A nagy gyógyszergyártók és nagykereskedők, de Lengyelország legnagyobb kórházai és egészségügyi intézményei is hamarosan kötelesek lesznek megfelelni a NIS-irányelv követelményeinek - ez az első kiberbiztonsági irányelv az EU történetében. A drága eljárás nagy kihívást jelent, különösen a lengyel kórházak számára.
A kiberbiztonsági szakértők szerint a vállalatokat fel lehet osztani azokra, akiket megtámadtak, és azokra, amelyek még nem ismerik. A kutatások azt mutatják, hogy minden vállalatnál előfordult ilyen típusú esemény, és az internet egy olyan tér, ahol a biztonsági rendszereket folyamatosan támadják.
- A közeljövőre vonatkozó előrejelzések ezen a területen azt mondják, hogy míg az eddigi intenzív támadások elsősorban az ún kritikus infrastruktúra, azaz pl.az egészségügy és a gyártósorok területén működő vállalatok és intézmények lesznek a következő célpontok - állítja Marcin Jan Wachowski szószóló, az egyik első lengyel ügyvédi iroda szakértője, aki kiberbiztonsági tanácsadással foglalkozik. Ez különleges helyzetbe hozza a gyógyszergyártókat e két terület kereszteződésében.
- Nem csak a kábítószer-előállítási folyamatok megszakításával vagy felfüggesztésével kapcsolatos fenyegetésekről van szó, hanem sokkal veszélyesebbekről is, például pl. Ha ezt a fajta támadást nem észlelik, veszélyt jelenthet a kábítószert szedők egészségére és életére - mondja Marcin Jan Wachowski. - A számítógépes támadásokkal kapcsolatos kutatások azt mutatják, hogy a vállalat megtudja, hogy átlagosan körülbelül 90 nap elteltével vált célpontjává. Ez idő alatt egy potenciálisan veszélyes gyógyszer már megtalálhatja az utat a gyógyszertárakba, ez kockázatokkal és hatalmas költségekkel jár.
Irányelv a hackerek ellen
A számítógépes fenyegetések tudatossága volt a legfőbb előfeltétele annak, hogy az Európai Parlament 2016 júliusában elfogadta a Hálózat- és Információbiztonsági Irányelvet (rövidítve NIS). A közelmúltban az Európai Bizottság egy 17 országnak, köztük Lengyelországnak címzett külön felhívásban köteles volt teljes mértékben végrehajtani ezeket a rendeleteket, hogy garantálni kell a hálózat és az információs rendszerek azonos szintű biztonságát az egész Unióban. Ennek eredményeként a lengyel parlament előkészítette a nemzetbiztonsági rendszerről szóló törvényt, amely 2018. augusztus 28-án lépett hatályba. Digitális szolgáltatók (internetes böngészők, felhők, kereskedelmi platformok), az államigazgatás és az ún. kulcsszolgáltatások üzemeltetői, vagyis olyan szervezetek, amelyeknek az informatikai biztonsága különösen fontos. Becslések szerint Lengyelországban valamivel több mint 300 szervezetről van szó - beleértve a bankokat, az energia- és a közlekedési ágazatbeli vállalatokat. Majdnem egyharmad lesz az egészségügyi szektor vállalatai és intézményei: gyógyszergyártók és nagykereskedők, nagy orvosi létesítmények.
- Mindezeknek a szervezeteknek számos költséges és időigényes kötelezettséget kell teljesíteniük. Körülbelül 70 százalékuk technológiai kérdés, a fennmaradó 30 százalék pedig jogi kérdés, például megfelelő biztonsági dokumentáció elkészítése, eseménykezelés, kockázatkezelés, a személyzet képzése - mondja Marcin Jan Wachowski.
A törvény végrehajtása Lengyelországban éppen a végrehajtás szakaszába lép - november 9-én lejárt a kulcsszolgáltatások üzemeltetőinek megjelölésére vonatkozó határidő, és az adminisztratív döntések meghozatalának pillanatában. Az egészségügyi ellátás esetében a legfontosabb szolgáltatások üzemeltetőit az egészségügyi miniszter jelzi.
- A megjelölt szervezetek természetesen fellebbezhetnek e határozat ellen, például ha úgy gondolják, hogy helytelenül osztályozták őket. A NIS-hez való alkalmazkodással kapcsolatos kötelezettségeket három szakaszra osztották, több hónapig. Egy év múlva egy biztonsági ellenőrzés fejezi be, amelyet kétévente megismételnek - magyarázza Marcin Jan Wachowski.
Magas költségek, kevés szakember
Az informatikai biztonsággal kapcsolatos előírásokhoz való alkalmazkodás pénzügyi és szervezeti kihívást jelent. Szakértők szerint ezzel a legkevesebb problémát a Lengyelországban működő gyógyszercégek képviselőinek kell okozniuk. Ezek általában csúcstechnológiájú globális vállalatok, amelyek hozzáférnek a felhőalapú eszközökhöz, így a NIS bevezetése itt viszonylag egyszerű lesz. A nagykereskedők és a gyógyszertárláncok, amelyek általában külső hálózati rendszergazdákat alkalmaznak, valamivel nagyobb kihívással néznek szembe. Ez a folyamat minden bizonnyal a kórházak és az egészségügyi intézmények legnagyobb problémája lesz, elsősorban pénzügyi okokból.
- Nemrég készítettünk egy tanulmányt az ilyen típusú szervezetek számára, hogy segítsünk a kiberbiztonság biztosításához szükséges finanszírozás megszerzésében, és kiderült, hogy nincsenek olyan innovációs vagy ágazati alapok, amelyek lefednék ezt a területet. Tehát a helyzet meglehetősen nehéz. Az állam megköveteli a kórházaktól ezt, de a pénzt a saját költségvetésükben kell megtalálni. Eközben mindannyian tudjuk, hogy a lengyel egészségügyi szolgálat pénzügyi helyzete nem rózsás - mondja Marcin Jan Wachowski
Azonban még azoknak a vállalatoknak is problémát jelenthet a kiberbiztonsági szakemberek megtalálása, amelyek nem félnek a több százezer zloty költségeitől. A Lengyelországban kaphatókra már régóta keresettek a gazdag nyugati vállalkozások. A jogi tanácsadáshoz való hozzáférés, amelyre akkor lesz szükség, amikor dokumentációkat vagy speciális operatív központokat hoznak létre, ahol a CSIRT (Computer Security Incident Response Team) rögzíti és feldolgozza az események adatait, kevésbé problémás.
A törvény követelményeihez igazított dokumentáció és jogi eljárások hiánya miatt a kulcsfontosságú szolgáltatások üzemeltetője szankciókkal jár, amelyek akár kétmillió zlotyot (vagy az ilyen szervezeteket irányító személyek díjazásának akár kétszeresét is) elérhetik. Az egyik ilyen, a GDPR megsértésével kapcsolatos esetről nemrégiben jelentettek Portugáliában, ahol a Barreiro-Montijo Kórház Központot 400 000 euró pénzbírsággal sújtották, mert gondatlanul sok embernek biztosított hozzáférést az orvosi adatokhoz, akik nem hozzáféréssel kell rendelkeznie.
