Suuret huumeiden tuottajat ja tukkumyyjät, mutta myös Puolan suurimmat sairaalat ja lääketieteelliset laitokset, joutuvat pian täyttämään NIS-direktiivin - EU: n historian ensimmäisen kyberturvallisuusdirektiivin - vaatimukset. Kallis menettely on suuri haaste erityisesti Puolan sairaaloille.
Kyberturvallisuusasiantuntijoiden mukaan yritykset voidaan jakaa yrityksiin, joihin on kohdistettu hyökkäyksiä ja jotka eivät vielä tiedä sitä. Tutkimukset osoittavat, että jokaisella yrityksellä on ollut tällaisia tapahtumia, ja Internet on tila, jossa turvajärjestelmät ovat jatkuvasti hyökkäyksissä.
- Tämän alueen lähitulevaisuuden ennusteet kertovat, että vaikka toistaiseksi voimakkaat hyökkäykset ovat kohdistuneet ensisijaisesti ns kriittinen infrastruktuuri, eli yksiköt, jotka liittyvät esimerkiksiseuraavista kohteista tulee terveydenhuollon ja tuotantolinjojen yrityksiä ja laitoksia - sanoo asianajaja Marcin Jan Wachowski, yksi Puolan ensimmäisistä kyberturvallisuuskonsultointiin erikoistuneista asianajotoimistoista. Tämä asettaa lääkevalmistajat erityisasemaan näiden kahden alueen risteyksessä.
- Kyse ei ole pelkästään lääkkeiden tuotantoprosessien keskeyttämistä tai keskeyttämistä koskevista uhista, vaan myös paljon vaarallisemmista, kuten esim. Reseptien muutoksista. Jos tällaista hyökkäystä ei havaita, se voi olla uhka lääkettä käyttävien ihmisten terveydelle ja elämälle, sanoo Marcin Jan Wachowski. - Kyberhyökkäysten tutkimus osoittaa, että yritys saa tietää, että siitä on tullut kohde keskimäärin noin 90 päivän kuluttua. Tänä aikana potentiaalisesti vaarallinen lääke voi jo löytää tiensä apteekkeihin, mikä aiheuttaa riskejä ja valtavia kustannuksia.
Hakkerit vastaan annettu direktiivi
Tieto kyberuhista oli tärkein lähtökohta sille, että Euroopan parlamentti laati heinäkuussa 2016 hyväksytyn verkko- ja tietoturvadirektiivin (lyhennettynä NIS). Äskettäin Euroopan komission oli 17 maalle, mukaan lukien Puolalle, osoitettu erityinen vetoomus, joka velvoitettiin panemaan nämä säännökset täysimääräisesti täytäntöön. taata verkko- ja tietojärjestelmien tasainen turvallisuustaso koko unionissa. Tämän seurauksena Puolan parlamentti valmisteli kansallista turvajärjestelmää koskevan lain, joka tuli voimaan 28. elokuuta 2018. Digitaalisten palvelujen tarjoajat (Internet-selaimet, pilvet, kauppapaikat), valtionhallinto ja ns. avainpalvelujen operaattorit, eli yksiköt, joiden tietoturva on erityisen tärkeää. Puolassa arvioidaan olevan hieman yli 300 yhteisöä - mukaan lukien pankit, energia- ja liikennealan yritykset. Lähes kolmasosa on terveydenhuollon yrityksiä ja laitoksia: lääkkeiden valmistajia ja tukkukauppiaita, suuria lääketieteellisiä palveluita.
- Kaikkien näiden yksiköiden on täytettävä joukko kalliita ja aikaa vieviä velvoitteita. Noin 70 prosenttia niistä on teknisiä kysymyksiä, ja loput 30 prosenttia ovat juridisia kysymyksiä, kuten asianmukaisten turvallisuusasiakirjojen valmistelu, tapahtumien käsittely, riskienhallinta, henkilöstön koulutus - kertoo Marcin Jan Wachowski.
Lain täytäntöönpano Puolassa on vasta siirtymässä täytäntöönpanovaiheeseen - 9. marraskuuta tärkeimpien palvelujen operaattoreiden ilmoittamisen määräaika umpeutui ja hallinnollisia päätöksiä tehdään tällä hetkellä. Terveydenhuollossa keskeisten palvelujen tarjoajat nimeää terveysministeri.
- Kukin ilmoitetuista yhteisöistä voi tietysti hakea muutosta tähän päätökseen, esimerkiksi jos heidän mielestään ne on luokiteltu virheellisesti. Verkko- ja tietoturvaan sopeutumiseen liittyvät velvoitteet on jaettu kolmeen vaiheeseen, jotka kestävät useita kuukausia. Vuoden kuluttua se viimeistellään turvatarkastuksella, joka toistetaan joka toinen vuosi - kertoo Marcin Jan Wachowski.
Korkeat kustannukset, vähän asiantuntijoita
Tietoturvaan liittyvien säädösten mukauttaminen on taloudellinen ja organisatorinen haaste. Asiantuntijoiden mukaan Puolassa toimivien lääkeyritysten edustajilla pitäisi olla vähiten ongelmia tämän kanssa. Nämä ovat yleensä korkean teknologian globaaleja yrityksiä, joilla on pääsy pilvipohjaisiin työkaluihin, joten NIS: n käyttöönotto on tässä suhteellisen yksinkertaista. Tukku- ja apteekkiketjut, jotka yleensä käyttävät ulkoisia verkonvalvojia, kohtaavat hieman suuremman haasteen. Tämä prosessi on varmasti suurin ongelma sairaaloille ja lääketieteellisille laitoksille, lähinnä taloudellisista syistä.
- Olemme äskettäin valmistelleet tämäntyyppisille yhteisöille tutkimuksen auttaaksemme saamaan rahoitusta kyberturvallisuuden varmistamiseksi, ja kävi ilmi, että innovaatioille tai alakohtaisille varoille ei ole tämän alueen kattavia varoja. Joten tilanne on melko vaikea. Valtio vaatii sairaaloita tekemään niin, mutta rahat on löydettävä heidän omasta talousarviostaan. Sillä välin me kaikki tiedämme, että Puolan terveyspalvelun taloudellinen tilanne ei ole ruusuinen, sanoo Marcin Jan Wachowski
Kuitenkin jopa yrityksille, jotka eivät pelkää satojen tuhansien zlottien kustannuksia, kyberturvallisuusasiantuntijoiden löytäminen voi olla ongelma. Puolassa saatavilla olevat tuotteet ovat jo pitkään olleet kysynnän varakkaiden länsimaisten yritysten joukossa. Oikeudellisen neuvonnan saatavuus, jota tarvitaan dokumentaation tai erityisten operatiivisten keskusten luomisessa, joissa CSIRT (Computer Security Incident Response Team) kerää ja käsittelee tapahtumia koskevia tietoja, on vähemmän ongelmallinen.
Lain vaatimuksiin mukautettujen asiakirjojen ja oikeudellisten menettelyjen puuttuminen altistaa avainpalvelujen tarjoajan seuraamuksille, jotka voivat olla jopa kaksi miljoonaa zlotya (tai jopa kaksinkertaiset tällaisia organisaatioita hallinnoiville henkilöille maksettavasta palkasta). Yksi ensimmäisistä tapauksista, joka liittyi myös GDPR: n rikkomiseen, ilmoitettiin äskettäin Portugalissa, jossa Barreiro-Montijon sairaalakeskukselle määrättiin 400 000 euron sakko huolimattomasta lääketieteellisten tietojen saamisesta monille ihmisille, jotka eivät olisi oltava tällainen pääsy.
