Biotechnologia.pl
łączymy wszystkie strony biobiznesu
Dlaczego cyberbezpieczeństwo jest ważne dla sektora Life Science?
Po fali zainteresowania RODO ponownie powraca temat bezpieczeństwa informacji, tym razem w nieco innej odsłonie – cyberbezpieczeństwa. Dla wielu z nas pojęcia takie jak „cyberprzestępstwo” czy „wyciek danych” kojarzą się w pierwszej kolejności z atakami hakerów na organy państwa, banki czy sklepy internetowe. Jednak celem ataku mogą być również informacje posiadane przez podmioty z sektora ochrony zdrowia i Life Science. Co więcej, ustawodawcy dostrzegają, że niektórzy przedsiębiorcy lub organizacje z tych branży mogą posiadać dane istotne z punktu widzenia bezpieczeństwa państwa i włączają ich do powstającego właśnie w Polsce krajowego systemu cyberbezpieczeństwa. Dla takich podmiotów będzie to oznaczać dodatkowe obowiązki.

 

W dniu 28 sierpnia 2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, która ma na celu wdrożenie unijnej dyrektywy 2016/1148 (tzw. Dyrektywy NIS). W skład krajowego systemu cyberbezpieczeństwa (KSC) wejdą m.in. instytucje administracji rządowej i operatorzy usług kluczowych. Ci ostatni to prywatne przedsiębiorstwa oraz instytucje publiczne, które odgrywają ważną rolę w zapewnianiu niezakłóconego świadczenia usług związanych z ochroną życia i zdrowia obywateli oraz ich podstawowymi potrzebami (np. dostarczania wody czy prądu). Kolejną kategorią podmiotów uwzględnioną w KSC są dostawcy usług cyfrowych, czyli internetowe platformy handlowe, dostawcy usług przetwarzania w chmurze oraz wyszukiwarki internetowe.

 

Zagrożenia wycieku danych w sektorze Life Science

Dlaczego to wszystko ma znaczenie dla branży Life Science? Przede wszystkim z uwagi na to, że podmioty i przedsiębiorcy z tego sektora dysponują coraz większą ilością danych. Do oczywistych kategorii należą dane dotyczące leczenia, a także pochodzące ze sprzedaży, opracowywania i testowania produktów farmaceutycznych, w tym dane z badań klinicznych. Rozwój leków biologicznych przyniósł ze sobą również cenne know-how w zakresie samej produkcji. Dodajmy do tego wrażliwe informacje handlowe. Jednocześnie sektor jako całość przechodzi na korzystanie z platform cyfrowych i digitalizacji. To połączenie sprawia, że firmy i jednostki medyczne mogą się znaleźć na celowniku hakerów. Przykładem cyberataku, jaki może nastąpić, jest atak przy użyciu oprogramowania typu ransomware. Atakujący blokuje dane, powoduje paraliż całego systemu, czyniąc go niezdatnym do użytku. Użytkownik systemu zostaje zmuszony do zapłaty okupu, w zamian za przywrócenie kontroli nad systemem i dostępem do danych. Jednak udany atak cyfrowy może wiązać się nie tylko z wyciekiem danych czy ich zablokowaniem, ale także z ich manipulacją lub nawet przejęciem kontroli nad urządzeniami wykorzystywanymi w procesach technologicznych.

 

Ochrona zdrowia jako usługa kluczowa

Z tego powodu część branży ochrony zdrowia może zostać uznana za operatorów usług kluczowych. Podmiotami z zakresu ochrony zdrowia, wobec których mogą być wydane decyzje o uznaniu za operatora usług kluczowych, są m.in.: podmioty lecznicze (podmioty realizujące świadczenia szpitalne), Narodowy Fundusz Zdrowia, hurtownie farmaceutyczne, importerzy, dystrybutorzy oraz wytwórcy substancji czynnych i produktów leczniczych, jak również apteki. Jednak nie każdy taki podmiot otrzyma decyzję. Decyzja może być bowiem wydana, jeśli spełnione są trzy warunki: przedsiębiorca z sektora ochrony zdrowia świadczy usługę kluczową, świadczenie tej usługi zależy od systemów informacyjnych, gdzie przetwarzane są dane w postaci elektronicznej, oraz stwierdzenie, że ewentualny incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego przedsiębiorcę. Żeby ustalić, czy przedsiębiorca z danej kategorii świadczy usługę kluczową oraz co należy rozumieć przez istotność skutku incydentu, trzeba wejść w szczegóły wydanego w dniu 11 września 2018 r. rozporządzenia Rady Ministrów. Wskazano tam usługi kluczowe oraz tzw. progi istotności, czyli progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach. I tak w przypadku np. hurtowni farmaceutycznych próg istotności oparty jest na kryterium liczby zezwoleń na prowadzenie hurtowni, a w przypadku wytwórców produktów leczniczych i substancji czynnych – w oparciu o kwotę refundacji. Podmioty spełniające wskazane w ustawie i rozporządzeniu kryteria otrzymają decyzję o uznaniu za operatora usług kluczowych wydaną przez ministra zdrowia.

 

Obowiązki operatorów usług kluczowych

Przedsiębiorcy świadczący usługi kluczowe powinni przede wszystkim dbać o bezpieczeństwo informacji i ciągłość działania. W tym celu każdy przedsiębiorca uznany za dostarczającego usługi kluczowe będzie musiał wdrożyć własny system zarządzania bezpieczeństwem oparty na środkach technicznych i organizacyjnych, a także zobowiązany będzie do opracowania stosownej dokumentacji dotyczącej swych systemów. Jeśli jednak zabezpieczenia okażą się niewystarczające i dojdzie do incydentu poważnego – zdarzenia, które może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usług kluczowych (takim zdarzeniem może być np. atak hakerski, poważna awaria informatyczna, zagrożenie utraty danych), operator będzie zobowiązany do zgłaszania kłopotów odpowiednim organom państwowym maksymalnie w ciągu 24 h od wykrycia zagrożenia. Inne zadania operatora to m.in.: obowiązki informacyjne, wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z przedstawicielami krajowego systemu cyberbezpieczeństwa, przeprowadzanie co najmniej raz na 2 lata audytu bezpieczeństwa, systematycznego szacowania ryzyka i odpowiedniego przeszkolenia personelu. Niezastosowanie się do przepisów ustawy może mieć konsekwencje finansowe. Katalog kar przewiduje nałożenie administracyjnej kary pieniężnej w wysokości od 15 000 zł do nawet 1 000 000 zł w zależności od rodzaju i wagi naruszenia przepisów. Karę taką będzie nakładać w drodze decyzji odpowiedni organ nadzoru (w przypadku ochrony zdrowia – minister zdrowia).

 

Cyberbezpieczeństwo czynnikiem rozwoju innowacji

Zgodnie z Dyrektywą NIS, państwa członkowskie UE mają czas do 9 listopada 2018 r. na zidentyfikowanie podmiotów, które operują na ich terytorium jako operatorzy usług kluczowych. Już teraz pracownicy szpitali oraz firm związanych z sektorem biotechnologicznym, farmaceutycznym i kosmetycznym powinni zapoznać się z przepisami ustawy oraz rozporządzeniem wykonawczym. Organizacje ignorujące cyberrzeczywistość i związane z nią zagrożenia narażają swoją reputację, finanse, innowacje, a nawet stabilność biznesową na ogromne ryzyko.

 

 

Magdalena Kogut-Czarnkowska
Consuel, Baker McKenzie

 

 

------------------------------------

 

 

 

Artykuł pochodzi z najnowszego wydania kwartalnika Biotechnologia.pl nr 4/2018.
Cały kwartalnik dostępny jest TUTAJ.

 

 

 

 

 

 

 

 

KOMENTARZE
news

<Lipiec 2024>

pnwtśrczptsbnd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1
2
3
4
Newsletter