Polskie firmy z różnych sektorów muszą szybko wprowadzić nowe zabezpieczenia przed cyberatakami. Na dostosowanie systemów informatycznych do nowych regulacji bezpieczeństwa sieci przedsiębiorstwa mają nieco ponad rok. W przeciwnym razie grożą im wysokie kary: do 10 milionów Euro lub 2 proc. rocznego obrotu.
Chodzi o dyrektywę NIS2 („network and information systems”), która niewątpliwie przebudowuje europejski schemat infrastruktury krytycznej i cyfrowej – zwiększy wymagania w sferze cyberbezpieczeństwa i rozszerzy zakres podmiotów zobowiązanych do ich stosowania. Dyrektywa NIS2 obejmie wszystkie średnie i duże podmioty działające w sektorach, których dotyczy regulacja – m.in. energetyki, transportu, telekomunikacji, dostawców danych, platformy mediów społecznościowych i dostawców centrów danych i ochrony zdrowia.
Na skróty:
Szpitale muszą się zabezpieczać
Tymczasem służba zdrowia to szczególnie wrażliwy sektor, narażonych w ostatnim czasie na cyberataki. Jak wynika z najnowszych danych firmy Check Point Research, w ostatnim roku liczba ataków na szpitale i instytucje medyczne wzrosła o 60%. Co tydzień hakerzy atakują sektor ochrony zdrowia 1669 razy. W swoim najnowszym raporcie dotyczącym bezpieczeństwa firma Check Point podkreślała, że głównym powodem ataków na sektor medyczny jest chęć uzyskania dostępu do danych pacjentów, cennej dokumentacji medycznej lub obecności w mediach.
W zeszłym roku byliśmy świadkami ataku na Instytut Centrum Zdrowia Matki Polki w Łodzi, który doprowadził do wyłączenia wszystkich systemów informatycznych. Szpital nadal przyjmował pacjentów, ale w ciągu kilku chwil hakerzy zmusili personel do pracy w warunkach sprzed 30 lat, gdy nie wdrożono jeszcze systemów teleinformatycznych. Na szczęście nie doprowadziło to do bezpośredniego zagrożenia życia pacjentów.
– Wiele organizacji opieki zdrowotnej posiada dobre zarządzanie ryzykiem, ale brakuje im skonsolidowanej, opartej na współpracy i kompleksowej polityki cyberbezpieczeństwa, która zapewniałaby prawdziwą odporność na cyberzagrożenia. Jednocześnie poziom tych zagrożeń stale rośnie, a konsekwencje mogą być coraz to poważniejsze. Ataki mogą nie zakłócić działalność opieki zdrowotnej, spowodować straty finansowe czy doprowadzić do utraty życia w przypadku uniemożliwienia świadczenia pomocy – mówi Wojciech Głażewski, dyrektor zarządzający firmy Check Point Software w Polsce.
W opinii ekspertów w zeszłym roku w wyniku ataków hakerskich szpitale straciły prawie 40 proc. danych. A czarnorynkowa cena wykradzionych danych medycznych dochodzi już do 1.000 USD za jednego pacjenta (Fierce Healthcare Report). Tak więc sektor medyczny, obok wielu innych firm strategicznego znaczenia, staje (w związku z dyrektywą NIS 2) w obliczu rosnących kosztów informatycznych i braku wykwalifikowanego personelu IT.
Wprowadzenie w życie dyrektywy NIS2 staje się dla polskich firm wyzwaniem technologicznym, odnoszącym się bowiem również do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów z określonymi kompetencjami. A tych na polskim rynku brakuje. Jak wynika z danych Polskiego Instytutu Ekonomicznego w Polsce brakuje prawie 150 tysięcy pracowników sektora IT. Z analiz wynika, że 20 proc. firm z branży musiała odmawiać przyjęcia projektu właśnie ze względu na brak specjalistów koniecznych do jego wykonania. Jeszcze bardziej pesymistyczne dane przedstawiła w marcu br. Organizacja Pracodawców i Usług IT SoDa, informując, że w Polsce brakuje 250 – 300 tys. specjalistów IT…. Powód – pracodawcy nie inwestują w rozwój pracowników.
Fabryki, elektrownie, wodociągi, a także banki czy szpitale czekają spore zmian.
Dyrektywa NIS2 ma zabezpieczyć czułe punkty UE na wypadek zagrożeń porządku publicznego takich jak: ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.
A zagrożenia dla wielu sektorów rosną w Polsce i na świecie w ekspresowym tempie. Z najnowszych danych firmy Check Point Research (30.03.2023) wynika, że najczęściej atakowanym sektorem w Polsce jest tzw. branża krytycznej infrastruktury i użyteczności publicznej (3670 razy tygodniowo). Na drugim miejscu pod tym kątem znajduje się sektor finansów i bankowości (1216) a na trzecim instytucje rządowe (1080). Sektor zdrowia na świecie jest trzecim najczęściej atakowanym (1669 razy tygodniowo).
Liczba ataków na wybrane branże w Polsce i na świecie (Raport 30.03.2023 Check Point Software)
Co nowa dyrektywa NIS2 będzie w praktyce oznaczać dla przedsiębiorstw i podmiotów publicznych?
Przede wszystkim obowiązek tworzenia wewnętrznych centrów bezpieczeństwa, monitorujących incydenty i zagrożenia, odpowiedzialnych za zarządzanie kryzysami, opracowanie odpowiednich polityk oraz procedur testowania i audytów, a także implementację rozwiązań technologicznych adekwatnych do ryzyka.
Wyzwaniem stanie się nie tylko odpowiednia liczba specjalistów, lecz obowiązek posiadania najnowszych systemów zabezpieczeń aktualnych do stanu wiedzy i proporcjonalnych do ryzyka związanego z konkretną działalnością oraz „konieczność wprowadzenia rozwiązań technologicznych adekwatnych do ryzyka wynikającego z profilu podmiotu”.
– Mając na uwadze lawinowo rosnąca ilość ataków zarówno na infrastrukturę krytyczną jak i tysiące małych firm, kluczem będzie zastosowanie systemów, nie tylko detekcji incydentów, która jest bardzo ważna i potrzebna do ich analizy, ale również prewencji i szybkiego reagowania w postaci kompleksowych rozwiązań ochrony bezpieczeństwa, umożliwiających analizę, monitoring, raportowanie i bieżącą obsługę incydentów – mówi Wojciech Głażewski z firmy Check Point Software Technologies.
Ekspert wskazuje, że stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Za nieprzestrzeganie przepisów grożą bowiem wysokie grzywny – nawet do 10 milionów Euro lub 2 proc. globalnych obrotów. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych spółek.
źródło: EU NIS2 Directive – New law for SME enterprises za: https://eur-lex.europa.eu/eli/dir/2022/2555/oj
