Cyberbezpieczeństwo wyzwaniem dla sektora life sciences – wyniki raportu KPMG International „Sektor life sciences – innowacje i cyberbezpieczeństwo to nierozłączne elementy”

Pomimo rosnącego zagrożenia wystąpieniem cyberataku, 57% firm z sektora life sciences jest zdania, że bezpieczeństwo przetwarzanych przez nie informacji wzrosło w ciągu roku, a 43% organizacji nie zwiększa budżetów na zapewnienie cyberbezpieczeństwa. 40% firm dokonujących fuzji i przejęć zlekceważyło zidentyfikowane cyberryzka i nie podjęło żadnych działań. Przeważnie aktywności związane z zapewnieniem cyberbezpieczeństwa mają charakter reaktywny, a nie prewencyjny. Większość respondentów uważa, że cyberprzestępcy najbardziej interesują się danymi finansowymi (82% wskazań) lub wypracowaną własnością intelektualną (79%) firm z sektora life sciences.

 

Innowacje w technologiach medycznych – szansa i zagrożenie

Nowoczesne technologie oferują firmom farmaceutycznym możliwość korzystania z innowacji cyfrowych. Dzięki temu organizacje z sektora life sciences w coraz większym stopniu przetwarzają dane w chmurze, wdrażają rozwiązania sztucznej inteligencji czy tworzą innowacyjne urządzenia medyczne. Oprócz niewątpliwych korzyści płynących z rozwoju nowoczesnych technologii, wykorzystanie tych rozwiązań implikuje konieczność zapewnienia cyberbezpieczeństwa oraz ochrony prywatności. Firmy farmaceutyczne przetwarzają wrażliwe informacje dotyczące zdrowia pacjentów oraz dane stanowiące cenną własność intelektualną, którymi aktywnie dzielą się z partnerami biznesowymi. Jak pokazuje badanie firm KPMG i Forbes Insights organizacje z sektora life sciences są przekonane, że dokonują niezbędnych inwestycji w programy cyberbezpieczeństwa. Tymczasem aż 43% respondentów badania nie zwiększyło budżetów na cyberbezpieczeństwo mimo posiadanej wiedzy o naruszeniach bezpieczeństwa, które były szeroko komentowane w ostatnim czasie. Wynik ten wskazuje, że część firm zdaje się nie dostrzegać niebezpieczeństwa działań cyberprzestępców, narażając swoją reputację, finanse oraz stabilność biznesową.

 

Ponad połowa firm z sektora life sciences uważa, że profil bezpieczeństwa danych w organizacji rośnie

Firmy z sektora life sciences mają wiele strategicznych celów, które realizują dzięki nieograniczonemu wykorzystaniu big data. Jako przykłady można wymienić obniżanie cen leków, uzasadnianie efektów badań, przekazywanie osobom z grup ryzyka materiałów edukacyjnych na temat nowych leków
i zarządzania własnym zdrowiem, przechodzenie od leczenia do przewidywania, profilaktyki
i rzeczywistego wyleczenia. Dokonywanie postępów w tego typu przedsięwzięciach nie było możliwe bez analizy danych, ale także ich wymiany – z innymi krajami czy konkurencją, za pośrednictwem rozwiązań chmurowych, niekiedy w czasie rzeczywistym.

 

„Pomimo istniejącej świadomości obecnych cyberzagrożeń ze strony obcych państw, grup hakerskich, haktywistów czy własnych pracowników, aż 57% organizacji jest zdania, że bezpieczeństwo przetwarzanych przez nie informacji wzrosło względem poprzedniego roku. Powstaje pytanie, czy jest to zasadny optymizm, biorąc pod uwagę, że prawie połowa uczestników badania przyznała, że nie zwiększyła wydatków w zakresie cyberbezpieczeństwa.” – mówi Michał Kurek, partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

 

Fuzje i przejęcia sprzyjają cyberatakom i wyciekom informacji

Ostatnie lata przyniosły wiele konsolidacji na rynku farmaceutycznym. Było to związane
z koniecznością skoncentrowania się na konkretnych specjalizacjach medycznych, odpowiedzi na presję cenową konkurencji lub dopasowania oferty do potrzeb pacjentów. Tylko w 2016 r. 40% firm z sektora biotechnologicznego lub farmaceutycznego i 38% producentów urządzeń medycznych dokonało fuzji lub przejęcia. 61% wspomnianych fuzji wymagało od firm dokonania również konsolidacji technologicznej. W trakcie procesu fuzji 50% firm zidentyfikowało cyberryzyko w postaci niedostatecznej kontroli dostępu. Nieco mniej firm (46%) wskazało na wzajemne niedopasowanie polityki cyberbezpieczeństwa, procedur i narzędzi kontroli. W ponad co trzeciej firmie wykryto niezdolność do wykrywania cyberincydentów.

 

„Aż połowa respondentów badania wskazała, że w ramach fuzji i przejęć pojawiły się problemy z zapewnieniem skutecznej kontroli dostępu do przetwarzanych danych. Kwestia ta nabiera szczególnego znaczenia zwłaszcza wobec obowiązującego od maja 2018 ogólnego rozporządzenia Unii Europejskiej w zakresie ochrony danych osobowych.” – mówi Krzysztof Radziwon, partner w dziale usług doradczych, szef zespołu ds. zarządzania ryzykiem w KPMG w Polsce.

 

Bezpieczeństwo urządzeń medycznych w dobie rosnącej cyberprzestępczości

Bezprzewodowe urządzenia medyczne z czujnikami są uważane za jedną z najważniejszych innowacji w opiece nad pacjentem. Umożliwiają one płynną współpracę z chorym, skuteczną komunikację, terminową diagnozę i wczesną interwencję. Należy jednak pamiętać, że takie urządzenia mogą potencjalnie być nie tylko szansą, lecz i zagrożeniem. W miarę upowszechniania się tych technologii, cyberprzestępcy dostrzegają szansę na manipulowanie i wykorzystanie urządzenia medycznego w celu zaszkodzenia pacjentom lub użycia go jako klucza wejściowego do sieci komputerowej szpitala i uzyskania nieuprawnionego dostępu do informacji poufnych. Pozytywny jest zatem fakt, że 92% producentów stosuje zasady bezpieczeństwa i ochrony prywatności w procesie tworzenia urządzeń medycznych. Jednocześnie zaledwie 15% z nich regularnie prowadzi szkolenia dla programistów w zakresie bezpiecznego tworzenia aplikacji.

 

„Kwestia prywatności i ochrony wrażliwych danych medycznych to główne wyzwania przy projektowaniu innowacyjnych urządzeń medycznych, o czym pamiętają prawie wszyscy respondenci badania. Wydaje się jednak, że wiele organizacji lekceważy fakt, że krytyczne podatności mogą pojawić się na etapie implementacji – jedynie 15% firm dba o świadomość programistów w zakresie cyberzagrożeń. Z tego względu warto wykonać przynajmniej testy bezpieczeństwa tych urządzeń przed oddaniem ich do eksploatacji.” – mówi Michał Kurek, partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

 

Informacje finansowe i własność intelektualna najbardziej narażone na ataki

Większość firm z sektora life sciences uważa, że cyberprzestępcy najbardziej interesują się danymi finansowymi (82% wskazań) lub wypracowaną własnością intelektualną (79%). Najbardziej prawdopodobnymi źródłami cyberataków (na które wskazuje blisko 50% respondentów) są: obce państwa, haktywiści lub pojedynczy hakerzy. Pomimo, że firmy zdają sobie sprawę, że wiele naruszeń wynika z błędów ludzkich lub złych intencji, to 25% firm z sektora life sciences nie zatrudnia dedykowanej osoby odpowiedzialnej za bezpieczeństwo informacji (Chief Information Security Officer, CISO). Większość z tych organizacji nie prowadzi regularnych szkoleń w zakresie cyberbezpieczeństwa. Realizowane ćwiczenia obejmują przede wszystkim najwyższe kierownictwo (38%) i personel informatyczny (28%). Indywidualne ćwiczenia praktyczne dla wszystkich pracowników prowadzi co trzecia badana firma.

 

Raport w wersji elektronicznej można pobrać ze strony kpmg.pl.