Veliki proizvajalci in trgovci na debelo z drogami ter največje poljske bolnišnice in zdravstvene ustanove bodo kmalu dolžni izpolnjevati zahteve direktive NIS - prve direktive o kibernetski varnosti v zgodovini EU. Dragi postopek bo velik izziv, zlasti za poljske bolnišnice.
Po mnenju strokovnjakov za kibernetsko varnost lahko podjetja razdelimo na tista, ki so bila napadena, in tista, ki tega še ne poznajo. Raziskave kažejo, da se je vsako podjetje zgodilo s tovrstnimi incidenti, internet pa je prostor, v katerem so varnostni sistemi pod nenehnim napadom.
- Napovedi za bližnjo prihodnost na tem območju pravijo, da so bili doslej intenzivni napadi namenjeni predvsem t.i. kritična infrastruktura, torej entitete, povezane z npr.podjetja in ustanove na področju zdravstvenega varstva in proizvodnih linij bodo naslednje tarče - pravi zagovornik Marcin Jan Wachowski, strokovnjak ene prvih odvetniških pisarn na Poljskem, specializirane za svetovanje na področju kibernetske varnosti. To postavlja proizvajalce zdravil v poseben položaj na križišču teh dveh področij.
- Ne gre le za grožnje, da bodo motili ali ustavili procese proizvodnje zdravil, ampak tudi za veliko bolj nevarne, na primer spremembe v receptih. Če te vrste napada ne odkrijejo, lahko ogrozi zdravje in življenje ljudi, ki jemljejo zdravilo, pravi Marcin Jan Wachowski. - Raziskave kibernetskih napadov kažejo, da podjetje izve, da je postalo njegov cilj v povprečju po približno 90 dneh. V tem času lahko potencialno nevarno zdravilo že najde pot do lekarn, kar pomeni tveganja in velike stroške.
Direktiva proti hekerjem
Zavedanje kibernetskih groženj je bila glavna predpostavka, da je Evropski parlament oblikoval Direktivo o varnosti omrežij in informacij (skrajšano NIS), ki je bila sprejeta julija 2016. Nedavno je Evropska komisija v posebnem pozivu, naslovljenem na 17 držav, vključno s Poljsko, zavezala, da bo v celoti izvajala te predpise. zagotoviti enako raven varnosti omrežij in informacijskih sistemov po vsej Uniji. Posledično je poljski parlament pripravil zakon o sistemu nacionalne varnosti, ki je začel veljati 28. avgusta 2018. Ponudniki digitalnih storitev (internetni brskalniki, oblaki, trgovalne platforme), državna uprava in t.i. upravljavci ključnih storitev, tj. subjekti, katerih varnost IT je še posebej pomembna. Ocenjuje se, da je na Poljskem nekaj več kot 300 subjektov - vključno z bankami, podjetji iz energetske in prometne industrije. Skoraj tretjina bodo podjetja in ustanove iz zdravstvenega sektorja: proizvajalci in trgovci na debelo z zdravili, velike zdravstvene ustanove.
- Vsi ti subjekti morajo izpolniti številne drage in dolgotrajne obveznosti. Približno 70 odstotkov jih je tehnoloških, preostalih 30 odstotkov pa pravnih, kot so priprava ustrezne varnostne dokumentacije, obvladovanje incidentov, obvladovanje tveganj, usposabljanje osebja - pravi Marcin Jan Wachowski.
Izvajanje zakona na Poljskem šele vstopa v fazo izvajanja - 9. novembra se je iztekel rok za navedbo operaterjev ključnih storitev, trenutno pa so izdane upravne odločbe. V primeru zdravstvenega varstva izvajalce ključnih storitev določi minister za zdravje.
- Vsak od navedenih subjektov se lahko seveda pritoži zoper to odločitev, na primer, če meni, da je bil nepravilno razvrščen. Obveznosti, povezane s prilagajanjem NIS, so bile razdeljene na več mesecev trajajoče tri faze. Po enem letu ga bo zaključila varnostna revizija, ki se bo ponavljala vsaki dve leti - pojasnjuje Marcin Jan Wachowski.
Visoki stroški, malo strokovnjakov
Prilagajanje predpisom, povezanim z varnostjo IT, je finančni in organizacijski izziv. Po mnenju strokovnjakov bi morali imeti najmanj težav s tem predstavniki farmacevtskih podjetij, ki delujejo na Poljskem. Običajno gre za visokotehnološka globalna podjetja z dostopom do orodij v oblaku, zato bo izvajanje NIS tukaj razmeroma preprosto. Trgovci na debelo in lekarniške verige, ki običajno uporabljajo zunanje skrbnike omrežij, se srečujejo z nekoliko večjim izzivom. Ta postopek bo zagotovo največji problem za bolnišnice in zdravstvene ustanove, predvsem iz finančnih razlogov.
- Pred kratkim smo za tovrstne subjekte pripravili študijo za pomoč pri pridobivanju financiranja za zagotavljanje kibernetske varnosti in izkazalo se je, da ni sredstev za inovacije ali sektorjev, ki bi pokrivala to področje. Stanje je torej precej težko. Država od bolnišnic zahteva, da to storijo, denar pa je treba najti v njihovem lastnem proračunu. Medtem vsi vemo, da finančno stanje poljske zdravstvene službe ni rožnato, pravi Marcin Jan Wachowski
Vendar tudi pri podjetjih, ki se ne bojijo stroškov v višini nekaj sto tisoč zlotov, lahko iskanje strokovnjakov za kibernetsko varnost predstavlja težavo. Po tistih, ki so na voljo na Poljskem, že dolgo iščejo bogata zahodna podjetja. Dostop do pravnih nasvetov, ki bodo potrebni pri ustvarjanju dokumentacije ali posebnih operativnih centrov, kjer bo CSIRT (skupina za odzivanje na incidente računalniške varnosti) zajemala in obdelovala podatke o dogodkih, je manj problematičen.
Pomanjkanje dokumentacije in pravnih postopkov, prilagojenih zahtevam zakona, izpostavlja operaterja ključnih storitev sankcijam, ki lahko dosežejo do dva milijona zlotov (ali do dvakrat večje plačilo za osebe, ki vodijo take organizacije). Eden prvih takšnih primerov, povezanih tudi s kršitvijo GDPR, je bil nedavno poročan na Portugalskem, kjer je bil bolnišnični center Barreiro-Montijo kaznovan z 400.000 EUR zaradi malomarnosti, ki je mnogim ljudem, ki niso imeti tak dostop.
