Νοσοκομεία και φαρμακευτικές εταιρείες για επανεξέταση στον κυβερνοχώρο

Οι μεγάλοι παραγωγοί και οι χονδρέμποροι ναρκωτικών, αλλά και τα μεγαλύτερα νοσοκομεία και ιατρικές εγκαταστάσεις στην Πολωνία σύντομα θα υποχρεωθούν να πληρούν τις απαιτήσεις της οδηγίας ΝΑΚ - την πρώτη οδηγία για την ασφάλεια στον κυβερνοχώρο στην ιστορία της ΕΕ. Η ακριβή διαδικασία θα είναι μια μεγάλη πρόκληση, ειδικά για τα πολωνικά νοσοκομεία.

Σύμφωνα με τους ειδικούς της ασφάλειας στον κυβερνοχώρο, οι εταιρείες μπορούν να χωριστούν σε εκείνες που έχουν δεχθεί επίθεση και σε εκείνες που δεν το γνωρίζουν ακόμη. Η έρευνα δείχνει ότι κάθε εταιρεία είχε αυτό το είδος συμβάντος και το Διαδίκτυο είναι ένας χώρος στον οποίο τα συστήματα ασφαλείας δέχονται συνεχή επίθεση.

- Οι προβλέψεις για το εγγύς μέλλον σε αυτόν τον τομέα λένε ότι ενώ οι έντονες επιθέσεις μέχρι τώρα στοχεύουν κυρίως στο λεγόμενο κρίσιμη υποδομή, δηλαδή οντότητες που σχετίζονται π.χ.εταιρείες και ιδρύματα στον τομέα της υγειονομικής περίθαλψης και των γραμμών παραγωγής θα γίνουν οι επόμενοι στόχοι - λέει ο δικηγόρος Marcin Jan Wachowski, εμπειρογνώμονας μιας από τις πρώτες δικηγορικές εταιρείες στην Πολωνία που ειδικεύεται στη διαβούλευση με την ασφάλεια στον κυβερνοχώρο. Αυτό θέτει τους κατασκευαστές ναρκωτικών σε ειδική θέση στο σταυροδρόμι αυτών των δύο περιοχών.

- Δεν αφορά μόνο απειλές για διακοπή ή αναστολή των διαδικασιών παραγωγής ναρκωτικών, αλλά και για πολύ πιο επικίνδυνες, όπως αλλαγές στις συνταγές. Εάν δεν εντοπιστεί αυτός ο τύπος επίθεσης, μπορεί να αποτελέσει απειλή για την υγεία και τη ζωή των ατόμων που παίρνουν το φάρμακο, λέει ο Marcin Jan Wachowski. - Η έρευνα για επιθέσεις στον κυβερνοχώρο δείχνει ότι η εταιρεία μαθαίνει ότι έχει γίνει στόχος της μετά από περίπου 90 ημέρες κατά μέσο όρο. Κατά τη διάρκεια αυτής της περιόδου, ένα δυνητικά επικίνδυνο φάρμακο μπορεί ήδη να βρεθεί στα φαρμακεία και αυτό συνεπάγεται κινδύνους και τεράστιο κόστος.

Μια οδηγία κατά των χάκερ

Η επίγνωση των απειλών στον κυβερνοχώρο ήταν η κύρια προϋπόθεση για τη δημιουργία από το Ευρωπαϊκό Κοινοβούλιο της οδηγίας για την ασφάλεια δικτύων και πληροφοριών (συντομογραφία NIS), η οποία εκδόθηκε τον Ιούλιο του 2016. Πρόσφατα, η Ευρωπαϊκή Επιτροπή, σε ειδική έκκληση προς 17 χώρες, συμπεριλαμβανομένης της Πολωνίας, υποχρεώθηκε να εφαρμόσει πλήρως αυτούς τους κανονισμούς εγγυάται ισότιμο επίπεδο ασφάλειας για συστήματα δικτύου και πληροφοριών σε ολόκληρη την Ένωση. Ως αποτέλεσμα, το πολωνικό κοινοβούλιο προετοίμασε μια πράξη για το σύστημα εθνικής ασφάλειας, το οποίο τέθηκε σε ισχύ στις 28 Αυγούστου 2018. Οι πάροχοι ψηφιακών υπηρεσιών (προγράμματα περιήγησης στο Διαδίκτυο, σύννεφα, πλατφόρμες συναλλαγών), η κρατική διοίκηση και τα λεγόμενα φορείς εκμετάλλευσης βασικών υπηρεσιών, δηλαδή οντότητες των οποίων η ασφάλεια πληροφορικής είναι ιδιαίτερα σημαντική. Εκτιμάται ότι στην Πολωνία είναι ελαφρώς περισσότερες από 300 οντότητες - συμπεριλαμβανομένων τραπεζών, εταιρειών της βιομηχανίας ενέργειας και μεταφορών. Σχεδόν το ένα τρίτο θα είναι εταιρείες και ιδρύματα από τον τομέα της υγειονομικής περίθαλψης: κατασκευαστές και χονδρέμποροι ναρκωτικών, μεγάλες ιατρικές εγκαταστάσεις.

- Όλες αυτές οι οντότητες πρέπει να εκπληρώσουν ορισμένες δαπανηρές και χρονοβόρες υποχρεώσεις. Περίπου το 70 τοις εκατό από αυτά είναι τεχνολογικά ζητήματα και το υπόλοιπο 30 τοις εκατό είναι νομικά ζητήματα, όπως η προετοιμασία κατάλληλων εγγράφων ασφαλείας, ο χειρισμός συμβάντων, η διαχείριση κινδύνων, η εκπαίδευση προσωπικού - λέει ο Marcin Jan Wachowski.

Η εφαρμογή της πράξης στην Πολωνία μόλις εισέρχεται στη φάση εφαρμογής - στις 9 Νοεμβρίου, η προθεσμία για την ένδειξη των φορέων εκμετάλλευσης βασικών υπηρεσιών έληξε και αυτή τη στιγμή εκδίδονται διοικητικές αποφάσεις. Στην περίπτωση της υγειονομικής περίθαλψης, οι φορείς εκμετάλλευσης βασικών υπηρεσιών υποδεικνύονται από τον Υπουργό Υγείας.

- Καθεμία από τις αναφερόμενες οντότητες μπορεί φυσικά να ασκήσει ένσταση κατά αυτής της απόφασης, π.χ. εάν πιστεύει ότι είχαν ταξινομηθεί εσφαλμένα. Οι υποχρεώσεις που σχετίζονται με την προσαρμογή στα ΝΑΚ έχουν χωριστεί σε τρία στάδια που διαρκούν αρκετούς μήνες. Μετά από ένα χρόνο, θα συμπληρώνεται από έλεγχο ασφαλείας, ο οποίος θα επαναλαμβάνεται κάθε δύο χρόνια - εξηγεί ο Marcin Jan Wachowski.

Υψηλό κόστος, λίγοι ειδικοί

Η προσαρμογή στους κανονισμούς που σχετίζονται με την ασφάλεια πληροφορικής είναι μια οικονομική και οργανωτική πρόκληση. Σύμφωνα με ειδικούς, οι εκπρόσωποι των φαρμακευτικών εταιρειών που λειτουργούν στην Πολωνία θα πρέπει να έχουν τα λιγότερα προβλήματα με αυτό. Πρόκειται συνήθως για παγκόσμιες εταιρείες υψηλής τεχνολογίας με πρόσβαση σε εργαλεία που βασίζονται σε cloud, επομένως η εφαρμογή των NIS θα είναι σχετικά απλή εδώ. Οι χονδρέμποροι και οι αλυσίδες φαρμακείων, που συνήθως χρησιμοποιούν εξωτερικούς διαχειριστές δικτύου, αντιμετωπίζουν μια ελαφρώς μεγαλύτερη πρόκληση. Αυτή η διαδικασία θα είναι σίγουρα το μεγαλύτερο πρόβλημα για νοσοκομεία και ιατρικές εγκαταστάσεις, κυρίως για οικονομικούς λόγους.

- Προετοιμάσαμε πρόσφατα μια μελέτη για τέτοιου είδους οντότητες που θα βοηθήσουν στην απόκτηση χρηματοδότησης για τη διασφάλιση της ασφάλειας στον κυβερνοχώρο και αποδείχθηκε ότι δεν υπάρχουν κεφάλαια για καινοτομία ή τομεακά που θα καλύπτουν αυτόν τον τομέα. Άρα η κατάσταση είναι αρκετά δύσκολη. Το κράτος απαιτεί από τα νοσοκομεία να το κάνουν αυτό, αλλά τα χρήματα πρέπει να βρεθούν στον δικό τους προϋπολογισμό. Εν τω μεταξύ, όλοι γνωρίζουμε ότι η οικονομική κατάσταση της πολωνικής υπηρεσίας υγείας δεν είναι ρόδινη, λέει ο Marcin Jan Wachowski

Ωστόσο, ακόμη και για εταιρείες που δεν φοβούνται το κόστος αρκετών εκατοντάδων χιλιάδων ζλότι, η εξεύρεση ειδικών στον κυβερνοασφάλεια μπορεί να είναι πρόβλημα. Αυτά που διατίθενται στην Πολωνία έχουν από καιρό ζήτηση από πλούσιες δυτικές επιχειρήσεις. Η πρόσβαση σε νομικές συμβουλές, οι οποίες θα είναι απαραίτητες κατά τη δημιουργία τεκμηρίωσης ή ειδικών επιχειρησιακών κέντρων, όπου το CSIRT (Ομάδα Ασφάλειας Συμβάντων Ασφάλειας Υπολογιστών) θα συλλαμβάνει και επεξεργάζεται δεδομένα περιστατικών, είναι λιγότερο πρόβλημα.

Η έλλειψη τεκμηρίωσης και νομικών διαδικασιών προσαρμοσμένων στις απαιτήσεις του νόμου εκθέτει τον φορέα εκμετάλλευσης βασικών υπηρεσιών σε κυρώσεις, οι οποίες μπορούν να φτάσουν έως και δύο εκατομμύρια ζλότι (ή έως και διπλάσια την αμοιβή για τα άτομα που διαχειρίζονται αυτούς τους οργανισμούς). Μία από τις πρώτες τέτοιες περιπτώσεις, που σχετίζεται επίσης με παραβίαση του GDPR, αναφέρθηκε πρόσφατα στην Πορτογαλία, όπου το Νοσοκομείο Barreiro-Montijo επιβλήθηκε πρόστιμο 400.000 ευρώ για αμέλεια που παρέχει πρόσβαση σε ιατρικά δεδομένα σε πολλά άτομα που δεν θα πρέπει να έχει τέτοια πρόσβαση.