Ravimite suured tootjad ja hulgimüüjad, aga ka Poola suurimad haiglad ja meditsiiniasutused on peagi kohustatud vastama võrgu- ja infoturbe direktiivi nõuetele - see on esimene küberturvalisuse direktiiv EL ajaloos. Kallis protseduur on suur väljakutse, eriti Poola haiglate jaoks.
Küberjulgeoleku ekspertide sõnul võib ettevõtteid jagada rünnatud ja nendeks, kes seda veel ei tea. Uuringud näitavad, et seda tüüpi juhtumeid on juhtunud igal ettevõttel ja Internet on ruum, kus turvasüsteeme pidevalt rünnatakse.
- Lähituleviku prognoosid selles piirkonnas ütlevad, et kui seni on intensiivsed rünnakud olnud suunatud peamiselt nn kriitiline infrastruktuur, s.t üksused, mis on seotud nt.järgmisteks sihtmärkideks saavad tervishoiu- ja tootmisliinide ettevõtted ja asutused - ütleb advokaat Marcin Jan Wachowski, Poola ühe esimese küberjulgeoleku nõustamisele spetsialiseerunud advokaadibüroo ekspert. See seab ravimitootjad nende kahe piirkonna ristmikul erilisse olukorda.
- See ei puuduta ainult ähvardusi häirida või peatada uimastitootmise protsesse, vaid ka palju ohtlikumaid, näiteks retseptide muutmist. Kui seda tüüpi rünnakut ei avastata, võib see ohustada seda ravimit tarvitavate inimeste tervist ja elu, ütleb Marcin Jan Wachowski. - Küberrünnakute uuringud näitavad, et ettevõte saab teada, et temast on saanud sihtmärk keskmiselt umbes 90 päeva pärast. Selle aja jooksul võib potentsiaalselt ohtlik ravim juba leida tee apteekidesse ning sellega kaasnevad riskid ja suured kulud.
Häkkerite vastane direktiiv
Küberohtude teadvustamine oli peamine eeldus, et Euroopa Parlament lõi võrgu- ja infoturbedirektiivi (lühendatult NIS), mis võeti vastu 2016. aasta juulis. Hiljuti oli Euroopa Komisjon 17 riigile, sealhulgas Poolale adresseeritud spetsiaalses pöördumises kohustatud need määrused täielikult rakendama, et tagada võrgu- ja infosüsteemide võrdne turvalisuse tase kogu liidus. Selle tulemusel valmistas Poola parlament ette riigi julgeolekusüsteemi käsitleva seaduse, mis jõustus 28. augustil 2018. Digitaalteenuste pakkujad (Interneti-brauserid, pilved, kauplemisplatvormid), riigihaldus ja nn. põhiteenuste operaatorid, st üksused, kelle IT-turvalisus on eriti oluline. Hinnanguliselt on Poolas veidi üle 300 üksuse - sealhulgas pangad, energia- ja transporditööstuse ettevõtted. Pea kolmandiku moodustavad tervishoiusektori ettevõtted ja asutused: ravimite tootjad ja hulgimüüjad, suured meditsiiniasutused.
- Kõik need üksused peavad täitma mitmeid kulukaid ja aeganõudvaid kohustusi. Ligikaudu 70 protsenti neist on tehnoloogilised probleemid ja ülejäänud 30 protsenti on juriidilised probleemid, näiteks asjakohase turvadokumentatsiooni ettevalmistamine, juhtumite käsitlemine, riskijuhtimine, töötajate koolitus - ütleb Marcin Jan Wachowski.
Seaduse rakendamine Poolas on alles rakendamise faasis - 9. novembril möödus põhiteenuste operaatorite märkimise tähtaeg ja haldusotsuste tegemise hetkel. Tervishoiu puhul määrab põhiteenuste pakkujad tervishoiuminister.
- Loomulikult võivad kõik nimetatud üksused selle otsuse edasi kaevata, nt kui nad usuvad, et nad on valesti klassifitseeritud. Võrgu- ja infotehnoloogiaga kohanemisega seotud kohustused on jagatud kolmeks etapiks, mis kestavad mitu kuud. Aasta pärast lõpetab selle turvaaudit, mida korratakse iga kahe aasta tagant - selgitab Marcin Jan Wachowski.
Suured kulud, vähe spetsialiste
IT-turvalisusega seotud määrustega kohanemine on rahaline ja organisatsiooniline väljakutse. Ekspertide hinnangul peaks sellega Poolas tegutsevate farmaatsiaettevõtete esindajatel olema kõige vähem probleeme. Need on tavaliselt kõrgtehnoloogilised globaalsed ettevõtted, kellel on juurdepääs pilvepõhistele tööriistadele, seega on NIS-i juurutamine siin suhteliselt lihtne. Hulgimüüjad ja apteegiketid, kes tavaliselt kasutavad väliseid võrguhaldureid, seisavad silmitsi pisut suurema väljakutsega. See protsess on haiglatele ja meditsiiniasutustele kindlasti suurim probleem peamiselt rahalistel põhjustel.
- Oleme hiljuti koostanud seda tüüpi üksustele uuringu, et aidata küberjulgeoleku tagamiseks finantseerimist, ja selgus, et innovatsiooni või valdkondlikke vahendeid, mis seda valdkonda hõlmaksid, pole. Nii et olukord on üsna keeruline. Riik nõuab haiglatelt seda teha, kuid raha tuleb leida nende enda eelarvest. Vahepeal teame kõik, et Poola tervishoiuteenistuse rahaline olukord pole roosiline, ütleb Marcin Jan Wachowski
Kuid isegi nende ettevõtete jaoks, kes ei karda mitusada tuhat zlotti, võib küberturvalisuse spetsialistide leidmine olla probleem. Poolas saadaolevaid on jõukad lääne ettevõtted juba ammu nõudnud. Juurdepääs õigusnõuandele, mis on vajalik dokumentide või spetsiaalsete operatiivkeskuste loomisel, kus CSIRT (arvutiturvalisuse juhtumitele reageerimise meeskond) haldab ja töötleb juhtumite andmeid, on vähem probleem.
Seaduse nõuetega kohandatud dokumentide ja juriidiliste protseduuride puudumine toob põhiteenuste pakkujale trahvi, mis võib ulatuda kuni kahe miljoni zlotini (või kuni kaks korda suurem tasu sellist organisatsiooni juhtivatelt isikutelt). Ühest esimesest sellisest juhtumist, mis oli seotud ka GDPR-i rikkumisega, teatati hiljuti Portugalis, kus Barreiro-Montijo haiglakeskusele määrati 400 000 euro suurune trahv hooletusse juurdepääsu võimaldamise eest meditsiiniandmetele paljudele inimestele, kes seda ei teinud. peaks olema selline juurdepääs.
