Pengilang besar dan pemborong ubat-ubatan, serta hospital dan kemudahan perubatan terbesar di Poland, akan segera diwajibkan untuk memenuhi keperluan Arahan NIS - arahan keselamatan siber pertama dalam sejarah EU. Prosedur yang mahal akan menjadi cabaran besar, terutama untuk hospital Poland.
Menurut pakar keselamatan siber, syarikat boleh dibahagikan kepada syarikat yang telah diserang dan syarikat yang belum mengetahuinya. Penyelidikan menunjukkan bahawa setiap syarikat mengalami insiden seperti ini, dan Internet adalah ruang di mana sistem keselamatan selalu diserang.
- Ramalan untuk masa terdekat di kawasan ini mengatakan bahawa sementara serangan sengit setakat ini ditujukan terutamanya kepada apa yang disebut infrastruktur kritikal, iaitu entiti yang berkaitan dengan mis.syarikat dan institusi dalam bidang penjagaan kesihatan dan barisan pengeluaran akan menjadi sasaran seterusnya - kata peguam bela Marcin Jan Wachowski, pakar dari salah satu firma undang-undang pertama di Poland yang pakar dalam perundingan keselamatan siber. Ini meletakkan pengeluar ubat pada kedudukan istimewa di persimpangan dua kawasan ini.
- Ini bukan hanya mengenai ancaman untuk mengganggu atau menangguhkan proses pengeluaran ubat-ubatan, tetapi juga mengenai ancaman yang lebih berbahaya, seperti perubahan resipi. Sekiranya serangan jenis ini tidak dapat dikesan, ia boleh mengancam kesihatan dan kehidupan orang yang mengambil ubat tersebut, kata Marcin Jan Wachowski. - Penyelidikan mengenai serangan siber menunjukkan bahawa syarikat mengetahui bahawa ia telah menjadi sasarannya setelah rata-rata 90 hari. Selama ini, ubat yang berpotensi berbahaya mungkin sudah sampai ke farmasi, dan ini membawa risiko dan kos yang besar.
Arahan terhadap penggodam
Kesedaran mengenai ancaman siber adalah premis utama untuk penciptaan oleh Parlemen Eropah Arahan Keselamatan Rangkaian dan Maklumat (disingkat NIS), yang diadopsi pada bulan Julai 2016. Baru-baru ini, Suruhanjaya Eropah, dalam rayuan khas yang ditujukan kepada 17 negara, termasuk Poland, diwajibkan untuk sepenuhnya menerapkan peraturan ini untuk menjamin tahap keselamatan yang sama untuk sistem rangkaian dan maklumat di seluruh Kesatuan. Akibatnya, parlimen Poland menyiapkan tindakan terhadap sistem keselamatan negara, yang mulai berkuatkuasa pada 28 Ogos 2018. Penyedia perkhidmatan digital (penyemak imbas internet, awan, platform perdagangan), pentadbiran negara dan yang disebut pengendali perkhidmatan utama, iaitu entiti yang keselamatan ITnya sangat penting. Dianggarkan bahawa di Poland jumlahnya sedikit lebih daripada 300 entiti - termasuk bank, syarikat dari industri tenaga dan pengangkutan. Hampir satu pertiga adalah syarikat dan institusi dari sektor penjagaan kesihatan: pengeluar dan pemborong ubat-ubatan, kemudahan perubatan yang besar.
- Semua entiti ini harus memenuhi sejumlah tanggungjawab yang mahal dan memakan masa. Kira-kira 70 peratus daripadanya adalah masalah teknologi, dan selebihnya 30 peratus adalah masalah undang-undang, seperti penyediaan dokumentasi keselamatan yang sesuai, pengendalian insiden, pengurusan risiko, latihan kakitangan - kata Marcin Jan Wachowski.
Pelaksanaan undang-undang di Poland baru memasuki fasa pelaksanaan - pada 9 November, tarikh akhir untuk menunjukkan pengendali perkhidmatan utama telah berakhir, dan pada masa ini keputusan pentadbiran sedang disampaikan. Dalam kes penjagaan kesihatan, pengendali perkhidmatan utama ditunjukkan oleh Menteri Kesihatan.
- Setiap entiti yang dinyatakan tentu saja boleh mengajukan banding terhadap keputusan ini, misalnya jika mereka percaya bahawa mereka diklasifikasikan secara tidak betul. Kewajiban yang berkaitan dengan penyesuaian terhadap NIS telah dibahagikan kepada tiga peringkat yang berlangsung selama beberapa bulan. Selepas setahun, ia akan diselesaikan dengan audit keselamatan, yang akan diulang setiap dua tahun - jelas Marcin Jan Wachowski.
Kos tinggi, sedikit pakar
Menyesuaikan diri dengan peraturan yang berkaitan dengan keselamatan IT adalah cabaran kewangan dan organisasi. Menurut pakar, wakil syarikat farmaseutikal yang beroperasi di Poland semestinya mempunyai masalah paling sedikit dengan ini. Ini biasanya merupakan syarikat global berteknologi tinggi dengan akses ke alat berasaskan awan, jadi pelaksanaan NIS agak mudah di sini. Pemborong dan rangkaian farmasi, yang biasanya menggunakan pentadbir rangkaian luaran, menghadapi cabaran yang sedikit lebih besar. Proses ini tentunya akan menjadi masalah terbesar bagi hospital dan kemudahan perubatan, terutamanya atas sebab kewangan.
- Kami baru-baru ini menyiapkan kajian untuk entiti jenis ini untuk membantu mendapatkan pembiayaan untuk memastikan keselamatan siber dan ternyata tidak ada dana untuk inovasi atau sektoral yang akan merangkumi bidang ini. Jadi keadaannya agak sukar. Negeri memerlukan hospital untuk melakukan ini, tetapi wang itu mesti dijumpai mengikut anggaran mereka sendiri. Sementara itu, kita semua tahu bahawa keadaan kewangan perkhidmatan kesihatan Poland tidak cerah, kata Marcin Jan Wachowski
Namun, walaupun bagi syarikat yang tidak takut dengan kos beberapa ratus ribu zlotys, mencari pakar keselamatan siber mungkin menjadi masalah. Mereka yang terdapat di Poland telah lama diminati oleh perusahaan Barat yang kaya. Akses kepada nasihat undang-undang, yang diperlukan semasa membuat dokumentasi atau pusat operasi khas, di mana CSIRT (Pasukan Respons Insiden Keselamatan Komputer) akan menangkap dan memproses data kejadian, adalah kurang bermasalah.
Kurangnya dokumentasi dan prosedur undang-undang yang disesuaikan dengan kehendak Undang-Undang menyebabkan operator perkhidmatan utama dikenakan denda, yang dapat mencapai hingga dua juta zlotys (atau hingga dua kali imbalan untuk orang yang menguruskan organisasi tersebut). Salah satu kes pertama, yang juga berkaitan dengan pelanggaran GDPR, baru-baru ini dilaporkan di Portugal, di mana Pusat Hospital Barreiro-Montijo didenda EUR 400,000 kerana cuai memberikan akses ke data perubatan kepada banyak orang yang tidak harus mempunyai akses sedemikian.
