Produsen dan pedagang grosir besar obat, serta rumah sakit dan fasilitas medis terbesar di Polandia, akan segera diwajibkan untuk memenuhi persyaratan Arahan NIS - arahan keamanan siber pertama dalam sejarah UE. Prosedur yang mahal akan menjadi tantangan besar, terutama bagi rumah sakit Polandia.
Menurut pakar keamanan siber, perusahaan dapat dibagi menjadi yang telah diserang dan yang belum mengetahuinya. Penelitian menunjukkan bahwa setiap perusahaan pernah mengalami insiden semacam ini, dan Internet adalah ruang di mana sistem keamanan terus-menerus diserang.
- Perkiraan untuk waktu dekat di area ini mengatakan bahwa sementara serangan intens sejauh ini ditujukan terutama pada apa yang disebut infrastruktur kritis, yaitu entitas yang terkait dengan mis.perusahaan dan institusi di bidang perawatan kesehatan dan jalur produksi akan menjadi target berikutnya - kata advokat Marcin Jan Wachowski, pakar dari salah satu firma hukum pertama di Polandia yang mengkhususkan diri dalam konsultasi keamanan siber. Hal ini menempatkan produsen obat pada posisi khusus di persimpangan kedua area ini.
- Ini bukan hanya tentang ancaman untuk mengganggu atau menghentikan proses produksi obat, tetapi tentang yang jauh lebih berbahaya, seperti misalnya perubahan resep. Jika jenis serangan ini tidak terdeteksi, dapat menimbulkan ancaman bagi kesehatan dan kehidupan orang yang menggunakan obat tersebut, kata Marcin Jan Wachowski. - Penelitian tentang serangan cyber menunjukkan bahwa perusahaan mengetahui bahwa mereka telah menjadi targetnya setelah rata-rata sekitar 90 hari. Selama waktu ini, obat yang berpotensi berbahaya mungkin sudah sampai ke apotek, dan ini menimbulkan risiko dan biaya yang besar.
Arahan terhadap peretas
Kesadaran akan ancaman dunia maya adalah premis utama dari Parlemen Eropa dalam pembuatan Petunjuk Keamanan Jaringan dan Informasi (disingkat NIS), yang diadopsi pada Juli 2016. Baru-baru ini, dalam seruan khusus yang ditujukan kepada 17 negara, termasuk Polandia, Komisi Eropa berkewajiban untuk menerapkan peraturan ini sepenuhnya kepada menjamin tingkat keamanan yang sama untuk jaringan dan sistem informasi di seluruh Uni. Akibatnya, parlemen Polandia menyiapkan undang-undang tentang sistem keamanan nasional, yang mulai berlaku pada 28 Agustus 2018. Penyedia layanan digital (browser internet, cloud, platform perdagangan), administrasi negara, dan yang disebut operator layanan utama, yaitu entitas yang keamanan TI-nya sangat penting. Diperkirakan bahwa di Polandia ada lebih dari 300 entitas - termasuk bank, perusahaan dari industri energi dan transportasi. Hampir sepertiga adalah perusahaan dan institusi dari sektor perawatan kesehatan: produsen dan pedagang grosir obat-obatan, fasilitas medis yang besar.
- Semua entitas ini harus memenuhi sejumlah kewajiban yang mahal dan memakan waktu. Sekitar 70 persen di antaranya adalah masalah teknologi, dan 30 persen sisanya adalah masalah hukum, seperti persiapan dokumentasi keamanan yang sesuai, penanganan insiden, manajemen risiko, pelatihan staf - kata Marcin Jan Wachowski.
Penerapan undang-undang di Polandia baru memasuki tahap penerapan - pada tanggal 9 November, batas waktu untuk menunjukkan operator layanan utama telah berakhir, dan pada saat keputusan administratif sedang disampaikan. Dalam hal perawatan kesehatan, operator layanan utama ditunjukkan oleh Menteri Kesehatan.
- Masing-masing entitas yang ditunjukkan tentu saja dapat mengajukan banding atas keputusan ini, misalnya jika mereka yakin bahwa klasifikasi mereka salah. Kewajiban terkait adaptasi NIS telah dibagi menjadi tiga tahap yang berlangsung selama beberapa bulan. Setelah satu tahun, itu akan diselesaikan dengan audit keamanan, yang akan diulangi setiap dua tahun - jelas Marcin Jan Wachowski.
Biaya tinggi, sedikit spesialis
Beradaptasi dengan peraturan yang terkait dengan keamanan TI merupakan tantangan keuangan dan organisasi. Menurut para ahli, perwakilan perusahaan farmasi yang beroperasi di Polandia seharusnya memiliki masalah paling sedikit dengan ini. Biasanya ini adalah perusahaan global berteknologi tinggi dengan akses ke alat berbasis cloud, jadi penerapan NIS akan relatif sederhana di sini. Pedagang grosir dan apotek, yang biasanya menggunakan administrator jaringan eksternal, menghadapi tantangan yang lebih besar. Proses ini tentunya akan menjadi masalah terbesar bagi rumah sakit dan fasilitas medis, terutama karena alasan finansial.
- Kami baru-baru ini menyiapkan studi untuk entitas jenis ini untuk membantu mendapatkan pembiayaan untuk memastikan keamanan siber dan ternyata tidak ada dana untuk inovasi atau sektoral yang akan menutupi area ini. Jadi situasinya cukup sulit. Negara mewajibkan rumah sakit untuk melakukan ini, tetapi uangnya harus diperoleh dari anggaran mereka sendiri. Sementara itu, kita semua tahu bahwa situasi keuangan layanan kesehatan Polandia tidak cerah, kata Marcin Jan Wachowski
Namun, bahkan untuk perusahaan yang tidak takut dengan biaya beberapa ratus ribu zlotys, menemukan spesialis keamanan siber mungkin menjadi masalah. Yang tersedia di Polandia telah lama diminati oleh perusahaan Barat yang kaya. Akses ke nasihat hukum, yang akan diperlukan saat membuat dokumentasi atau pusat operasional khusus, di mana CSIRT (Computer Security Incident Response Team) akan menangkap dan memproses data insiden, tidak terlalu bermasalah.
Kurangnya dokumentasi dan prosedur hukum yang disesuaikan dengan persyaratan Undang-Undang membuat operator layanan utama terkena hukuman, yang dapat mencapai hingga dua juta zlotys (atau hingga dua kali lipat dari remunerasi untuk orang yang mengelola organisasi semacam itu). Salah satu kasus pertama, juga terkait dengan pelanggaran GDPR, baru-baru ini dilaporkan di Portugal, di mana Rumah Sakit Pusat Barreiro-Montijo didenda EUR 400.000 karena kelalaian memberikan akses ke data medis kepada banyak orang yang tidak melakukannya. harus memiliki akses seperti itu.
