Stora tillverkare och grossister av läkemedel, men också de största sjukhusen och medicinska anläggningarna i Polen kommer snart att vara skyldiga att uppfylla kraven i NIS-direktivet - det första cybersäkerhetsdirektivet i EU: s historia. Det kostsamma förfarandet blir en stor utmaning, särskilt för polska sjukhus.
Enligt cybersäkerhetsexperter kan företag delas in i de som har attackerats och de som inte vet det ännu. Forskning visar att varje företag har haft denna typ av händelser, och internet är ett utrymme där säkerhetssystem konstant attackeras.
- Prognoser för den närmaste framtiden inom detta område säger att medan de intensiva attackerna hittills främst har riktats mot de så kallade kritisk infrastruktur, dvs. enheter relaterade till t.ex.företag och institutioner inom hälso- och sjukvården och produktionslinjer kommer att bli nästa mål - säger advokat Marcin Jan Wachowski, en expert på ett av de första advokatbyråerna i Polen som specialiserat sig på cybersäkerhetsrådgivning. Detta sätter läkemedelsproducenterna i en speciell position vid korsningen av dessa två områden.
- Det handlar inte bara om hot att störa eller avbryta läkemedelsproduktionsprocesserna, utan också om mycket farligare sådana, som förändringar i recept. Om denna typ av attack inte upptäcks kan det utgöra ett hot mot hälsan och livet för människor som tar drogen, säger Marcin Jan Wachowski. - Forskning om cyberattacker visar att företaget får reda på att det har blivit sitt mål efter i genomsnitt 90 dagar. Under denna tid kan ett potentiellt farligt läkemedel redan hitta vägen till apotek, och detta medför risker och enorma kostnader.
Ett direktiv mot hackare
Medvetenheten om cyberhot var den huvudsakliga förutsättningen för Europaparlamentets skapande av nät- och informationssäkerhetsdirektivet (förkortat NIS), som antogs i juli 2016. Nyligen var Europeiska kommissionen, i en särskild överklagande riktad till 17 länder, inklusive Polen, skyldig att till fullo genomföra dessa förordningar till garantera lika hög säkerhet för nät- och informationssystem i hela unionen. Som ett resultat förberedde det polska parlamentet en lag om det nationella säkerhetssystemet, som trädde i kraft den 28 augusti 2018. Digitala tjänsteleverantörer (webbläsare, moln, handelsplattformar), statlig förvaltning och sk operatörer av viktiga tjänster, dvs. enheter vars IT-säkerhet är särskilt viktig. Det uppskattas att det i Polen är drygt 300 enheter - inklusive banker, företag från energi- och transportbranschen. Nästan en tredjedel kommer att vara företag och institutioner från vårdsektorn: tillverkare och grossister av läkemedel, stora medicinska anläggningar.
- Alla dessa enheter måste uppfylla ett antal kostsamma och tidskrävande skyldigheter. Cirka 70 procent av dem är tekniska frågor, och de återstående 30 procenten är juridiska frågor, som utarbetande av lämplig säkerhetsdokumentation, incidenthantering, riskhantering, personalutbildning - säger Marcin Jan Wachowski.
Genomförandet av lagen i Polen går just in i genomförandefasen - den 9 november löpte fristen för att ange operatörer av nyckeltjänster ut och just nu administrativa beslut levereras. När det gäller hälso- och sjukvård indikeras operatörer av viktiga tjänster av hälsovårdsministern.
- Var och en av de angivna enheterna kan naturligtvis överklaga detta beslut, t.ex. om de anser att de har klassificerats felaktigt. Skyldigheterna i samband med anpassningen till NIS har delats in i tre etapper som varar i flera månader. Efter ett år kommer det att slutföras med en säkerhetsrevision, som kommer att upprepas vartannat år - förklarar Marcin Jan Wachowski.
Höga kostnader, få specialister
Att anpassa sig till regler relaterade till IT-säkerhet är en ekonomisk och organisatorisk utmaning. Enligt experter bör företrädarna för läkemedelsföretag som är verksamma i Polen ha minst problem med detta. Dessa är vanligtvis högteknologiska globala företag med tillgång till molnbaserade verktyg, så att implementera NIS kommer att vara relativt enkelt här. Grossister och apotekskedjor, som vanligtvis använder externa nätverksadministratörer, står inför en något större utmaning. Denna process kommer säkert att vara det största problemet för sjukhus och medicinska anläggningar, främst av ekonomiska skäl.
- Vi har nyligen förberett en studie för denna typ av enheter för att få finansiering för att säkerställa cybersäkerhet och det visade sig att det inte finns några medel för innovation eller sektor som skulle täcka detta område. Så situationen är ganska svår. Staten kräver att sjukhus gör detta, men pengarna måste finnas i deras egen budget. Samtidigt vet vi alla att den polska hälsovårdens ekonomiska situation inte är rosig, säger Marcin Jan Wachowski
Men även för företag som inte är rädda för kostnader på flera hundra tusen zloty kan det vara ett problem att hitta specialister inom cybersäkerhet. De som finns i Polen har länge varit efterfrågade av rika västerländska företag. Tillgång till juridisk rådgivning, som kommer att vara nödvändig när du skapar dokumentation eller särskilda operativa centra, där CSIRT (Computer Security Incident Response Team) kommer att fånga och behandla incidentdata, är ett mindre problem.
Bristen på dokumentation och rättsliga förfaranden anpassade till kraven i lagen utsätter operatören av nyckeltjänster för påföljder, som kan uppgå till två miljoner zloty (eller upp till dubbelt så mycket ersättning för personer som förvaltar sådana organisationer). Ett av de första fallen, även relaterat till brott mot GDPR, rapporterades nyligen i Portugal, där Barreiro-Montijo Hospital Center fick en bötesavgift på 400 000 euro för vårdslös tillgång till medicinsk information till många personer som inte bör ha sådan tillgång.