Các nhà sản xuất và bán buôn thuốc lớn, cũng như các bệnh viện và cơ sở y tế lớn nhất ở Ba Lan sẽ sớm có nghĩa vụ đáp ứng các yêu cầu của Chỉ thị NIS - chỉ thị an ninh mạng đầu tiên trong lịch sử của EU. Thủ tục tốn kém sẽ là một thách thức lớn, đặc biệt là đối với các bệnh viện Ba Lan.
Theo các chuyên gia an ninh mạng, các công ty có thể được chia thành những công ty đã bị tấn công và những công ty chưa biết điều đó. Nghiên cứu cho thấy mọi công ty đều từng gặp phải sự cố kiểu này, và Internet là không gian mà các hệ thống bảo mật luôn bị tấn công.
- Các dự báo cho tương lai gần trong lĩnh vực này nói rằng trong khi các cuộc tấn công dữ dội cho đến nay chủ yếu nhằm vào cái gọi là cơ sở hạ tầng quan trọng, tức là các thực thể liên quan đến ví dụ:Marcin Jan Wachowski, chuyên gia của một trong những công ty luật đầu tiên ở Ba Lan chuyên về tư vấn an ninh mạng sẽ trở thành mục tiêu tiếp theo của các công ty và tổ chức trong lĩnh vực chăm sóc sức khỏe và dây chuyền sản xuất. Điều này đặt các nhà sản xuất thuốc vào một vị trí đặc biệt ở ngã tư của hai lĩnh vực này.
- Đó không chỉ là những mối đe dọa làm gián đoạn hoặc đình chỉ các quy trình sản xuất thuốc, mà còn về những mối nguy hiểm hơn nhiều, chẳng hạn như thay đổi công thức nấu ăn. Marcin Jan Wachowski cho biết, nếu kiểu tấn công này không được phát hiện, nó có thể đe dọa đến sức khỏe và tính mạng của người dùng thuốc. - Nghiên cứu về các cuộc tấn công mạng cho thấy công ty biết được rằng trung bình họ đã trở thành mục tiêu của mình sau khoảng 90 ngày. Trong thời gian này, một loại thuốc tiềm ẩn nguy hiểm có thể đã tìm đến các hiệu thuốc, và điều này kéo theo rủi ro và chi phí lớn.
Chỉ thị chống lại tin tặc
Nhận thức về các mối đe dọa mạng là tiền đề chính cho việc đưa ra Chỉ thị về An ninh mạng và Thông tin của Nghị viện Châu Âu (viết tắt là NIS), được thông qua vào tháng 7 năm 2016. Gần đây, Ủy ban Châu Âu, trong một kháng nghị đặc biệt gửi tới 17 quốc gia, bao gồm Ba Lan, có nghĩa vụ thực hiện đầy đủ các quy định này để đảm bảo mức độ bảo mật bình đẳng cho hệ thống mạng và thông tin trong toàn Liên minh. Do đó, quốc hội Ba Lan đã chuẩn bị một đạo luật về hệ thống an ninh quốc gia, có hiệu lực vào ngày 28 tháng 8 năm 2018. Các nhà cung cấp dịch vụ kỹ thuật số (trình duyệt internet, đám mây, nền tảng giao dịch), cơ quan quản lý nhà nước và cái gọi là nhà điều hành các dịch vụ chính, tức là các thực thể có bảo mật CNTT đặc biệt quan trọng. Người ta ước tính rằng ở Ba Lan có hơn 300 đơn vị - bao gồm các ngân hàng, các công ty từ ngành năng lượng và vận tải. Gần một phần ba sẽ là các công ty và tổ chức từ lĩnh vực chăm sóc sức khỏe: các nhà sản xuất và bán buôn thuốc, các cơ sở y tế lớn.
- Tất cả các chủ thể này phải thực hiện một số nghĩa vụ tốn kém và mất thời gian. Khoảng 70% trong số đó là các vấn đề về công nghệ và 30% còn lại là các vấn đề pháp lý, chẳng hạn như chuẩn bị tài liệu bảo mật thích hợp, xử lý sự cố, quản lý rủi ro, đào tạo nhân viên - Marcin Jan Wachowski nói.
Việc thực hiện đạo luật ở Ba Lan chỉ mới bước vào giai đoạn thực hiện - vào ngày 9 tháng 11, thời hạn chỉ định các nhà khai thác các dịch vụ chính đã hết hạn và hiện tại các quyết định hành chính đang được chuyển giao. Đối với lĩnh vực y tế, đơn vị khai thác các dịch vụ chính do Bộ trưởng Bộ Y tế chỉ định.
- Mỗi thực thể được chỉ định tất nhiên có thể kháng nghị quyết định này, ví dụ: nếu họ tin rằng họ đã được phân loại không chính xác. Các nghĩa vụ liên quan đến việc thích ứng với NIS được chia thành ba giai đoạn kéo dài vài tháng. Marcin Jan Wachowski giải thích: Sau một năm, nó sẽ được hoàn thành bởi một cuộc kiểm tra bảo mật, sẽ được lặp lại hai năm một lần.
Chi phí cao, ít chuyên gia
Thích ứng với các quy định liên quan đến bảo mật CNTT là một thách thức về tài chính và tổ chức. Theo các chuyên gia, đại diện của các công ty dược phẩm hoạt động tại Ba Lan ít gặp phải vấn đề này nhất. Đây thường là các công ty toàn cầu công nghệ cao có quyền truy cập vào các công cụ dựa trên đám mây, vì vậy việc triển khai NIS ở đây sẽ tương đối đơn giản. Các nhà bán buôn và chuỗi nhà thuốc, thường sử dụng quản trị viên mạng bên ngoài, phải đối mặt với một thách thức lớn hơn một chút. Quá trình này chắc chắn sẽ là vấn đề lớn nhất đối với các bệnh viện và cơ sở y tế, chủ yếu vì lý do tài chính.
- Gần đây, chúng tôi đã chuẩn bị một nghiên cứu về loại thực thể này để giúp kiếm được tài chính cho việc đảm bảo an ninh mạng và hóa ra là không có quỹ cho đổi mới hoặc lĩnh vực nào có thể chi trả cho lĩnh vực này. Vì vậy, tình hình khá khó khăn. Nhà nước yêu cầu các bệnh viện phải làm việc này, nhưng tiền phải tự lo liệu. Trong khi đó, chúng ta đều biết rằng tình hình tài chính của dịch vụ y tế Ba Lan không khả quan, Marcin Jan Wachowski nói
Tuy nhiên, ngay cả đối với các công ty không ngại chi phí vài trăm nghìn zloty, việc tìm kiếm các chuyên gia an ninh mạng có thể là một vấn đề. Những thứ có sẵn ở Ba Lan từ lâu đã được các doanh nghiệp phương Tây giàu có yêu cầu. Việc tiếp cận tư vấn pháp lý, sẽ cần thiết khi tạo tài liệu hoặc các trung tâm hoạt động đặc biệt, nơi CSIRT (Nhóm Ứng phó Sự cố An ninh Máy tính) sẽ thu thập và xử lý dữ liệu sự cố, ít có vấn đề hơn.
Việc thiếu tài liệu và thủ tục pháp lý phù hợp với các yêu cầu của Đạo luật khiến nhà điều hành các dịch vụ chính bị phạt, có thể lên tới hai triệu zloty (hoặc gấp đôi thù lao cho người quản lý các tổ chức đó). Một trong những trường hợp đầu tiên như vậy, cũng liên quan đến việc vi phạm GDPR, gần đây đã được báo cáo ở Bồ Đào Nha, nơi Trung tâm Bệnh viện Barreiro-Montijo đã bị phạt 400.000 EUR vì đã sơ suất cấp quyền truy cập vào dữ liệu y tế cho nhiều người không nên có quyền truy cập như vậy.
