Büyük ilaç üreticileri ve toptancılarının yanı sıra Polonya'daki en büyük hastaneler ve tıbbi tesisler, yakında AB tarihindeki ilk siber güvenlik direktifi olan NIS Direktifinin gerekliliklerini karşılamak zorunda kalacak. Maliyetli prosedür, özellikle Polonya hastaneleri için büyük bir zorluk olacaktır.
Siber güvenlik uzmanlarına göre, şirketler saldırıya uğrayanlar ve henüz bilmeyenler olarak ikiye ayrılabilir. Araştırmalar, her şirketin bu tür olaylara maruz kaldığını gösteriyor ve İnternet, güvenlik sistemlerinin sürekli saldırı altında olduğu bir alandır.
- Bu alandaki yakın geleceğe yönelik tahminler, şimdiye kadarki yoğun saldırıların öncelikle sözde saldırıları hedef aldığını söylüyor. kritik altyapı, yani ilgili varlıklar ör.Polonya'daki siber güvenlik danışmanlığında uzmanlaşmış ilk hukuk firmalarından birinin uzmanı olan savunucu Marcin Jan Wachowski, sağlık hizmetleri ve üretim hatları alanındaki şirketler ve kurumların bir sonraki hedefler olacağını söylüyor. Bu, ilaç üreticilerini bu iki alanın kesişme noktasında özel bir konuma getirmektedir.
- Bu sadece ilaç üretim süreçlerini kesintiye uğratmak veya askıya almakla ilgili değil, aynı zamanda tariflerdeki değişiklikler gibi çok daha tehlikeli olanlarla da ilgilidir. Marcin Jan Wachowski, bu tür bir saldırı tespit edilmezse, ilacı alan kişilerin sağlığı ve yaşamı için tehdit oluşturabileceğini söylüyor. - Siber saldırılar üzerine yapılan araştırmalar, firmanın ortalama 90 gün sonra hedefi haline geldiğini öğrendiğini gösteriyor. Bu süre zarfında, potansiyel olarak tehlikeli bir ilaç eczanelere çoktan ulaşabilir ve bu riskler ve büyük maliyetler gerektirir.
Bilgisayar korsanlarına karşı bir yönerge
Siber tehditlere ilişkin farkındalık, Temmuz 2016'da kabul edilen Avrupa Ağ Parlamentosu ve Bilgi Güvenliği Direktifi (NIS olarak kısaltılmıştır) tarafından oluşturulmasının temel dayanağıydı. Son zamanlarda, Avrupa Komisyonu, Polonya da dahil olmak üzere 17 ülkeye yönelik özel bir itirazda, bu düzenlemeleri tam olarak uygulamakla yükümlüdür. Birlik çapında ağ ve bilgi sistemleri için eşit düzeyde güvenlik garanti eder. Sonuç olarak, Polonya parlamentosu 28 Ağustos 2018'de yürürlüğe giren ulusal güvenlik sistemine ilişkin bir kanun hazırladı. Dijital hizmet sağlayıcıları (internet tarayıcıları, bulutlar, ticaret platformları), devlet idaresi ve sözde önemli hizmetlerin operatörleri, yani BT güvenliği özellikle önemli olan kuruluşlar. Polonya'da bankalar, enerji ve ulaştırma sektöründen şirketler dahil 300'den biraz fazla kuruluş olduğu tahmin edilmektedir. Neredeyse üçte biri sağlık sektöründen şirketler ve kurumlar olacak: ilaç üreticileri ve toptancıları, büyük tıbbi tesisler.
- Tüm bu kuruluşlar, bir dizi maliyetli ve zaman alıcı yükümlülüğü yerine getirmek zorundadır. Marcin Jan Wachowski, bunların yaklaşık yüzde 70'i teknolojik sorunlar ve geri kalan yüzde 30'u uygun güvenlik belgelerinin hazırlanması, olay yönetimi, risk yönetimi, personel eğitimi gibi yasal konular.
Yasanın Polonya'da uygulanması, uygulama aşamasına yeni giriyor - 9 Kasım'da, temel hizmetlerin operatörlerini belirtmek için son tarih sona erdi ve şu anda idari kararlar teslim ediliyor. Sağlık hizmetleri söz konusu olduğunda, temel hizmetlerin operatörleri Sağlık Bakanı tarafından belirtilir.
- Belirtilen kuruluşların her biri, elbette bu karara itiraz edebilir, örneğin yanlış sınıflandırıldıklarına inanırlarsa. NIS'e uyum ile ilgili yükümlülükler, birkaç ay süren üç aşamaya ayrılmıştır. Marcin Jan Wachowski, bir yıl sonra, her iki yılda bir tekrarlanacak bir güvenlik denetimi ile tamamlanacak - açıklıyor.
Yüksek maliyetler, az sayıda uzman
BT güvenliğiyle ilgili düzenlemelere uyum sağlamak, finansal ve kurumsal bir zorluktur. Uzmanlara göre, Polonya'da faaliyet gösteren ilaç şirketlerinin temsilcileri bununla en az sorunu yaşamalı. Bunlar genellikle bulut tabanlı araçlara erişimi olan yüksek teknolojili küresel şirketlerdir, bu nedenle NIS'yi uygulamak burada nispeten basit olacaktır. Genellikle harici ağ yöneticilerini kullanan toptancılar ve eczane zincirleri biraz daha büyük bir zorlukla karşı karşıyadır. Bu süreç, hastaneler ve tıbbi tesisler için, özellikle finansal nedenlerle kesinlikle en büyük sorun olacaktır.
- Yakın zamanda siber güvenliği sağlamak için finansman elde etmeye yardımcı olmak için bu tür kuruluşlar için bir çalışma hazırladık ve bu alanı kapsayacak inovasyon veya sektörel fonların olmadığı ortaya çıktı. Yani durum oldukça zor. Devlet hastanelerin bunu yapmasını istiyor, ancak paranın kendi bütçesinde bulunması gerekiyor. Marcin Jan Wachowski, bu arada Polonya sağlık hizmetinin mali durumunun pek de iyi olmadığını biliyoruz, diyor.
Bununla birlikte, birkaç yüz bin zlotinin maliyetinden korkmayan şirketler için bile siber güvenlik uzmanları bulmak bir sorun olabilir. Polonya'da mevcut olanlar, zengin Batılı işletmeler tarafından uzun zamandır talep ediliyor. CSIRT'in (Bilgisayar Güvenliği Olay Müdahale Ekibi) olay verilerini yakalayacağı ve işleyeceği dokümantasyon veya özel operasyon merkezleri oluştururken gerekli olacak yasal tavsiyeye erişim daha az sorundur.
Yasanın gerekliliklerine göre uyarlanmış belge ve yasal prosedürlerin eksikliği, temel hizmetlerin operatörünü iki milyon zlotiye kadar (veya bu tür kuruluşları yöneten kişilerin ücretinin iki katına kadar) ulaşabilen cezalara maruz bırakmaktadır. GDPR'nin ihlali ile ilgili olan bu tür ilk vakalardan biri, kısa süre önce, Barreiro-Montijo Hastane Merkezi'ne ihmalkar bir şekilde tıbbi verilere erişim izni vermeyen birçok kişiye 400.000 Euro para cezası verildiği Portekiz'de bildirildi. böyle bir erişime sahip olmalıdır.
