Grandes fabricantes e atacadistas de medicamentos, mas também os maiores hospitais e instalações médicas da Polônia, em breve serão obrigados a cumprir os requisitos da Diretiva NIS - a primeira diretiva de segurança cibernética da história da UE. O procedimento caro será um grande desafio, especialmente para os hospitais poloneses.
De acordo com especialistas em segurança cibernética, as empresas podem ser divididas entre as que foram atacadas e as que ainda não sabem. Pesquisas mostram que todas as empresas já passaram por esse tipo de incidente, e a Internet é um espaço em que os sistemas de segurança estão sob constante ataque.
- As previsões para o futuro próximo nesta área dizem que embora os intensos ataques até agora tenham sido direcionados principalmente aos chamados infraestrutura crítica, ou seja, entidades relacionadas com, por exemplo,empresas e instituições na área de saúde e linhas de produção se tornarão os próximos alvos - diz o defensor Marcin Jan Wachowski, um especialista de um dos primeiros escritórios de advocacia na Polônia especializado em consultoria de segurança cibernética. Isso coloca os fabricantes de medicamentos em uma posição especial na encruzilhada dessas duas áreas.
- Não se trata apenas de ameaças de interromper ou suspender os processos de produção de medicamentos, mas também de ameaças muito mais perigosas, como mudanças de receitas. Se esse tipo de ataque não for detectado, pode representar uma ameaça à saúde e à vida das pessoas que tomam a droga, afirma Marcin Jan Wachowski. - Pesquisas sobre ataques cibernéticos mostram que a empresa fica sabendo que se tornou seu alvo após cerca de 90 dias em média. Durante esse tempo, um medicamento potencialmente perigoso pode já chegar às farmácias, o que acarreta riscos e custos elevados.
Uma diretiva contra hackers
A sensibilização para as ameaças cibernéticas foi a principal premissa da criação, pelo Parlamento Europeu, da Diretiva de Segurança das Redes e da Informação (abreviada como NIS), que foi adotada em julho de 2016. Recentemente, num apelo especial dirigido a 17 países, incluindo a Polónia, a Comissão Europeia obrigou a implementar integralmente estes regulamentos para Garantir um nível igual de segurança para as redes e os sistemas de informação em toda a União. Como resultado, o parlamento polonês preparou uma lei sobre o sistema de segurança nacional, que entrou em vigor em 28 de agosto de 2018. Provedores de serviços digitais (navegadores de internet, nuvens, plataformas de negociação), administração do Estado e os chamados operadores de serviços essenciais, ou seja, entidades cuja segurança de TI é particularmente importante. Estima-se que na Polónia sejam pouco mais de 300 entidades - incluindo bancos, empresas da indústria de energia e transportes. Quase um terço serão empresas e instituições do setor de saúde: fabricantes e atacadistas de medicamentos, grandes instalações médicas.
- Todas essas entidades têm que cumprir uma série de obrigações caras e demoradas. Cerca de 70 por cento deles são questões tecnológicas, e os 30 por cento restantes são questões legais, como a preparação da documentação de segurança apropriada, tratamento de incidentes, gestão de riscos, treinamento de pessoal - diz Marcin Jan Wachowski.
A implementação da lei na Polónia está apenas a entrar na fase de implementação - no dia 9 de novembro, expirou o prazo para indicação dos operadores dos serviços essenciais e neste momento estão a ser entregues decisões administrativas. No caso dos cuidados de saúde, os operadores dos serviços-chave são indicados pelo Ministro da Saúde.
- Cada uma das entidades indicadas pode, é claro, apelar desta decisão, por exemplo, se acreditarem que foram classificadas incorretamente. As obrigações relacionadas à adaptação ao NIS foram divididas em três etapas que duraram vários meses. Depois de um ano, será realizada uma auditoria de segurança, que será repetida a cada dois anos - explica Marcin Jan Wachowski.
Custos altos, poucos especialistas
A adaptação às regulamentações relacionadas à segurança de TI é um desafio financeiro e organizacional. De acordo com especialistas, os representantes de empresas farmacêuticas que operam na Polônia devem ter menos problemas com isso. Geralmente são empresas globais de alta tecnologia com acesso a ferramentas baseadas em nuvem, portanto, a implementação do NIS será relativamente simples aqui. Atacadistas e redes de farmácias, que geralmente usam administradores de rede externos, enfrentam um desafio um pouco maior. Esse processo certamente será o maior problema para hospitais e instalações médicas, principalmente por questões financeiras.
- Preparamos recentemente um estudo para este tipo de entidades para ajudar na obtenção de financiamento para garantir a cibersegurança e verificou-se que não existem fundos de inovação ou setoriais que abranjam esta área. Portanto, a situação é bastante difícil. O estado exige que os hospitais façam isso, mas o dinheiro deve ser encontrado em seu próprio orçamento. Enquanto isso, todos nós sabemos que a situação financeira do serviço de saúde polonês não é otimista, diz Marcin Jan Wachowski
No entanto, mesmo para empresas que não temem custos de várias centenas de milhares de zlotys, encontrar especialistas em segurança cibernética pode ser um problema. Os disponíveis na Polônia há muito são procurados por ricas empresas ocidentais. O acesso a aconselhamento jurídico, que será necessário para a criação de documentação ou centros operacionais especiais, onde CSIRT (Computer Security Incident Response Team) irá capturar e processar dados de incidentes, é um problema menor.
A falta de documentação e procedimentos legais adequados às exigências da Lei expõe a operadora de serviços essenciais a penalidades, que podem chegar a dois milhões de zlotys (ou até o dobro da remuneração dos gestores dessas organizações). Um dos primeiros casos, também relacionado com uma violação do RGPD, foi recentemente reportado em Portugal, onde o Centro Hospitalar do Barreiro-Montijo foi multado em 400.000 euros por negligência na concessão de acesso a dados médicos a muitas pessoas que não o fizeram deve ter esse acesso.
