NIS2 to wyższy poziom technologicznego bezpieczeństwa
| Tagi: | Michał Zdunowski, IS Consulting, cyberbezpieczeństwo, haker, atak hakerski, incydent, zagrożenie bezpieczeństwa danych, dane |
Co oznacza w praktyce dla sektora ochrony zdrowia unijna dyrektywa NIS2, ilu podmiotów będą dotyczyć jej przepisy, co zakładają najważniejsze regulacje, jakie wymagania stawiają sektorowi ochrony zdrowia, od kiedy będą obowiązywać? Między innymi na te pytania odpowiada Michał Zdunowski, założyciel firmy IS Consulting, specjalizującej się w tworzeniu spersonalizowanych strategii cyberbezpieczeństwa.
Co oznacza w praktyce dla sektora ochrony zdrowia unijna dyrektywa NIS2? Ilu podmiotów będą dotyczyć jej przepisy?
– Trudno oszacować dokładną liczbę, natomiast projekt zmian ustawy o Krajowym Systemie Cyberbezpieczeństwa zakłada, że cały sektor medyczny zostanie uwzględniony w kategorii podmiotów kluczowych. Określa to rozporządzenie UE 651/2014. Uwzględnia ono organizacje wykraczające poza ramy klasyfikacji jako średnie przedsiębiorstwa, czyli zatrudniające co najmniej 250 osób i notujące roczny obrót powyżej 50 mln euro, oraz te organizacje MŚP, które zostaną na podstawie decyzji wskazane przez organ właściwy ds. cyberbezpieczeństwa.
Co zakładają najważniejsze regulacje NIS2 i jakie wymagania stawiają sektorowi ochrony zdrowia?
– Zgodnie z projektem zmian w ustawie o Krajowym Systemie Cyberbezpieczeństwa wymagana będzie szczegółowa dokumentacja cyberbezpieczeństwa infrastruktury świadczonych usług za pomocą systemów IT. Minimalne wymagania techniczne i funkcjonalne zostaną opublikowane przez Ministerstwo Cyfryzacji, natomiast z tekstu dyrektywy możemy wywnioskować, że będą one równoznaczne z wymaganiami standardu ISO27001.
Od kiedy NIS2 będzie obowiązywać? Od kiedy egzekwowane będą obostrzenia dotyczące niestosowania się do zapisów tej dyrektywy?
– Państwa członkowskie mają czas do października 2024 r., aby dostosować lokalne przepisy. Ministerstwo Cyfryzacji opublikowało projekt zmian w ustawie o krajowym systemie cyberbezpieczeństwa zakładający dwie kategorie podmiotów: kluczowe i ważne. Od momentu wejścia tej regulacji w życie podmioty będą miały 2 miesiące na złożenie wniosku o wpis do wykazu. Kary za niedostosowanie się do przepisów mogą wynosić do 10 mln euro lub 2 proc. rocznych przychodów, jednak nie mogą być mniejsze niż 20 tys. zł.
Mimo coraz lepszych zabezpieczeń liczba ataków na sektor zdrowia znacząco wzrosła w ostatnich latach. Co się do tego przyczyniło i jakie są tego konsekwencje?
– Jednym z głównych powodów była pandemia COVID- 19, która wymusiła wręcz skokowy wzrost cyfryzacji usług medycznych. Konieczność szybkiego wprowadzenia usług IT często wiąże się z pomijaniem aspektu cyberbezpieczeństwa, co powoduje wzrost luk, które hakerzy z łatwością wynajdują i wykorzystują.
Jak zwiększanie świadomości o zagrożeniach spowodowanych nowymi technologiami wpływa na stan cyberbezpieczeństwa?
– W przypadku ataków socjotechnicznych, takich jak phishing czy scamming, człowiek jest często pierwszą linią obrony. Ze względu na upowszechnianie się pracy zdalnej pojawiły się nowe źródła ataków na organizacje – sieci prywatne i publiczne, z których korzystają pracownicy. Poszerzanie wiedzy pracowników o cyberzagrożeniach i metodach obrony jest kluczowe, aby zapewnić wysoki poziom cyberbezpieczeństwa.
Co jest największym problemem dla cyberbezpieczeństwa – brak specjalistów, wysokie koszty wdrażania systemów bezpieczeństwa czy zbyt duże zaufanie do usługodawców IT?
– Oczywiście wysokie koszty i brak specjalistów to istotne czynniki. Uważam jednak, że poważnym błędem popełnianym przez organizacje jest niebranie odpowiedzialności za bezpieczeństwo, kwitowane stwierdzeniem: „korzystamy z zewnętrznych dostawców IT”. Oczywiście przerzucenie ryzyka na zewnętrznych dostawców jest czymś normalnym w dzisiejszych czasach, jednak nie wolno zapominać o współdzieleniu odpowiedzialności za incydenty. Brak kontroli nad tym, czy dostawcy zapewniają nam odpowiednie środki cyberbezpieczeństwa, to powszechny grzech nie tylko sektora medycznego.
Jakie korzyści podmiotom z branży medycznej daje przystąpienie do projektu Asclepius?
– Jest to program dofinansowany przez Unię Europejską, który ma wzmocnić cyberbezpieczeństwo w sektorze. Zapewnia dostęp do najnowszych technologii, analizy podatności infrastruktury i aplikacji na zagrożenia, pomoc wykwalifikowanych specjalistów w ocenie ryzyka, współpracę przy budowaniu odpowiednich procesów zarządzania incydentami oraz szkolenia dla pracowników sektora poszerzające ich wiedzę o cyberbezpieczeństwie i dające możliwość zdobycia renomowanych certyfikatów. Mówiąc krótko, Asclepius to ścieżka do większego cyberbezpieczeństwa.
Rozpoczęły się zapisy na Cybersecurity Bootcamp – dla przedstawicieli sektora medycznego mamy aż do 75 proc. zniżki na certyfikowane szkolenia o wartości 1600 euro. Więcej na stronie internetowej: www.isconsulting.pl/event-details/cybersecurity-bootcamp.
Wywiad opublikowano w Menedżerze Zdrowia 3–4/2024.
Przeczytaj także: „Nic za darmo! Cyberbezpieczeństwo musi kosztować”.
