I grandi produttori e grossisti di farmaci, ma anche i più grandi ospedali e strutture mediche in Polonia saranno presto obbligati a soddisfare i requisiti della direttiva NIS, la prima direttiva sulla sicurezza informatica nella storia dell'UE. La costosa procedura rappresenterà una grande sfida, soprattutto per gli ospedali polacchi.
Secondo gli esperti di cybersecurity, le aziende possono essere suddivise in quelle che sono state attaccate e quelle che ancora non lo sanno. La ricerca mostra che ogni azienda ha avuto questo tipo di incidente e Internet è uno spazio in cui i sistemi di sicurezza sono costantemente attaccati.
- Le previsioni per il prossimo futuro in quest'area dicono che mentre gli attacchi intensi fino ad ora sono stati mirati principalmente ai cosiddetti infrastrutture critiche, ovvero entità correlate ad es.Le aziende e le istituzioni nell'area dell'assistenza sanitaria e delle linee di produzione diventeranno i prossimi obiettivi - afferma l'avvocato Marcin Jan Wachowski, esperto di uno dei primi studi legali in Polonia specializzato in consulenza sulla sicurezza informatica. Ciò pone i produttori di farmaci in una posizione speciale al crocevia di queste due aree.
- Non si tratta solo di minacce di interrompere o sospendere i processi di produzione di farmaci, ma anche di minacce molto più pericolose, come i cambiamenti nelle ricette. Se questo tipo di attacco non viene rilevato, potrebbe rappresentare una minaccia per la salute e la vita delle persone che assumono il farmaco, afferma Marcin Jan Wachowski. - La ricerca sugli attacchi informatici mostra che l'azienda scopre di essere diventata il suo obiettivo dopo circa 90 giorni in media. Durante questo periodo, un farmaco potenzialmente pericoloso potrebbe già trovare la sua strada nelle farmacie e questo comporta rischi e costi enormi.
Una direttiva contro gli hacker
La consapevolezza delle minacce informatiche è stata la premessa principale per la creazione da parte del Parlamento europeo della Direttiva sulla sicurezza delle reti e dell'informazione (abbreviata in NIS), adottata nel luglio 2016. Recentemente, la Commissione europea, in un appello speciale rivolto a 17 paesi, compresa la Polonia, ha obbligato a dare piena attuazione a garantire un pari livello di sicurezza per le reti e i sistemi informativi in tutta l'Unione. Di conseguenza, il parlamento polacco ha preparato una legge sul sistema di sicurezza nazionale, entrata in vigore il 28 agosto 2018. Fornitori di servizi digitali (browser Internet, cloud, piattaforme di trading), amministrazione statale e cosiddetti operatori di servizi chiave, ovvero soggetti la cui sicurezza informatica è particolarmente importante. Si stima che in Polonia ci siano poco più di 300 entità - comprese banche, aziende del settore energetico e dei trasporti. Quasi un terzo saranno aziende e istituzioni del settore sanitario: produttori e grossisti di farmaci, grandi strutture mediche.
- Tutte queste entità devono adempiere a una serie di obblighi costosi e dispendiosi in termini di tempo. Circa il 70 percento di questi sono problemi tecnologici e il restante 30 percento sono questioni legali, come la preparazione della documentazione di sicurezza appropriata, la gestione degli incidenti, la gestione del rischio, la formazione del personale - afferma Marcin Jan Wachowski.
L'implementazione della legge in Polonia sta appena entrando nella fase di implementazione: il 9 novembre è scaduto il termine per indicare gli operatori dei servizi chiave e al momento le decisioni amministrative sono in fase di consegna. Nel caso dell'assistenza sanitaria, gli operatori dei servizi chiave sono indicati dal Ministro della Salute.
- Ciascuna delle entità indicate può ovviamente presentare ricorso contro questa decisione, ad esempio se ritiene di essere stata classificata in modo errato. Gli obblighi relativi all'adeguamento al NIS sono stati suddivisi in tre fasi della durata di diversi mesi. Dopo un anno, sarà completato da un audit di sicurezza, che verrà ripetuto ogni due anni - spiega Marcin Jan Wachowski.
Costi elevati, pochi specialisti
L'adattamento alle normative relative alla sicurezza informatica è una sfida finanziaria e organizzativa. Secondo gli esperti, i rappresentanti delle aziende farmaceutiche che operano in Polonia dovrebbero avere i meno problemi con questo. Di solito si tratta di aziende globali high-tech con accesso a strumenti basati su cloud, quindi implementare NIS sarà relativamente semplice qui. I grossisti e le catene di farmacie, che di solito utilizzano amministratori di rete esterni, devono affrontare una sfida leggermente maggiore. Questo processo sarà sicuramente il problema più grande per ospedali e strutture mediche, principalmente per ragioni finanziarie.
- Abbiamo recentemente preparato uno studio per questo tipo di entità per aiutare a ottenere finanziamenti per garantire la sicurezza informatica e si è scoperto che non ci sono fondi per l'innovazione o settoriali che coprirebbero quest'area. Quindi la situazione è abbastanza difficile. Lo stato richiede agli ospedali di farlo, ma i soldi devono essere trovati nel loro budget. Nel frattempo, sappiamo tutti che la situazione finanziaria del servizio sanitario polacco non è rosea, afferma Marcin Jan Wachowski
Tuttavia, anche per le aziende che non temono i costi di diverse centinaia di migliaia di zloty, trovare specialisti della sicurezza informatica potrebbe essere un problema. Quelli disponibili in Polonia sono stati a lungo richiesti dalle ricche imprese occidentali. L'accesso alla consulenza legale, che sarà necessaria durante la creazione della documentazione o di centri operativi speciali, dove il CSIRT (Computer Security Incident Response Team) acquisirà ed elaborerà i dati sugli incidenti, è meno problematico.
La mancanza di documentazione e procedure legali adeguate ai requisiti della legge espone l'operatore di servizi chiave a sanzioni, che possono arrivare fino a due milioni di zloty (o fino al doppio della remunerazione per le persone che gestiscono tali organizzazioni). Uno dei primi casi di questo tipo, correlato anche a una violazione del GDPR, è stato recentemente segnalato in Portogallo, dove il Centro ospedaliero Barreiro-Montijo è stato multato di 400.000 euro per negligenza che concede l'accesso ai dati medici a molte persone che non lo hanno fatto. dovrebbe avere tale accesso.