Ασφάλεια Δικτύων και Πληροφοριών: Μήπως δεν αποτελεί πλέον Ουτοπία?

/ / Legal x-rays

Η αυξανόμενη χρήση του Διαδικτύου στο χώρο της υγείας συνεπάγεται ολοένα και μεγαλύτερους κινδύνους.  Ιδίως, στην Αμερική οι δράστες των παραβιάσεων έχουν εκδηλώσει ένα ανησυχητικά αυξανόμενο ενδιαφέρον για το χώρο της υγείας. Σημειώνεται ότι εντός του 2014 ηλεκτρονικοί φάκελοι περισσότερων από 40 εκατομμύρια Αμερικανούς πολίτες παραβιάσθηκαν με συνέπεια την πρόκληση ζημιών περίπου 12 δις δολαρίων (με βάση τους υπολογισμούς του Ponemon Institute).  Περιστατικά όπως η διαδικτυακή επίθεση στο Νοσοκομείο Παίδων της Βοστόνης (Απρίλιος 2014) και η παραβίαση 4.5 εκατομμυρίων ηλεκτρονικών φακέλων που βρίσκονταν στην κατοχή των “Community Health Systems” – της δεύτερης μεγαλύτερης αλυσίδας νοσοκομείων στη χώρα- (Αύγουστος 2014) απεικονίζουν εναργώς την ένταση του εγκληματικού φαινομένου.  Στην άλλη πλευρά του Ατλαντικού,  σύμφωνα με την έκθεση του Γραφείου για την Ασφάλεια των Δικτύων και τη Διασφάλιση των Πληροφοριών του Ηνωμένου Βασιλείου, υπολογίζεται ότι το κόστος από την κλοπή πνευματικής ιδιοκτησίας μόνο για τον φαρμακευτικό και βιοτεχνολογικό κλάδο ανέρχεται σε 1.8 δις λίρες ετησίως. Για το λόγο αυτό, η λήψη μέτρων για την ασφάλεια των δικτύων είναι πρωταρχικής σημασίας για τις επιχειρήσεις που στηρίζονται σε ευρεσιτεχνίες, όπως είναι οι φαρμακευτικές και οι εταιρείες βιοτεχνολογίας που προβαίνουν σε μεγάλες επενδύσεις στην καινοτομία ώστε να αποκτήσουν προβάδισμα στον άκρως ανταγωνιστικό αυτό κλάδο της παγκόσμιας πλέον οικονομίας.

 

Στις 7 Δεκεμβρίου 2015,  το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της Ε.Ε. υιοθέτησαν την πρόταση της Επιτροπής για τη νέα Οδηγία σχετικά με την Ασφάλεια των Δικτύων και των Πληροφοριών (NIS), την πρώτη νομοθεσία για τη διαδικτυακή ασφάλεια σε επίπεδο Ε.Ε.

Αναλυτικότερα, η Οδηγία επιβάλει υποχρεώσεις τήρησης Προδιαγραφών Ασφαλείας των πληροφοριακών συστημάτων και υποβολής αναφορών στις αρμόδιες εθνικές αρχές σε περίπτωση απειλών στους παρόχους θεμελιωδών υπηρεσιών όπως οι μεταφορές, η ενέργεια, η υγεία και τα χρηματοοικονομικά με σκοπό οι πάροχοι να διασφαλίσουν ψηφιακές υποδομές ικανές να αντέξουν διαδικτυακές επιθέσεις.

Οι πάροχοι θεμελιωδών υπηρεσιών (operators of essential services), μπορεί να ανήκουν στο δημόσιο ή στον ιδιωτικό τομέα. Ωστόσο το ποιοι πάροχοι συγκεκριμένα θα επιβαρυνθούν με τις υποχρεώσεις της νέας Οδηγίας θα καθοριστούν από την εθνική νομοθεσία κάθε κράτους μέλους με βάση τα εξής κριτήρια:

  • Εάν ο οργανισμός παρέχει κάποια υπηρεσία που είναι θεμελιώδης για τη εξακολούθηση κρίσιμων οικονομικών και κοινωνικών δραστηριοτήτων,
  • Εάν η παροχή των υπηρεσιών εξαρτάται από λειτουργία διαδικτυακών και πληροφοριακών συστημάτων,
  • Εάν ένα συμβάν που επηρεάζει την λειτουργία των διαδικτυακών και πληροφοριακών συστημάτων οδηγεί σε διακοπή της παροχής των υπηρεσιών αυτών.

Σύμφωνα με το κείμενο της Οδηγίας NIS, οι πάροχοι Ιατρικής Περίθαλψης [1](με βάση τον ορισμό στο άρθρο 3 της προγενέστερης Οδηγίας 2011/24/EE «περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης»)  κατατάσσονται μεταξύ των παρόχων θεμελιωδών υπηρεσιών. Ενδεικτικά,  μπορούν να αναφερθούν τα νοσοκομεία, οι κλινικές καθώς και οι ιδιωτικές επιχειρήσεις που δραστηριοποιούνται στο χώρο της υγείας.

Για να καθοριστεί το εφαρμοστέο για κάθε πάροχο δίκαιο,  κρίσιμη  είναι η εγκατάσταση αυτού, δηλαδή το μέρος της πραγματικής άσκησης της δραστηριότητάς του με σταθερά μέσα (υποκαταστήματα και θυγατρικές επίσης περιλαμβάνονται).

Επίσης, η συγκεκριμένη νομοθεσία θα επιβάλει την εφαρμογή συστήματος τακτικής υποβολής εκθέσεων, το οποίο θα καθοριστεί από το εκάστοτε κράτος μέλος. Επίσης, ο πάροχος θα πρέπει να ειδοποιεί χωρίς αδικαιολόγητη καθυστέρηση την αρμόδια αρχή ή την ομάδα ασφαλείας για τα περιστατικά παραβίασης που συνεπάγονται διακοπή της παροχής των αντίστοιχων υπηρεσιών.

Για τον κλάδο της υγείας κρίσιμος για τη σοβαρότητα του περιστατικού και την αναγκαιότητα υποβολής της αναφοράς φαίνεται ότι θα  είναι ο αριθμός των ασθενών υπό την επίβλεψη του φορέα. Επίσης, προβλέπεται ότι οι ιδρυόμενες αρχές θα έχουν την εξουσία να ελέγχουν τη συμμόρφωση του παρόχου με τις προδιαγραφές ασφαλείας και να απαιτούν πληροφορίες αναγκαίες για την ολοκλήρωση της αξιολόγησης. Τέλος, τα κράτη μέλη θα έχουν προθεσμία 21 μηνών από τη δημοσίευση της Οδηγίας στην Εφημερίδα της Ε.Ε. για να την ενσωματώσουν στις εθνικές έννομες τάξεις τους και να τη θέσουν σε ισχύ.

 

Σχόλιο του γραφείου μας:

Πιστεύοντας στην εξέλιξη και τα πλεονεκτήματα της χρήσης του Διαδικτύου στο χώρο της υγείας θεωρούμε ότι πράγματι η υιοθέτηση του πρώτου νομοθετικού κειμένου που επιβάλει μέτρα ασφαλείας και συστήματα παρακολούθησης τήρησης των μέτρων αυτών θα συμβάλλει στην εμπιστοσύνη των εμπλεκόμενων φορέων στο διαδίκτυο και στη διάδοση της ψηφιακής υγείας και χαιρετίζουμε την προσπάθεια του Ευρωπαίου νομοθέτη. Καθώς ωστόσο το κείμενο που μένει να εγκριθεί στην τελική του μορφή από το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο θα έχει τη μορφή Οδηγίας και άρα μπορεί να ενσωματωθεί με διαφορετικό τρόπο από τα κράτη μέλη αναμένουμε να δούμε πώς τα κράτη μέλη θα ενσωματώσουν την Οδηγία μα κυρίως πώς θα εδραιώσουν τη μεταξύ τους συνεργασία για να αντιμετωπίσουν περιστατικά παραβιάσεων της ασφάλειας των δικτύων.

 

 

[1] «Πάροχος υγειονομικής περίθαλψης»: κάθε φυσικό ή νομικό πρόσωπο ή άλλος φορέας που παρέχει νόμιμα υγειονομική περίθαλψη στο έδαφος κράτους μέλους. «Υγειονομική περίθαλψη»: υπηρεσίες υγείας που παρέχονται σε ασθενείς από επαγγελματίες της υγείας προκειμένου να εκτιμη­θεί, να διατηρηθεί ή να αποκατασταθεί η κατάσταση της υγείας τους, συμπεριλαμβανομένης της συνταγογράφησης, της χορή­γησης και της προμήθειας φαρμάκων και ιατροτεχνολογικών βοηθημάτων