Lielajiem zāļu ražotājiem un vairumtirgotājiem, kā arī Polijas lielākajām slimnīcām un medicīnas iestādēm drīz būs pienākums izpildīt TID direktīvas prasības - pirmo kiberdrošības direktīvu ES vēsturē. Dārga procedūra būs liels izaicinājums, īpaši Polijas slimnīcām.
Pēc kiberdrošības ekspertu domām, uzņēmumus var iedalīt uzņēmumos, kuriem uzbrukts, un uzņēmumos, kuri to vēl nezina. Pētījumi rāda, ka katram uzņēmumam ir bijuši šāda veida incidenti, un internets ir telpa, kurā drošības sistēmas pastāvīgi tiek pakļautas uzbrukumiem.
- Tuvākās nākotnes prognozes šajā jomā vēsta, ka, lai gan līdz šim intensīvie uzbrukumi galvenokārt bija vērsti uz t.s. kritiskā infrastruktūra, t.i., vienības, kas saistītas ar piem.uzņēmumi un iestādes veselības aprūpes un ražošanas līniju jomā kļūs par nākamajiem mērķiem - saka advokāts Marcin Jan Wachowski, eksperts vienā no pirmajiem advokātu birojiem Polijā, kas specializējas kiberdrošības konsultācijās. Tas narkotiku ražotājus nostāda īpašā stāvoklī šo divu jomu krustpunktā.
- Runa ir ne tikai par draudiem pārtraukt vai apturēt zāļu ražošanas procesus, bet arī par daudz bīstamākiem, piemēram, piemēram, izmaiņām receptēs. Ja šāda veida uzbrukums netiek atklāts, tas var apdraudēt cilvēku, kas lieto šo narkotiku, veselību un dzīvību, saka Marcin Jan Wachowski. - Pētījumi par kiberuzbrukumiem rāda, ka uzņēmums uzzina, ka vidēji pēc aptuveni 90 dienām tas ir kļuvis par mērķi. Šajā laikā potenciāli bīstamas zāles jau var atrast ceļu uz aptiekām, un tas rada riskus un milzīgas izmaksas.
Direktīva pret hakeriem
Kiberapdraudējumu apzināšanās bija galvenais priekšnoteikums, lai Eiropas Parlaments izveidotu Tīklu un informācijas drošības direktīvu (saīsināti - NIS), kas tika pieņemta 2016. gada jūlijā. Nesen Eiropas Komisijai īpašā aicinājumā, kas adresēts 17 valstīm, tostarp Polijai, bija pienākums pilnībā īstenot šīs regulas, lai garantēt vienādu tīkla un informācijas sistēmu drošības līmeni visā Savienībā. Rezultātā Polijas parlaments sagatavoja aktu par valsts drošības sistēmu, kas stājās spēkā 2018. gada 28. augustā. Digitālo pakalpojumu sniedzēji (interneta pārlūkprogrammas, mākoņi, tirdzniecības platformas), valsts pārvalde un t.s. galveno pakalpojumu operatori, t.i., uzņēmumi, kuru IT drošība ir īpaši svarīga. Tiek lēsts, ka Polijā tas ir nedaudz vairāk nekā 300 uzņēmumi - tostarp bankas, enerģētikas un transporta nozares uzņēmumi. Gandrīz trešdaļa būs veselības aprūpes nozares uzņēmumi un iestādes: zāļu ražotāji un vairumtirgotāji, lielas medicīnas iestādes.
- Visām šīm vienībām ir jāpilda vairākas dārgas un laikietilpīgas saistības. Aptuveni 70 procenti no tiem ir tehnoloģiski jautājumi, bet atlikušie 30 procenti ir juridiski jautājumi, piemēram, atbilstošas drošības dokumentācijas sagatavošana, incidentu apstrāde, riska pārvaldība, personāla apmācība - saka Marcins Jans Vačovskis.
Akta ieviešana Polijā ir tikai ieviešanas fāzē - 9. novembrī beidzās galveno pakalpojumu operatoru norādīšanas termiņš, un pašlaik tiek pieņemti administratīvie lēmumi. Veselības aprūpes gadījumā galveno pakalpojumu sniedzējus norāda veselības ministrs.
- Katra no norādītajām vienībām, protams, var pārsūdzēt šo lēmumu, piemēram, ja uzskata, ka tās ir nepareizi klasificētas. Saistības, kas saistītas ar pielāgošanos TID, ir sadalītas trīs posmos, kas ilgst vairākus mēnešus. Pēc gada to pabeidz drošības audits, kas tiks atkārtots ik pēc diviem gadiem - skaidro Marcins Jans Vačovskis.
Augstas izmaksas, maz speciālistu
Pielāgošanās ar IT drošību saistītajiem noteikumiem ir finansiāls un organizatorisks izaicinājums. Pēc ekspertu domām, vismazāk ar to vajadzētu būt farmācijas uzņēmumu pārstāvjiem, kas darbojas Polijā. Parasti tie ir augsto tehnoloģiju globāli uzņēmumi, kuriem ir piekļuve mākoņdatošanas rīkiem, tāpēc NIS ieviešana šeit būs salīdzinoši vienkārša. Vairumtirgotājiem un aptieku ķēdēm, kas parasti izmanto ārējos tīkla administratorus, jāsaskaras ar nedaudz lielāku izaicinājumu. Šis process noteikti būs lielākā problēma slimnīcām un medicīnas iestādēm, galvenokārt finansiālu iemeslu dēļ.
- Mēs nesen esam sagatavojuši pētījumu šāda veida struktūrām, lai palīdzētu iegūt finansējumu kiberdrošības nodrošināšanai, un izrādījās, ka inovācijām vai nozaru līdzekļiem nav līdzekļu, kas aptvertu šo jomu. Tātad situācija ir diezgan grūta. Valsts to pieprasa slimnīcām, taču nauda ir jāatrod pašu budžetā. Tikmēr mēs visi zinām, ka Polijas veselības dienesta finansiālā situācija nav rožaina, saka Marcin Jan Wachowski
Tomēr pat uzņēmumiem, kas nebaidās no vairāku simtu tūkstošu zlotu izmaksām, kiberdrošības speciālistu atrašana var būt problēma. Polijā pieejamos produktus jau sen pieprasa turīgi Rietumu uzņēmumi. Piekļuve juridiskām konsultācijām, kas būs nepieciešama, veidojot dokumentāciju vai īpašus operatīvos centrus, kur CSIRT (datoru drošības incidentu novēršanas komanda) apkopos un apstrādās incidentu datus, ir mazāk problēma.
Dokumentu un juridisko procedūru trūkums, kas pielāgotas likuma prasībām, pakļauj galveno pakalpojumu operatoru sodiem, kas var sasniegt līdz diviem miljoniem zlotu (vai līdz divreiz lielākam atalgojumam personām, kuras vada šādas organizācijas). Viens no pirmajiem šādiem gadījumiem, kas saistīts arī ar GDPR pārkāpumu, nesen tika ziņots Portugālē, kur Barreiro-Montijo slimnīcas centram tika uzlikts naudas sods 400 000 eiro par nolaidīgu piekļuves medicīniskajiem datiem piešķiršanu daudziem cilvēkiem, kuri to nedarīja. vajadzētu būt šādai piekļuvei.
