Крупные производители и оптовые продавцы лекарств, а также крупнейшие больницы и медицинские учреждения в Польше скоро будут обязаны соблюдать требования Директивы NIS - первой директивы о кибербезопасности в истории ЕС. Дорогостоящая процедура станет большой проблемой, особенно для польских больниц.
По мнению экспертов по кибербезопасности, компании можно разделить на атакованные и не знающие об этом. Исследования показывают, что подобные инциденты случались в каждой компании, а Интернет - это пространство, в котором системы безопасности постоянно подвергаются атакам.
- Прогнозы на ближайшее будущее в этой области говорят о том, что хотя интенсивные атаки до сих пор были нацелены в первую очередь на так называемые критическая инфраструктура, то есть объекты, связанные, например, скомпании и учреждения в области здравоохранения и производственных линий станут следующими целями, - говорит адвокат Марцин Ян Вачовски, эксперт одной из первых юридических фирм в Польше, специализирующихся на консалтинге в области кибербезопасности. Это ставит производителей лекарств в особое положение на перекрестке этих двух областей.
- Речь идет не только об угрозах нарушить или приостановить процессы производства лекарств, но и о гораздо более опасных, таких как изменение рецептов. Если этот тип приступа не обнаружен, он может представлять угрозу для здоровья и жизни людей, принимающих препарат, говорит Марчин Ян Вачовски. - Исследования кибератак показывают, что компания узнает, что стала ее целью, в среднем примерно через 90 дней. За это время потенциально опасный препарат может уже попасть в аптеки, а это влечет за собой риски и огромные расходы.
Директива против хакеров
Осведомленность о киберугрозах была основной предпосылкой создания Европейским парламентом Директивы по сетевой и информационной безопасности (сокращенно NIS), которая была принята в июле 2016 года. Недавно в специальном обращении, адресованном 17 странам, включая Польшу, Европейская комиссия обязалась полностью выполнить эти правила, чтобы гарантировать равный уровень безопасности для сети и информационных систем по всему Союзу. В результате парламент Польши подготовил закон о системе национальной безопасности, который вступил в силу 28 августа 2018 г. Поставщики цифровых услуг (интернет-браузеры, облака, торговые платформы), государственное управление и так называемые операторы ключевых сервисов, то есть субъекты, для которых ИТ-безопасность особенно важна. По оценкам, в Польше это чуть более 300 субъектов - включая банки, компании энергетической и транспортной отрасли. Почти треть составят компании и учреждения сферы здравоохранения: производители и оптовые продавцы лекарств, крупные медицинские учреждения.
- Всем этим структурам приходится выполнять ряд дорогостоящих и длительных обязательств. Около 70 процентов из них - это технологические вопросы, а остальные 30 процентов - это юридические вопросы, такие как подготовка соответствующей документации по безопасности, обработка инцидентов, управление рисками, обучение персонала, - говорит Марчин Ян Вачовски.
Реализация закона в Польше только вступает в фазу реализации - 9 ноября истек срок указания операторов ключевых услуг, и в настоящее время принимаются административные решения. В случае здравоохранения операторов ключевых услуг указывает министр здравоохранения.
- Каждая из указанных организаций, конечно, может обжаловать это решение, например, если они считают, что были неправильно классифицированы. Обязательства, связанные с адаптацией к NIS, разбиты на три этапа по несколько месяцев. Через год он будет завершен аудитом безопасности, который будет повторяться каждые два года, - поясняет Марчин Ян Вачовски.
Высокая стоимость, мало специалистов
Адаптация к правилам, касающимся ИТ-безопасности, - это финансовая и организационная задача. По мнению экспертов, у представителей фармацевтических компаний, работающих в Польше, с этим должно быть меньше всего проблем. Обычно это высокотехнологичные глобальные компании с доступом к облачным инструментам, поэтому внедрить NIS здесь будет относительно просто. Оптовики и аптечные сети, которые обычно используют внешних сетевых администраторов, сталкиваются с несколько большей проблемой. Этот процесс, безусловно, станет самой большой проблемой для больниц и медицинских учреждений, в основном по финансовым причинам.
- Недавно мы подготовили исследование для этого типа организаций, чтобы помочь в получении финансирования для обеспечения кибербезопасности, и оказалось, что нет средств на инновации или отраслевых средств, которые охватывали бы эту область. Так что ситуация довольно сложная. Государство требует, чтобы больницы сделали это, но деньги должны быть найдены в их собственном бюджете. Между тем, все мы знаем, что финансовое положение польской службы здравоохранения не так радужно, - говорит Марчин Ян Вачовски.
Однако даже для компаний, которые не боятся затрат в несколько сотен тысяч злотых, найти специалистов по кибербезопасности может быть проблемой. Те, что доступны в Польше, давно пользуются спросом у богатых западных предприятий. Доступ к юридической консультации, которая потребуется при создании документации или специальных операционных центров, где CSIRT (группа реагирования на инциденты компьютерной безопасности) будет собирать и обрабатывать данные об инцидентах, является менее проблематичным.
Отсутствие документации и юридических процедур, адаптированных к требованиям Закона, подвергает оператора ключевых услуг штрафам, которые могут достигать двух миллионов злотых (или до двукратного вознаграждения лиц, управляющих такими организациями). Один из первых таких случаев, также связанный с нарушением GDPR, был недавно зарегистрирован в Португалии, где больничный центр Баррейро-Монтижу был оштрафован на 400000 евро за халатное предоставление доступа к медицинским данным многим людям, которые не сделали этого. должен иметь такой доступ.
