Cyberbezpieczeństwo: co 4. firma nie wie, że dyrektywa NIS2 ją dotyczy

Przeczytaj także: Czy NIS2 to potrzebne regulacje czy biurokracja?

Dyrektywa NIS2 wprowadzi również dotkliwe kary w wysokości nawet 10 mln euro lub 2 proc. światowych obrotów dla podmiotów kluczowych, co sprawia, że powinny się nią zainteresować także zarządy objętych przepisami przedsiębiorstw. Jak podkreślają eksperci ds. cyberbezpieczeństwa, grupa ta po raz pierwszy będzie osobiście odpowiedzialna za awarie bezpieczeństwa cybernetycznego.

Zapoznanie się i zrozumienie zakresu wymagań nowej dyrektywy NIS2 jest absolutnie niezbędne dla kierownictwa firm. Przecież to oni poniosą odpowiedzialność w przypadku udowodnionych uchybień od października 2024 – podkreśla Wojciech Głażewski, dyrektor z firmy Check Point Software Technologies w Polsce.

Przed Ministrem Cyfryzacji stoi zatem zadanie pilnego przygotowania wytycznych w zakresie wprowadzenia unijnych przepisów, aby firmy i odpowiedzialne prawnie i finansowo zarządy mogły już teraz zacząć dostosowywać się do zmian. Tymczasem – jak wynika z Raportu ‘W oczekiwaniu na NIS2: stan przygotowań’ - CSO Council, EY Polska, Trend Micro – 25 proc. firm w Polsce nie ma nawet świadomości, że dyrektywa jej dotyczy, a ponad 30 proc. organizacji nie postrzega nowych regulacji jako priorytetu…

Tymczasem polskie spółki, których dotyczy dyrektywa NIS2, będą miały cztery lata (do końca 2028r), na wdrożenie nowych wymogów i poddanie się pierwszemu audytowi. Nowe regulacje zaczną jednak obowiązywać wcześniej.

 Mając na uwadze lawinowo rosnąca ilość ataków zarówno na infrastrukturę krytyczną jak i tysiące małych firm, kluczem będzie zastosowanie systemów, nie tylko detekcji incydentów, która jest bardzo ważna i potrzebna do ich analizy, ale również prewencji i szybkiego reagowania w postaci kompleksowych rozwiązań ochrony bezpieczeństwa, umożliwiających analizę, monitoring, raportowanie i bieżącą obsługę incydentów – mówi Wojciech Głażewski z firmy Check Point Software Technologies.

 
Eksperci firmy Check Point wskazują również na najbardziej wrażliwe sektory gospodarki, które mogą być narażone na ataki cybernetyczne a podlegają nowym obowiązkom NIS2. Podkreślają jednocześnie, że blisko 38 proc. Polaków obawia się wycieku danych osobowych z baz instytucji publicznych i firm prywatnych. *

Szpitale muszą się zabezpieczać

Jednym z najbardziej zagrożonych sektorów cyberatakami jest służba zdrowia. Jak wynika z najnowszych danych firmy Check Point Research, dane pacjentów polskich szpitali i placówek medycznych stają się coraz bardziej pożądanym celem dla przestępców, którzy żądają okupu lub sprzedają informacje na czarnym rynku. W ostatnim roku liczba ataków na szpitale i instytucje medyczne wzrosła o kilkadziesiąt procent. Co tydzień hakerzy atakują sektor ochrony zdrowia 1579 razy – wynika z danych firmy Check Point.

Hakerzy coraz częściej uderzają placówki medyczne i poszukują nowych form nacisku na swoje ofiary, aby zmusić je do zapłacenia okupu. Nie tylko kradną dane, nie cofają się nawet przed blokowaniem urządzeń ratujących życie. Poziom tych zagrożeń stale rośnie, a konsekwencje mogą być bardzo poważne. Ataki mogą nie zakłócić działalność opieki zdrowotnej, spowodować straty finansowe czy doprowadzić do utraty życia w przypadku uniemożliwienia świadczenia pomocy – mówi Wojciech Głażewski, dyrektor zarządzający firmy Check Point Software w Polsce.

Jak wynika z raportu ENISA hakerzy najczęściej atakują europejski sektor ochrony zdrowia za pomocą ransomware (54 proc.). Kolejnym rodzajem są cyberataki związane z danymi (46 proc.), włamania (13 proc.) czy DDos (9 proc.). W Polsce jednym z najbardziej znanych przypadków wycieku danych pacjentów w wyniku zastosowania ransomware był atak na znaną sieć laboratoriów w listopadzie 2023 r.

Według danych KRD, w ciągu ostatnich sześciu miesięcy w Polsce miały miejsce dwa znaczące włamania, podczas których wyciekły informacje osobowe około 400 tysięcy Polaków. A czarnorynkowa cena wykradzionych danych medycznych dochodzi już do 1.000 USD za jednego pacjenta (Fierce Healthcare Report). Tak więc sektor medyczny, obok wielu innych firm strategicznego znaczenia, staje (w związku z dyrektywą NIS 2) w obliczu rosnących kosztów informatycznych i braku wykwalifikowanego personelu IT.

Edukację, infrastrukturę krytyczna i wojskową czekają wyzwania

Dyrektywa NIS2 ma zabezpieczyć czułe punkty UE na wypadek zagrożeń porządku publicznego takich jak: ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.

A zagrożenia dla wielu sektorów rosną w Polsce i na świecie w ekspresowym tempie. Od początku br. NASK wykrył ponad 30 tys. cyberataków, których celem było uderzenie w naszą infrastrukturę krytyczną, kradzież informacji i działania fraudowe - mówił wiceszef cyfryzacji Paweł Olszewski. Z najnowszych danych firmy Check Point Research wynika, że najczęściej atakowanym sektorem na świecie jest tzw. edukacji (2.314 razy tygodniowo), instytucji rządowych i wojskowych (1.633) i sektor medyczny (1.579).

Źródła:
Badanie "Dane osobowe – czy wiemy, jak je chronić?" (IV 2023) przeprowadzone przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych

EU NIS2 Directive – New law for SME enterprises za: https://eur-lex.europa.eu/eli/dir/2022/2555/oj