuldt ud til garantere et lige niveau af sikkerhed for netværk og informationssystemer i hele Unionen. Som et resultat forberedte det polske parlament en lov om det nationale sikkerhedssystem, der trådte i kraft den 28. august 2018. Digitale tjenesteudbydere (internetbrowsere, skyer, handelsplatforme), statsadministration og de såkaldte operatører af nøgletjenester, dvs. enheder, hvis it-sikkerhed er særlig vigtig. Det anslås, at det i Polen er lidt over 300 enheder - inklusive banker, virksomheder fra energi- og transportbranchen. Næsten en tredjedel vil være virksomheder og institutioner fra sundhedssektoren: producenter og grossister af stoffer, store medicinske faciliteter.
- Alle disse enheder skal opfylde en række dyre og tidskrævende forpligtelser. Ca. 70 procent af dem er teknologiske spørgsmål, og de resterende 30 procent er juridiske spørgsmål, såsom udarbejdelse af passende sikkerhedsdokumentation, hændelseshåndtering, risikostyring, personaleuddannelse - siger Marcin Jan Wachowski.
Gennemførelsen af loven i Polen er lige ved at komme ind i gennemførelsesfasen - den 9. november udløb fristen for at angive operatører af nøgletjenester, og i øjeblikket administrative beslutninger leveres. I tilfælde af sundhedspleje er operatører af nøgletjenester angivet af sundhedsministeren.
- Hver af de angivne enheder kan naturligvis klage over denne beslutning, f.eks. Hvis de mener, at de var forkert klassificeret. Forpligtelserne i forbindelse med tilpasningen til NIS er opdelt i tre faser, der varer flere måneder. Efter et år afsluttes den med en sikkerhedsrevision, som gentages hvert andet år - forklarer Marcin Jan Wachowski.
Høje omkostninger, få specialister
Tilpasning til reglerne relateret til it-sikkerhed er en økonomisk og organisatorisk udfordring. Ifølge eksperter bør repræsentanterne for farmaceutiske virksomheder, der opererer i Polen, have mindst problemer med dette. Disse er normalt højteknologiske globale virksomheder med adgang til skybaserede værktøjer, så implementering af NIS vil være relativt simpelt her. Grossister og apotekskæder, der normalt bruger eksterne netværksadministratorer, står over for en lidt større udfordring. Denne proces vil helt sikkert være det største problem for hospitaler og medicinske anlæg, hovedsageligt af økonomiske årsager.
- Vi har for nylig udarbejdet en undersøgelse for denne type enheder, der skal hjælpe med at opnå finansiering til sikring af cybersikkerhed, og det viste sig, at der ikke er midler til innovation eller sektor, der dækker dette område. Så situationen er ret vanskelig. Staten kræver, at hospitaler gør dette, men pengene skal findes i deres eget budget. I mellemtiden ved vi alle, at den polske sundhedstjenestes økonomiske situation ikke er lyserød, siger Marcin Jan Wachowski
Selv for virksomheder, der ikke er bange for omkostninger på flere hundrede tusinde zloty, kan det være et problem at finde cybersikkerhedsspecialister. De, der er tilgængelige i Polen, har længe været efterspurgt af velhavende vestlige virksomheder. Adgang til juridisk rådgivning, som vil være nødvendig, når der oprettes dokumentation eller specielle operationelle centre, hvor CSIRT (Computer Security Incident Response Team) registrerer og behandler hændelsesdata, er mindre problematisk.
Manglen på dokumentation og juridiske procedurer tilpasset kravene i loven udsætter operatøren af nøgletjenester for sanktioner, som kan nå op til to millioner zloty (eller op til det dobbelte af vederlaget for personer, der administrerer sådanne organisationer). En af de første sådanne tilfælde, også relateret til en overtrædelse af GDPR, blev for nylig rapporteret i Portugal, hvor Barreiro-Montijo Hospital Center blev idømt en bøde på 400.000 EUR for uagtsom adgang til medicinske data til mange mennesker, der ikke skulle have sådan adgang.
-w-caej-polsce.jpg)
