Grote fabrikanten en groothandelaren in geneesmiddelen, evenals de grootste ziekenhuizen en medische faciliteiten in Polen, zullen binnenkort worden verplicht om te voldoen aan de vereisten van de NIS-richtlijn - de eerste cyberbeveiligingsrichtlijn in de geschiedenis van de EU. De dure procedure zal een grote uitdaging zijn, vooral voor Poolse ziekenhuizen.
Volgens cybersecurity-experts kunnen bedrijven worden onderverdeeld in bedrijven die zijn aangevallen en bedrijven die het nog niet weten. Onderzoek toont aan dat elk bedrijf dit soort incidenten heeft meegemaakt, en internet is een ruimte waarin beveiligingssystemen voortdurend worden aangevallen.
- Voorspellingen voor de nabije toekomst op dit gebied zeggen dat terwijl de intense aanvallen tot dusverre voornamelijk gericht waren op de zogenaamde kritieke infrastructuur, d.w.z. entiteiten gerelateerd aan b.v.bedrijven en instellingen op het gebied van gezondheidszorg en productielijnen zullen de volgende doelwitten worden - zegt advocaat Marcin Jan Wachowski, een expert van een van de eerste advocatenkantoren in Polen die gespecialiseerd is in cybersecurity-advies. Dit plaatst geneesmiddelenfabrikanten in een bijzondere positie op het kruispunt van deze twee gebieden.
- Het gaat niet alleen om bedreigingen om productieprocessen van geneesmiddelen te verstoren of stop te zetten, maar ook om veel gevaarlijkere processen, zoals veranderingen in recepten. Als dit type aanval niet wordt gedetecteerd, kan dit een bedreiging vormen voor de gezondheid en het leven van mensen die het medicijn gebruiken, zegt Marcin Jan Wachowski. - Uit onderzoek naar cyberaanvallen blijkt dat het bedrijf na gemiddeld ongeveer 90 dagen verneemt dat het zijn doelwit is geworden. Gedurende deze tijd kan een potentieel gevaarlijk medicijn al zijn weg vinden naar apotheken, wat risico's en enorme kosten met zich meebrengt.
Een richtlijn tegen hackers
Bewustwording van cyberdreigingen was het belangrijkste uitgangspunt van de totstandkoming door het Europees Parlement van de netwerk- en informatiebeveiligingsrichtlijn (afgekort als NIS), die in juli 2016 werd aangenomen. Onlangs heeft de Europese Commissie in een speciale oproep gericht aan 17 landen, waaronder Polen, verplicht een gelijk niveau van beveiliging garanderen voor netwerk- en informatiesystemen in de hele Unie. Als gevolg hiervan heeft het Poolse parlement een wet opgesteld over het nationale veiligheidssysteem, die op 28 augustus 2018 in werking is getreden. Digitale dienstverleners (internetbrowsers, clouds, handelsplatforms), overheidsadministratie en de zogenaamde exploitanten van sleuteldiensten, d.w.z. entiteiten waarvan de IT-beveiliging bijzonder belangrijk is. Geschat wordt dat het in Polen iets meer dan 300 entiteiten zijn - waaronder banken, bedrijven uit de energie- en transportsector. Bijna een derde zal bestaan uit bedrijven en instellingen uit de zorgsector: producenten en groothandels van geneesmiddelen, grote medische voorzieningen.
- Al deze entiteiten hebben te maken met een aantal kostbare en tijdrovende verplichtingen. Ongeveer 70 procent daarvan zijn technologische kwesties en de overige 30 procent zijn juridische kwesties, zoals de voorbereiding van geschikte beveiligingsdocumentatie, incidentafhandeling, risicobeheer, personeelstraining - zegt Marcin Jan Wachowski.
De implementatie van de wet in Polen gaat net de implementatiefase in - op 9 november is de deadline voor het aangeven van exploitanten van sleuteldiensten verstreken, en op het moment dat administratieve beslissingen worden genomen. In het geval van gezondheidszorg worden de exploitanten van sleuteldiensten aangewezen door de minister van Volksgezondheid.
- Elk van de aangeduide entiteiten kan uiteraard in beroep gaan tegen deze beslissing, bijvoorbeeld als ze menen dat ze onjuist zijn geclassificeerd. De verplichtingen met betrekking tot de aanpassing aan NOS zijn onderverdeeld in drie fasen van meerdere maanden. Na een jaar zal het worden afgerond met een beveiligingsaudit, die om de twee jaar zal worden herhaald, legt Marcin Jan Wachowski uit.
Hoge kosten, weinig specialisten
Aanpassing aan regelgeving met betrekking tot IT-beveiliging is een financiële en organisatorische uitdaging. Volgens experts zouden de vertegenwoordigers van farmaceutische bedrijven die in Polen actief zijn hier de minste problemen mee moeten hebben. Dit zijn meestal hightech wereldwijde bedrijven met toegang tot cloudgebaseerde tools, dus het implementeren van NIS zal hier relatief eenvoudig zijn. Groothandels en apotheekketens, die veelal gebruikmaken van externe netwerkbeheerders, staan voor een iets grotere uitdaging. Dit proces zal zeker het grootste probleem zijn voor ziekenhuizen en medische instellingen, vooral om financiële redenen.
- We hebben onlangs een studie voor dit soort entiteiten voorbereid om te helpen bij het verkrijgen van financiering voor het waarborgen van cyberveiligheid en het bleek dat er geen fondsen zijn voor innovatie of sectoraal die dit gebied zouden bestrijken. Dus de situatie is best moeilijk. De staat eist dat ziekenhuizen dit doen, maar het geld moet in hun eigen budget worden gevonden. Ondertussen weten we allemaal dat de financiële situatie van de Poolse gezondheidsdienst niet rooskleurig is, zegt Marcin Jan Wachowski.
Maar zelfs voor bedrijven die niet bang zijn voor kosten van enkele honderdduizenden zloty, kan het vinden van cybersecurity-specialisten een probleem zijn. Die die in Polen beschikbaar zijn, zijn al lang in trek bij rijke westerse bedrijven. Toegang tot juridisch advies, dat nodig zal zijn bij het creëren van documentatie of speciale operationele centra, waar CSIRT (Computer Security Incident Response Team) incidentgegevens zal vastleggen en verwerken, is minder problematisch.
Het gebrek aan documentatie en juridische procedures die zijn aangepast aan de vereisten van de wet, stelt de exploitant van sleuteldiensten bloot aan boetes, die kunnen oplopen tot twee miljoen zloty (of tot tweemaal de vergoeding voor personen die dergelijke organisaties leiden). Een van de eerste van dergelijke gevallen, ook in verband met een inbreuk op de AVG, werd onlangs gemeld in Portugal, waar het Barreiro-Montijo Ziekenhuiscentrum een boete van 400.000 euro kreeg wegens nalatigheid die toegang verleende tot medische gegevens aan veel mensen die dat niet deden zou dergelijke toegang moeten hebben.
