Los grandes fabricantes y mayoristas de medicamentos, así como los hospitales e instalaciones médicas más grandes de Polonia, pronto se verán obligados a cumplir con los requisitos de la Directiva NIS, la primera directiva de ciberseguridad en la historia de la UE. El costoso procedimiento será un gran desafío, especialmente para los hospitales polacos.
Según los expertos en ciberseguridad, las empresas se pueden dividir en las que han sido atacadas y las que aún no lo saben. Las investigaciones muestran que todas las empresas han tenido este tipo de incidentes, e Internet es un espacio en el que los sistemas de seguridad están bajo constante ataque.
- Las previsiones para el futuro cercano en esta área dicen que si bien los intensos ataques hasta ahora han estado dirigidos principalmente a los llamados infraestructura crítica, es decir, entidades relacionadas con, por ejemplo,las empresas e instituciones en el área de la atención médica y las líneas de producción se convertirán en los próximos objetivos, dice el defensor Marcin Jan Wachowski, un experto de uno de los primeros bufetes de abogados en Polonia especializados en consultoría en ciberseguridad. Esto coloca a los fabricantes de medicamentos en una posición especial en la encrucijada de estas dos áreas.
- No se trata solo de amenazas de interrumpir o suspender los procesos de producción de medicamentos, sino de otras mucho más peligrosas, como por ejemplo, cambios en las recetas. Si no se detecta este tipo de ataque, puede representar una amenaza para la salud y la vida de las personas que toman el medicamento, dice Marcin Jan Wachowski. - La investigación sobre ciberataques muestra que la empresa se entera de que se ha convertido en su objetivo después de aproximadamente 90 días en promedio. Durante este tiempo, un medicamento potencialmente peligroso ya puede llegar a las farmacias, y esto conlleva riesgos y enormes costos.
Una directiva contra los piratas informáticos
La conciencia de las ciberamenazas fue la principal premisa para la creación por parte del Parlamento Europeo de la Directiva de Seguridad de las Redes y de la Información (abreviada como NIS), que fue adoptada en julio de 2016. Recientemente, la Comisión Europea, en un llamamiento especial dirigido a 17 países, entre ellos Polonia, se vio obligada a implementar plenamente esta normativa para garantizar un nivel igual de seguridad para las redes y los sistemas de información en toda la Unión. Como resultado, el parlamento polaco preparó una ley sobre el sistema de seguridad nacional, que entró en vigor el 28 de agosto de 2018. Los proveedores de servicios digitales (navegadores de Internet, nubes, plataformas comerciales), la administración estatal y los llamados operadores de servicios clave, es decir, entidades cuya seguridad de TI es particularmente importante. Se estima que en Polonia hay algo más de 300 entidades, incluidos bancos, empresas de la industria de la energía y el transporte. Casi un tercio serán empresas e instituciones del sector sanitario: fabricantes y mayoristas de medicamentos, grandes instalaciones médicas.
- Todas estas entidades deben cumplir una serie de obligaciones costosas y que requieren mucho tiempo. Aproximadamente el 70 por ciento de ellos son problemas tecnológicos y el 30 por ciento restante son problemas legales, como la preparación de la documentación de seguridad adecuada, el manejo de incidentes, la gestión de riesgos, la capacitación del personal, dice Marcin Jan Wachowski.
La implementación de la ley en Polonia recién está entrando en la fase de implementación: el 9 de noviembre, venció el plazo para indicar los operadores de servicios clave y, en este momento, se están entregando las decisiones administrativas. En el caso de la asistencia sanitaria, los operadores de los servicios clave son indicados por el Ministro de Salud.
- Cada una de las entidades indicadas puede, por supuesto, apelar contra esta decisión, por ejemplo, si creen que han sido clasificadas incorrectamente. Las obligaciones relacionadas con la adaptación a NIS se han dividido en tres etapas que duran varios meses. Después de un año, se completará con una auditoría de seguridad, que se repetirá cada dos años, explica Marcin Jan Wachowski.
Costos altos, pocos especialistas
Adaptarse a las regulaciones relacionadas con la seguridad informática es un desafío financiero y organizativo. Según los expertos, los representantes de las empresas farmacéuticas que operan en Polonia deberían tener los menores problemas con esto. Por lo general, estas son empresas globales de alta tecnología con acceso a herramientas basadas en la nube, por lo que implementar NIS será relativamente simple aquí. Los mayoristas y las cadenas de farmacias, que suelen utilizar administradores de red externos, enfrentan un desafío un poco mayor. Este proceso será sin duda el mayor problema para los hospitales y las instalaciones médicas, principalmente por motivos económicos.
- Recientemente hemos elaborado un estudio para este tipo de entidades para ayudar a obtener financiación para garantizar la ciberseguridad y resultó que no existen fondos para la innovación ni sectoriales que cubran esta área. Entonces la situación es bastante difícil. El estado requiere que los hospitales hagan esto, pero el dinero debe buscarse en su propio presupuesto. Mientras tanto, todos sabemos que la situación financiera del servicio de salud polaco no es color de rosa, dice Marcin Jan Wachowski.
Sin embargo, incluso para las empresas que no temen los costos de varios cientos de miles de zlotys, encontrar especialistas en ciberseguridad puede ser un problema. Los disponibles en Polonia han sido solicitados durante mucho tiempo por las empresas occidentales ricas. El acceso a asesoramiento legal, que será necesario a la hora de crear documentación o centros operativos especiales, donde el CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) capturará y procesará los datos del incidente, es un problema menor.
La falta de documentación y procedimientos legales adaptados a los requisitos de la Ley expone al operador de servicios clave a sanciones, que pueden alcanzar hasta dos millones de zlotys (o hasta el doble de la remuneración de las personas que dirigen dichas organizaciones). Uno de los primeros casos de este tipo, también relacionado con una infracción del RGPD, se informó recientemente en Portugal, donde el Centro Hospitalario Barreiro-Montijo fue multado con 400.000 euros por negligencia al conceder acceso a datos médicos a muchas personas que no lo hicieron. debería tener tal acceso.
