Veľkí výrobcovia a veľkoobchodníci s drogami, ako aj najväčšie nemocnice a zdravotnícke zariadenia v Poľsku budú čoskoro povinní splniť požiadavky smernice NIS - prvej smernice o kybernetickej bezpečnosti v histórii EÚ. Náročný postup bude veľkou výzvou, najmä pre poľské nemocnice.
Podľa odborníkov na kybernetickú bezpečnosť možno spoločnosti rozdeliť na tie, ktoré boli napadnuté, a tie, ktoré to zatiaľ nevedia. Výskumy ukazujú, že každá spoločnosť zaznamenala tento typ incidentu a internet je priestor, v ktorom sú neustále napádané bezpečnostné systémy.
- Prognózy na najbližšie obdobie v tejto oblasti hovoria, že zatiaľ čo doterajšie intenzívne útoky boli zamerané predovšetkým na tzv kritická infraštruktúra, teda subjekty spojené napr.spoločnosti a inštitúcie v oblasti zdravotnej starostlivosti a výrobných liniek sa stanú ďalšími cieľmi - hovorí advokát Marcin Jan Wachowski, expert jednej z prvých právnych spoločností v Poľsku špecializujúcich sa na poradenstvo v oblasti kybernetickej bezpečnosti. Toto dáva výrobcom liekov zvláštne postavenie na križovatke týchto dvoch oblastí.
- Nejde iba o hrozby narušenia alebo pozastavenia procesov výroby liekov, ale aj o oveľa nebezpečnejšie, ako napríklad zmeny receptov. Ak sa tento typ útoku nezistí, môže to predstavovať hrozbu pre zdravie a život ľudí, ktorí užívajú túto drogu, hovorí Marcin Jan Wachowski. - Výskum kybernetických útokov ukazuje, že spoločnosť sa dozvedá, že sa stala jej cieľom v priemere po približne 90 dňoch. Počas tejto doby si potenciálne nebezpečný liek už môže nájsť cestu do lekární, čo so sebou prináša riziká a obrovské náklady.
Smernica proti hackerom
Povedomie o kybernetických hrozbách bolo hlavným predpokladom pre to, aby Európsky parlament vytvoril smernicu o bezpečnosti sietí a informácií (skrátene NIS), ktorá bola prijatá v júli 2016. Európska komisia nedávno vydala osobitnú výzvu adresovanú 17 krajinám vrátane Poľska, aby boli tieto nariadenia v plnej miere implementované do zaručiť rovnakú úroveň bezpečnosti sieťových a informačných systémov v celej Únii. Výsledkom bolo, že poľský parlament pripravil zákon o národnom bezpečnostnom systéme, ktorý vstúpil do platnosti 28. augusta 2018. Poskytovatelia digitálnych služieb (internetové prehliadače, cloudy, obchodné platformy), štátna správa a tzv. prevádzkovatelia kľúčových služieb, t. j. subjekty, ktorých bezpečnosť IT je obzvlášť dôležitá. Odhaduje sa, že v Poľsku je to o niečo viac ako 300 subjektov - vrátane bánk, spoločností z energetického a dopravného priemyslu. Takmer jednu tretinu budú tvoriť spoločnosti a inštitúcie zo zdravotníctva: výrobcovia a veľkoobchodníci s drogami, veľké zdravotnícke zariadenia.
- Všetky tieto subjekty musia plniť množstvo nákladných a časovo náročných povinností. Asi 70 percent z nich sú technologické problémy a zvyšných 30 percent tvoria právne záležitosti, ako je príprava príslušnej bezpečnostnej dokumentácie, riešenie nehôd, riadenie rizík, školenie zamestnancov - hovorí Marcin Jan Wachowski.
Implementácia zákona v Poľsku sa ešte len dostáva do fázy implementácie - 9. novembra uplynul termín na označenie operátorov kľúčových služieb a v súčasnosti sa prijímajú administratívne rozhodnutia. V prípade zdravotnej starostlivosti označuje operátorov kľúčových služieb minister zdravotníctva.
- Každý z označených subjektov sa samozrejme môže proti tomuto rozhodnutiu odvolať, napríklad ak sa domnieva, že bol nesprávne klasifikovaný. Povinnosti spojené s prispôsobením sa NIS boli rozdelené do troch etáp trvajúcich niekoľko mesiacov. Po roku ju zavŕši bezpečnostný audit, ktorý sa bude opakovať každé dva roky - vysvetľuje Marcin Jan Wachowski.
Vysoké náklady, málo odborníkov
Prispôsobenie predpisov týkajúcich sa bezpečnosti IT je finančnou a organizačnou výzvou. Podľa odborníkov by s tým mali mať najmenšie problémy zástupcovia farmaceutických spoločností pôsobiacich v Poľsku. Spravidla ide o globálne technologicky vyspelé spoločnosti s prístupom k cloudovým nástrojom, takže implementácia NIS tu bude pomerne jednoduchá. Veľkoobchody a reťazce lekární, ktoré zvyčajne využívajú externých správcov sietí, čelia trochu väčšej výzve. Tento proces bude určite najväčším problémom pre nemocnice a zdravotnícke zariadenia, hlavne z finančných dôvodov.
- Nedávno sme pre tento typ subjektov pripravili štúdiu, ktorá má pomôcť pri získavaní finančných prostriedkov na zaistenie kybernetickej bezpečnosti, a ukázalo sa, že neexistujú žiadne finančné prostriedky na inovácie alebo odvetvia, ktoré by pokryli túto oblasť. Situácia je teda dosť zložitá. Štát vyžaduje, aby to nemocnice robili, peniaze však treba hľadať vo vlastnom rozpočte. Všetci zatiaľ vieme, že finančná situácia poľského zdravotníctva nie je ružová, hovorí Marcin Jan Wachowski
Avšak aj pre spoločnosti, ktoré sa neboja nákladov niekoľko stotisíc zlotých, môže byť problém nájsť odborníkov na kybernetickú bezpečnosť. O tie, ktoré sú k dispozícii v Poľsku, dlho žiadali bohaté západné podniky. Menej problematický je prístup k právnemu poradenstvu, ktoré bude potrebné pri vytváraní dokumentácie alebo špeciálnych operačných stredísk, kde CSIRT (tím reakcie na počítačové incidenty) bude zhromažďovať a spracovávať údaje o incidentoch.
Nedostatok dokumentácie a právnych postupov prispôsobených požiadavkám zákona vystavuje prevádzkovateľa kľúčových služieb pokutám, ktoré môžu dosiahnuť až dva milióny zlotých (alebo až dvojnásobok odmeny pre osoby riadiace tieto organizácie). Jeden z prvých takýchto prípadov, ktorý súvisel aj s porušením GDPR, bol nedávno nahlásený v Portugalsku, kde nemocničné centrum Barreiro-Montijo dostalo pokutu 400 000 EUR za to, že z nedbanlivosti poskytli prístup k lekárskym údajom mnohým ľuďom, ktorí tak neurobili. by mali mať takýto prístup.
