Les grands fabricants et grossistes de médicaments, ainsi que les plus grands hôpitaux et établissements médicaux de Pologne, seront bientôt obligés de se conformer aux exigences de la directive NIS - la première directive sur la cybersécurité de l'histoire de l'UE. La procédure coûteuse sera un défi de taille, en particulier pour les hôpitaux polonais.
Selon les experts en cybersécurité, les entreprises peuvent être divisées entre celles qui ont été attaquées et celles qui ne le savent pas encore. Les recherches montrent que toutes les entreprises ont eu ce type d'incident et Internet est un espace dans lequel les systèmes de sécurité sont constamment attaqués.
- Les prévisions pour un avenir proche dans ce domaine indiquent que si les attaques intenses jusqu'à présent visaient principalement les soi-disant l'infrastructure critique, c'est-à-dire les entités liées àles entreprises et les institutions du domaine des soins de santé et des lignes de production deviendront les prochaines cibles - a déclaré l'avocat Marcin Jan Wachowski, expert de l'un des premiers cabinets d'avocats en Pologne spécialisé dans le conseil en cybersécurité. Cela place les fabricants de médicaments dans une position particulière au carrefour de ces deux domaines.
- Il ne s'agit pas seulement de menaces de perturbation ou de suspension des processus de production de médicaments, mais aussi de menaces beaucoup plus dangereuses, comme par exemple des changements dans les recettes. Si ce type d'attaque n'est pas détecté, il peut constituer une menace pour la santé et la vie des personnes qui prennent le médicament, explique Marcin Jan Wachowski. - Les recherches sur les cyberattaques montrent que l'entreprise apprend qu'elle est devenue sa cible après environ 90 jours en moyenne. Pendant ce temps, un médicament potentiellement dangereux peut déjà trouver son chemin vers les pharmacies, ce qui entraîne des risques et des coûts énormes.
Une directive contre les hackers
La sensibilisation aux cybermenaces a été la prémisse principale de la création par le Parlement européen de la directive sur la sécurité des réseaux et de l'information (en abrégé NIS), qui a été adoptée en juillet 2016. Récemment, la Commission européenne, dans un appel spécial adressé à 17 pays, dont la Pologne, a obligé la pleine mise en œuvre de ces règlements à garantir un niveau égal de sécurité pour les réseaux et les systèmes d'information dans toute l'Union. En conséquence, le parlement polonais a préparé une loi sur le système de sécurité nationale, qui est entrée en vigueur le 28 août 2018. Fournisseurs de services numériques (navigateurs Internet, nuages, plates-formes commerciales), administration de l'État et les soi-disant les opérateurs de services clés, c'est-à-dire les entités dont la sécurité informatique est particulièrement importante. On estime qu'en Pologne, il s'agit d'un peu plus de 300 entités - y compris des banques, des entreprises du secteur de l'énergie et des transports. Près d'un tiers seront des entreprises et des institutions du secteur de la santé: fabricants et grossistes de médicaments, grandes installations médicales.
- Toutes ces entités doivent remplir un certain nombre d'obligations coûteuses et chronophages. Environ 70% d'entre eux sont des problèmes technologiques, et les 30% restants sont des problèmes juridiques, tels que la préparation de la documentation de sécurité appropriée, la gestion des incidents, la gestion des risques, la formation du personnel - explique Marcin Jan Wachowski.
La mise en œuvre de la loi en Pologne entre à peine dans sa phase de mise en œuvre - le 9 novembre, la date limite pour indiquer les opérateurs des services clés a expiré, et au moment où les décisions administratives sont en cours de délivrance. Dans le cas des soins de santé, les opérateurs des services clés sont désignés par le ministre de la Santé.
- Chacune des entités indiquées peut bien entendu faire appel de cette décision, par exemple si elle estime avoir été classée incorrectement. Les obligations liées à l'adaptation aux NIS ont été divisées en trois étapes d'une durée de plusieurs mois. Au bout d'un an, il sera complété par un audit de sécurité, qui sera répété tous les deux ans - explique Marcin Jan Wachowski.
Coûts élevés, peu de spécialistes
L'adaptation aux réglementations liées à la sécurité informatique est un défi financier et organisationnel. Selon les experts, les représentants des sociétés pharmaceutiques opérant en Pologne devraient avoir le moins de problèmes avec cela. Il s'agit généralement d'entreprises mondiales de haute technologie ayant accès à des outils basés sur le cloud, la mise en œuvre de NIS sera donc relativement simple ici. Les grossistes et les chaînes de pharmacies, qui utilisent généralement des administrateurs réseau externes, sont confrontés à un défi légèrement plus grand. Ce processus sera certainement le plus gros problème pour les hôpitaux et les établissements médicaux, principalement pour des raisons financières.
- Nous avons récemment préparé une étude pour ce type d'entités pour aider à obtenir des financements pour assurer la cybersécurité et il s'est avéré qu'il n'y avait pas de fonds d'innovation ou sectoriels qui couvriraient ce domaine. La situation est donc assez difficile. L'État exige des hôpitaux qu'ils le fassent, mais l'argent doit se trouver dans leur propre budget. Pendant ce temps, nous savons tous que la situation financière du service de santé polonais n'est pas rose, déclare Marcin Jan Wachowski
Cependant, même pour les entreprises qui n'ont pas peur des coûts de plusieurs centaines de milliers de zlotys, trouver des spécialistes de la cybersécurité peut être un problème. Ceux disponibles en Pologne ont longtemps été demandés par les riches entreprises occidentales. L'accès à des conseils juridiques, qui seront nécessaires lors de la création de documentation ou de centres opérationnels spéciaux, où le CSIRT (Computer Security Incident Response Team) capturera et traitera les données d'incident, est moins problématique.
L'absence de documentation et de procédures juridiques adaptées aux exigences de la loi expose l'opérateur des services clés à des pénalités pouvant atteindre jusqu'à deux millions de zlotys (ou jusqu'à deux fois la rémunération des personnes gérant de telles organisations). L'un des premiers cas de ce type, également lié à une violation du RGPD, a été récemment signalé au Portugal, où le centre hospitalier de Barreiro-Montijo a été condamné à une amende de 400000 EUR pour négligence en accordant l'accès aux données médicales à de nombreuses personnes qui ne l'ont pas fait. devrait avoir un tel accès.
