대규모 의약품 생산 업체 및 도매 업체뿐만 아니라 폴란드 최대 병원 및 의료 시설도 곧 EU 역사상 최초의 사이버 보안 지침 인 NIS 지침의 요건을 충족해야합니다. 비용이 많이 드는 절차는 특히 폴란드 병원의 경우 큰 도전이 될 것입니다.
사이버 보안 전문가에 따르면 기업은 공격받은 기업과 아직 모르는 기업으로 나눌 수 있습니다. 연구에 따르면 모든 회사가 이러한 유형의 사고를 겪었으며 인터넷은 보안 시스템이 지속적으로 공격을받는 공간입니다.
-이 분야의 가까운 장래에 대한 예측에 따르면 지금까지 강렬한 공격이 주로 소위 중요한 인프라, 즉 예를 들어 관련 엔티티폴란드 최초의 사이버 보안 컨설팅 전문 로펌 중 하나의 전문가 인 Marcin Jan Wachowski 대변인은 건강 관리 및 생산 라인 분야의 기업과 기관이 다음 목표가 될 것이라고 말합니다. 이로 인해 의약품 제조업체는이 두 영역의 교차로에서 특별한 위치에 있습니다.
-약물 생산 과정을 방해하거나 중단시키는 위협뿐만 아니라 레시피 변경과 같은 훨씬 더 위험한 것들에 관한 것입니다. 이러한 유형의 공격이 감지되지 않으면 약물을 복용하는 사람들의 건강과 생명에 위협이 될 수 있다고 Marcin Jan Wachowski는 말합니다. -사이버 공격에 대한 조사에 따르면 회사는 평균 약 90 일 후에 공격 대상이 된 것을 알게되었습니다. 이 기간 동안 잠재적으로 위험한 약물이 이미 약국으로가는 길을 찾을 수 있으며 이는 위험과 막대한 비용을 수반합니다.
해커에 대한 지침
사이버 위협에 대한 인식은 2016 년 7 월에 채택 된 유럽 의회의 네트워크 및 정보 보안 지침 (NIS로 약칭)의 주요 전제였습니다. 최근 유럽 집행위원회는 폴란드를 포함한 17 개국에 대한 특별 항소에서 이러한 규정을 완전히 이행해야합니다. 연합 전체의 네트워크 및 정보 시스템에 대해 동일한 수준의 보안을 보장합니다. 그 결과 폴란드 의회는 2018 년 8 월 28 일 발효 된 국가 안보 시스템에 관한 법안을 준비했습니다. 디지털 서비스 제공 업체 (인터넷 브라우저, 클라우드, 거래 플랫폼), 국가 행정부 및 소위 주요 서비스 운영자, 즉 IT 보안이 특히 중요한 엔티티. 폴란드에서는 은행, 에너지 및 운송 산업의 회사를 포함하여 300 개가 약간 넘는 것으로 추정됩니다. 거의 1/3은 의약품 제조업체 및 도매 업체, 대형 의료 시설 등 의료 부문의 기업과 기관이 될 것입니다.
-이러한 모든 기업은 많은 비용과 시간이 소요되는 의무를 이행해야합니다. 그 중 약 70 %는 기술 문제이고 나머지 30 %는 적절한 보안 문서 준비, 사고 처리, 위험 관리, 직원 교육과 같은 법적 문제입니다. Marcin Jan Wachowski는 말합니다.
폴란드에서 법의 시행은 이제 막 시행 단계에 접어 들었습니다. 11 월 9 일에 주요 서비스 운영자를 표시하는 기한이 만료되었으며 현재 행정 결정이 전달되고 있습니다. 의료의 경우 주요 서비스 운영자는 보건부 장관이 지정합니다.
-표시된 각 법인은 물론이 결정에 대해 항소 할 수 있습니다 (예 : 잘못 분류되었다고 생각하는 경우). NIS 적응과 관련된 의무는 몇 달 동안 세 단계로 나누어 져 있습니다. 1 년 후에는 2 년마다 반복되는 보안 감사가 완료 될 것이라고 Marcin Jan Wachowski는 설명합니다.
높은 비용, 소수의 전문가
IT 보안과 관련된 규정에 적응하는 것은 재정적 및 조직적 과제입니다. 전문가에 따르면 폴란드에서 운영되는 제약 회사의 대표자들은 이것에 대해 최소한의 문제를 가지고 있어야합니다. 이들은 일반적으로 클라우드 기반 도구에 액세스 할 수있는 첨단 글로벌 기업이므로 여기서 NIS를 구현하는 것은 비교적 간단합니다. 일반적으로 외부 네트워크 관리자를 사용하는 도매 업체 및 약국 체인은 약간 더 큰 문제에 직면합니다. 이 과정은 주로 재정적 인 이유로 병원과 의료 시설에서 가장 큰 문제가 될 것입니다.
-우리는 최근 사이버 보안을 보장하기위한 자금 조달을 돕기 위해 이러한 유형의 기관에 대한 연구를 준비했으며이 영역을 커버 할 혁신 또는 부문 별 자금이 없다는 것이 밝혀졌습니다. 그래서 상황은 매우 어렵습니다. 주정부는 병원이이를 수행하도록 요구하지만 자금은 자체 예산에서 찾아야합니다. 한편, 우리 모두는 폴란드 의료 서비스의 재정 상황이 장밋빛이 아니라는 것을 알고 있다고 Marcin Jan Wachowski는 말합니다.
그러나 수십만 즐 로티의 비용을 두려워하지 않는 기업의 경우에도 사이버 보안 전문가를 찾는 것이 문제가 될 수 있습니다. 폴란드에서 구할 수있는 것은 부유 한 서구 기업들로부터 오랫동안 수요가있었습니다. CSIRT (컴퓨터 보안 사고 대응 팀)가 사고 데이터를 캡처하고 처리하는 문서 또는 특수 운영 센터를 만들 때 필요한 법률 자문에 대한 액세스는 문제가 적습니다.
법의 요구 사항에 맞게 조정 된 문서 및 법적 절차의 부족으로 인해 주요 서비스 운영자는 처벌을받을 수 있으며, 이는 최대 2 백만 즐 로티 (또는 그러한 조직을 관리하는 사람에 대한 보수의 최대 2 배)에이를 수 있습니다. GDPR 위반과 관련된 첫 번째 사례 중 하나가 최근 포르투갈에서보고되었으며, Barreiro-Montijo 병원 센터는 그렇지 않은 많은 사람들에게 의료 데이터에 대한 액세스 권한을 부주의하게 허용 한 혐의로 40 만 유로의 벌금을 부과 받았습니다. 그러한 액세스 권한이 있어야합니다.
