ผู้ผลิตและผู้ค้าส่งยารายใหญ่ แต่ยังรวมถึงโรงพยาบาลและสถานพยาบาลที่ใหญ่ที่สุดในโปแลนด์ในเร็ว ๆ นี้จะต้องปฏิบัติตามข้อกำหนดของ NIS Directive ซึ่งเป็นคำสั่งด้านความปลอดภัยทางไซเบอร์ฉบับแรกในประวัติศาสตร์ของสหภาพยุโรป ขั้นตอนที่มีค่าใช้จ่ายสูงจะเป็นความท้าทายที่ยิ่งใหญ่โดยเฉพาะอย่างยิ่งสำหรับโรงพยาบาลในโปแลนด์
ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ บริษัท ต่างๆสามารถแบ่งออกเป็น บริษัท ที่ถูกโจมตีและ บริษัท ที่ยังไม่รู้ การวิจัยแสดงให้เห็นว่าทุก บริษัท มีเหตุการณ์ประเภทนี้และอินเทอร์เน็ตเป็นพื้นที่ที่ระบบรักษาความปลอดภัยถูกโจมตีตลอดเวลา
- การคาดการณ์สำหรับอนาคตอันใกล้ในพื้นที่นี้กล่าวว่าในขณะที่การโจมตีที่รุนแรงจนถึงขณะนี้มีเป้าหมายหลักที่สิ่งที่เรียกว่า โครงสร้างพื้นฐานที่สำคัญเช่นเอนทิตีที่เกี่ยวข้องกับเช่นบริษัท และสถาบันในด้านการดูแลสุขภาพและสายการผลิตจะกลายเป็นเป้าหมายต่อไป - ผู้สนับสนุน Marcin Jan Wachowski ผู้เชี่ยวชาญของสำนักงานกฎหมายแห่งแรกในโปแลนด์ที่เชี่ยวชาญด้านการให้คำปรึกษาด้านความปลอดภัยทางไซเบอร์กล่าว สิ่งนี้ทำให้ผู้ผลิตยาอยู่ในตำแหน่งพิเศษที่สี่แยกของสองพื้นที่นี้
- ไม่เพียง แต่เกี่ยวกับภัยคุกคามที่จะขัดขวางหรือระงับกระบวนการผลิตยาเท่านั้น แต่ยังเกี่ยวกับสิ่งที่อันตรายกว่านั้นอีกมากมายเช่นการเปลี่ยนแปลงสูตรอาหาร หากตรวจไม่พบการโจมตีประเภทนี้อาจเป็นภัยคุกคามต่อสุขภาพและชีวิตของผู้ที่รับประทานยา Marcin Jan Wachowski กล่าว - การวิจัยเกี่ยวกับการโจมตีทางไซเบอร์แสดงให้เห็นว่า บริษัท ได้เรียนรู้ว่ามันกลายเป็นเป้าหมายหลังจากนั้นประมาณ 90 วันโดยเฉลี่ย ในช่วงเวลานี้ยาที่อาจเป็นอันตรายอาจหาทางส่งไปยังร้านขายยาได้แล้วซึ่งก่อให้เกิดความเสี่ยงและค่าใช้จ่ายจำนวนมาก
คำสั่งต่อต้านแฮกเกอร์
การตระหนักถึงภัยคุกคามทางไซเบอร์เป็นหลักฐานหลักสำหรับการสร้างโดยรัฐสภายุโรปเกี่ยวกับคำสั่งด้านเครือข่ายและความปลอดภัยของข้อมูล (เรียกโดยย่อว่า NIS) ซึ่งประกาศใช้ในเดือนกรกฎาคม 2559 เมื่อเร็ว ๆ นี้คณะกรรมาธิการยุโรปในการอุทธรณ์พิเศษที่ส่งถึง 17 ประเทศรวมถึงโปแลนด์มีหน้าที่ต้องปฏิบัติตามกฎระเบียบเหล่านี้อย่างเต็มที่เพื่อ รับประกันระดับความปลอดภัยที่เท่าเทียมกันสำหรับเครือข่ายและระบบข้อมูลทั่วทั้งสหภาพ เป็นผลให้รัฐสภาโปแลนด์เตรียมร่างพระราชบัญญัติเกี่ยวกับระบบความมั่นคงแห่งชาติซึ่งมีผลบังคับใช้ในวันที่ 28 สิงหาคม 2018 ผู้ให้บริการดิจิทัล (อินเทอร์เน็ตเบราว์เซอร์ระบบคลาวด์แพลตฟอร์มการซื้อขาย) การบริหารของรัฐและที่เรียกว่า ผู้ให้บริการที่สำคัญ ได้แก่ หน่วยงานที่มีความปลอดภัยด้านไอทีเป็นพิเศษ คาดกันว่าในโปแลนด์มีหน่วยงานมากกว่า 300 แห่งไม่ว่าจะเป็นธนาคาร บริษัท จากอุตสาหกรรมพลังงานและการขนส่ง เกือบหนึ่งในสามเป็น บริษัท และสถาบันจากภาคการดูแลสุขภาพ: ผู้ผลิตและผู้ค้าส่งยาสถานพยาบาลขนาดใหญ่
- หน่วยงานทั้งหมดเหล่านี้ต้องปฏิบัติตามภาระผูกพันที่มีค่าใช้จ่ายสูงและใช้เวลานาน ประมาณ 70 เปอร์เซ็นต์เป็นปัญหาทางเทคโนโลยีและอีก 30 เปอร์เซ็นต์ที่เหลือเป็นปัญหาทางกฎหมายเช่นการจัดเตรียมเอกสารด้านความปลอดภัยที่เหมาะสมการจัดการเหตุการณ์การจัดการความเสี่ยงการฝึกอบรมพนักงาน Marcin Jan Wachowski กล่าว
การดำเนินการตามกฎหมายในโปแลนด์กำลังเข้าสู่ขั้นตอนการนำไปใช้ - ในวันที่ 9 พฤศจิกายนเส้นตายในการระบุผู้ให้บริการหลักจะหมดอายุและในขณะนี้การตัดสินใจของฝ่ายบริหารกำลังถูกส่งมอบ ในกรณีของการดูแลสุขภาพผู้ให้บริการหลักจะได้รับการระบุโดยรัฐมนตรีว่าการกระทรวงสาธารณสุข
- แต่ละหน่วยงานที่ระบุอาจอุทธรณ์การตัดสินใจนี้ได้เช่นหากเชื่อว่ามีการจัดประเภทไม่ถูกต้อง ภาระหน้าที่ที่เกี่ยวข้องกับการปรับตัวให้เข้ากับ NIS แบ่งออกเป็นสามขั้นตอนซึ่งกินเวลานานหลายเดือน หลังจากผ่านไปหนึ่งปีการตรวจสอบความปลอดภัยจะเสร็จสิ้นซึ่งจะมีการทำซ้ำทุกๆสองปี - Marcin Jan Wachowski อธิบาย
ต้นทุนสูงผู้เชี่ยวชาญไม่กี่คน
การปรับตัวให้เข้ากับกฎระเบียบที่เกี่ยวข้องกับความปลอดภัยของไอทีถือเป็นความท้าทายทางการเงินและระดับองค์กร ตามที่ผู้เชี่ยวชาญกล่าวว่าตัวแทนของ บริษัท ยาที่ดำเนินงานในโปแลนด์ควรมีปัญหาน้อยที่สุดในเรื่องนี้ โดยปกติ บริษัท เหล่านี้เป็น บริษัท ระดับโลกที่มีเทคโนโลยีสูงซึ่งสามารถเข้าถึงเครื่องมือบนคลาวด์ได้ดังนั้นการนำ NIS มาใช้จึงค่อนข้างง่ายที่นี่ ผู้ค้าส่งและเครือข่ายร้านขายยาซึ่งมักใช้ผู้ดูแลเครือข่ายภายนอกต้องเผชิญกับความท้าทายที่ยิ่งใหญ่กว่าเล็กน้อย กระบวนการนี้จะเป็นปัญหาใหญ่ที่สุดสำหรับโรงพยาบาลและสถานพยาบาลโดยส่วนใหญ่เป็นเหตุผลทางการเงิน
- เมื่อเร็ว ๆ นี้เราได้เตรียมการศึกษาสำหรับหน่วยงานประเภทนี้เพื่อช่วยในการจัดหาเงินทุนสำหรับการรักษาความปลอดภัยทางไซเบอร์และปรากฎว่าไม่มีเงินทุนสำหรับนวัตกรรมหรือภาคส่วนที่จะครอบคลุมพื้นที่นี้ ดังนั้นสถานการณ์ค่อนข้างยาก รัฐกำหนดให้โรงพยาบาลทำได้ แต่ต้องหาเงินให้ได้ในงบประมาณของตัวเอง ในขณะเดียวกันเราทุกคนรู้ดีว่าสถานการณ์ทางการเงินของบริการด้านสุขภาพของโปแลนด์ไม่ได้เป็นสีดอกกุหลาบ Marcin Jan Wachowski กล่าว
อย่างไรก็ตามแม้ว่า บริษัท ที่ไม่กลัวค่าใช้จ่ายหลายแสน zlotys การหาผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อาจเป็นปัญหาได้ สิ่งที่มีอยู่ในโปแลนด์เป็นที่ต้องการขององค์กรตะวันตกที่ร่ำรวย การเข้าถึงคำแนะนำทางกฎหมายซึ่งจำเป็นในการสร้างเอกสารหรือศูนย์ปฏิบัติการพิเศษโดย CSIRT (Computer Security Incident Response Team) จะรวบรวมและประมวลผลข้อมูลเหตุการณ์เป็นปัญหาน้อยกว่า
การขาดเอกสารและขั้นตอนทางกฎหมายที่ปรับให้เข้ากับข้อกำหนดของพระราชบัญญัตินี้ทำให้ผู้ให้บริการที่สำคัญต้องรับโทษซึ่งสามารถเข้าถึงได้ถึงสองล้าน zlotys (หรือสูงถึงสองเท่าของค่าตอบแทนสำหรับบุคคลที่จัดการองค์กรดังกล่าว) หนึ่งในกรณีดังกล่าวแรก ๆ ซึ่งเกี่ยวข้องกับการละเมิด GDPR ได้รับรายงานเมื่อเร็ว ๆ นี้ในโปรตุเกสซึ่งศูนย์การแพทย์ Barreiro-Montijo ถูกปรับ 400,000 ยูโรเนื่องจากการให้สิทธิ์การเข้าถึงข้อมูลทางการแพทย์แก่ผู้คนจำนวนมากที่ไม่ได้รับอนุญาต ควรมีการเข้าถึงดังกล่าว