Велики произвођачи и велетрговци лекова, као и највеће болнице и медицинске установе у Пољској, ускоро ће бити дужни да испуне захтеве НИС директиве - прве директиве о сајбер безбедности у историји ЕУ. Скупа процедура представљаће велики изазов, посебно за пољске болнице.
Према стручњацима за кибербезбедност, компаније се могу поделити на оне које су нападнуте и оне које то још не знају. Истраживања показују да је свака компанија имала овакву врсту инцидента, а Интернет је простор у којем су сигурносни системи под сталним нападима.
- Прогнозе за блиску будућност на овом подручју кажу да су, иако су досадашњи интензивни напади првенствено били усмерени на тзв критична инфраструктура, односно ентитети повезани са нпр.компаније и институције у области здравствене заштите и производних линија постаће следеће мете - каже адвокат Марцин Јан Вацховски, стручњак једне од првих адвокатских канцеларија у Пољској која се специјализовала за консултације у области кибернетичке безбедности. Ово ставља произвођаче лекова у посебан положај на размеђи ова два подручја.
- Не ради се само о претњама да ће пореметити или обуставити процесе производње лекова, већ о много опаснијим, као што су нпр. Промене у рецептима. Ако се ова врста напада не открије, може представљати пријетњу здрављу и животу људи који узимају дрогу, каже Марцин Јан Вацховски. - Истраживање кибернетичких напада показује да компанија сазнаје да је постала њен циљ у просеку након приближно 90 дана. Током овог времена потенцијално опасан лек већ може наћи пут до апотека, а то повлачи ризике и огромне трошкове.
Директива против хакера
Свест о сајбер претњама била је главна премиса стварања Европског парламента Директиве о мрежној и информационој сигурности (скраћено НИС), која је усвојена јула 2016. Недавно је Европска комисија у посебном апелу упућеном 17 држава, укључујући Пољску, обавезала да у потпуности примени ове прописе како би гарантују једнак ниво сигурности мрежних и информационих система широм Уније. Као резултат тога, пољски парламент припремио је акт о систему националне безбедности који је ступио на снагу 28. августа 2018. Добављачи дигиталних услуга (интернет прегледачи, облаци, трговачке платформе), државна администрација и тзв. оператери кључних услуга, тј. субјекти чија је ИТ сигурност посебно важна. Процењује се да је у Пољској нешто више од 300 субјеката - укључујући банке, компаније из енергетске и транспортне индустрије. Готово трећину чиниће компаније и установе из здравственог сектора: произвођачи и велетрговци лековима, велике медицинске установе.
- Сви ови субјекти морају да испуне низ скупих и дуготрајних обавеза. Око 70 одсто њих су технолошка, а преосталих 30 одсто правна питања, попут припреме одговарајуће безбедносне документације, управљања инцидентима, управљања ризицима, обуке особља - каже Марцин Јан Вацховски.
Примена закона у Пољској тек улази у фазу примене - 9. новембра истекао је рок за назначење оператора кључних услуга и тренутно се доносе административне одлуке. У случају здравствене заштите, оператере кључних услуга назначује министар здравља.
- Сваки од наведених субјеката може се наравно жалити на ову одлуку, нпр. Ако верује да је погрешно класификован. Обавезе у вези са адаптацијом на НИС подељене су у неколико фаза у трајању од неколико месеци. После годину дана, то ће бити допуњено безбедносном ревизијом, која ће се понављати сваке две године - објашњава Марцин Јан Вацховски.
Велики трошкови, мало стручњака
Прилагођавање прописима који се односе на ИТ сигурност представља финансијски и организациони изазов. Према мишљењу стручњака, представници фармацеутских компанија које послују у Пољској требало би да имају најмање проблема са тим. То су обично високотехнолошке глобалне компаније које имају приступ алаткама заснованим на облаку, па ће примена НИС-а овде бити релативно једноставна. Велепродавци и ланци апотека, који обично користе спољне администраторе мрежа, суочавају се са мало већим изазовом. Овај процес ће сигурно бити највећи проблем болницама и медицинским установама, углавном из финансијских разлога.
- Недавно смо припремили студију за ову врсту субјеката како бисмо помогли у добијању финансирања за осигурање сајбер безбедности и испоставило се да нема средстава за иновације или секторска која би покривала ову област. Дакле, ситуација је прилично тешка. Држава то захтева од болница, али новац мора да се нађе у њиховом сопственом буџету. У међувремену, сви знамо да финансијска ситуација пољске здравствене службе није ружичаста, каже Марцин Јан Вацховски
Међутим, чак и за компаније које се не плаше трошкова од неколико стотина хиљада злота, проналазак стручњака за сајбер безбедност може представљати проблем. Богата западна предузећа дуго траже оне који су доступни у Пољској. Приступ правном савету, који ће бити потребан приликом креирања документације или посебних оперативних центара, где ће ЦСИРТ (Тим за одговор на инциденте рачунарске безбедности) прикупљати и обрађивати податке о инцидентима, мање је проблематичан.
Недостатак документације и правних поступака прилагођених захтевима Закона излаже оператора кључних услуга казнама које могу достићи и до два милиона злота (или до двоструко веће накнаде за особе које управљају таквим организацијама). Један од првих таквих случајева, такође повезан са кршењем ГДПР-а, недавно је забележен у Португалији, где је болнички центар Барреиро-Монтијо кажњен са 400.000 ЕУР због несавесног омогућавања приступа медицинским подацима многим људима који то нису учинили. треба да имају такав приступ.
