– Wiele organizacji opieki zdrowotnej posiada dobre zarządzanie ryzykiem, ale brakuje im skonsolidowanej, opartej na współpracy i kompleksowej polityki cyberbezpieczeństwa, która zapewniałaby prawdziwą odporność na cyberzagrożenia. Jednocześnie poziom tych zagrożeń stale rośnie, a konsekwencje mogą być coraz to poważniejsze. Ataki mogą nie zakłócić działalność opieki zdrowotnej, spowodować straty finansowe czy doprowadzić do utraty życia w przypadku uniemożliwienia świadczenia pomocy – mówi Wojciech Głażewski, dyrektor zarządzający firmy Check Point Software w Polsce.
W opinii ekspertów w zeszłym roku w wyniku ataków hakerskich szpitale straciły prawie 40 proc. danych. A czarnorynkowa cena wykradzionych danych medycznych dochodzi już do 1.000 USD za jednego pacjenta (Fierce Healthcare Report). Tak więc sektor medyczny, obok wielu innych firm strategicznego znaczenia, staje (w związku z dyrektywą NIS 2) w obliczu rosnących kosztów informatycznych i braku wykwalifikowanego personelu IT.
Wprowadzenie wżycie dyrektywy NIS2 staje się dla polskich firm wyzwaniem technologicznym, odnoszącym się bowiem również do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów z określonymi kompetencjami. A tych na polskim rynku brakuje. Jak wynika z danych Polskiego Instytutu Ekonomicznego w Polsce brakuje prawie 150 tysięcy pracowników sektora IT. Z analiz wynika, że 20 proc. firm z branży musiała odmawiać przyjęcia projektu właśnie ze względu na brak specjalistów koniecznych do jego wykonania. Jeszcze bardziej pesymistyczne dane przedstawiła w marcu br. Organizacja Pracodawców i Usług IT SoDa, informując, że w Polsce brakuje 250 – 300 tys. specjalistów IT…. Powód – pracodawcy nie inwestują w rozwój pracowników.
Fabryki, elektrownie, wodociągi, a także banki czy szpitale czekają spore zmian.
Dyrektywa NIS2 ma zabezpieczyć czułe punkty UE na wypadek zagrożeń porządku publicznego takich jak: ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.
A zagrożenia dla wielu sektorów rosną w Polsce i na świecie w ekspresowym tempie. Z najnowszych danych firmy Check Point Research (30.03.2023) wynika, że najczęściej atakowanym sektorem w Polsce jest tzw. branża krytycznej infrastruktury i użyteczności publicznej (3670 razy tygodniowo). Na drugim miejscu pod tym kątem znajduje się sektor finansów i bankowości (1216) a na trzecim instytucje rządowe (1080). Sektor zdrowia na świecie jest trzecim najczęściej atakowanym (1669 razy tygodniowo).
Co nowa dyrektywa NIS2 będzie wpraktyce oznaczać dla przedsiębiorstw ipodmiotów publicznych?
Przede wszystkim obowiązek tworzenia wewnętrznych centrów bezpieczeństwa, monitorujących incydenty i zagrożenia, odpowiedzialnych za zarządzanie kryzysami, opracowanie odpowiednich polityk oraz procedur testowania i audytów, a także implementację rozwiązań technologicznych adekwatnych do ryzyka.
Wyzwaniem stanie się nie tylko odpowiednia liczba specjalistów, lecz obowiązek posiadania najnowszych systemów zabezpieczeń aktualnych do stanu wiedzy i proporcjonalnych do ryzyka związanego z konkretną działalnością oraz „konieczność wprowadzenia rozwiązań technologicznych adekwatnych do ryzyka wynikającego z profilu podmiotu”.
– Mając na uwadze lawinowo rosnąca ilość ataków zarówno na infrastrukturę krytyczną jak i tysiące małych firm, kluczem będzie zastosowanie systemów, nie tylko detekcji incydentów, która jest bardzo ważna i potrzebna do ich analizy, ale również prewencji i szybkiego reagowania w postaci kompleksowych rozwiązań ochrony bezpieczeństwa, umożliwiających analizę, monitoring, raportowanie i bieżącą obsługę incydentów
Wojciech Głażewski z firmy Check Point Software Technologies.
Ekspert wskazuje, że stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Za nieprzestrzeganie przepisów grożą bowiem wysokie grzywny – nawet do 10 milionów Euro lub 2 proc. globalnych obrotów. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych spółek.
