Industria farmaceutică este un sector esențial pentru societate și puternic reglementat, însă tocmai această complexitate o face deosebit de vulnerabilă la atacuri cibernetice. Expunerea ridicată se datorează volumului mare de date sensibile și informații confidențiale implicate în activitățile de cercetare, dezvoltare și producție.
Potrivit studiilor PwC în domeniul securității cibernetice, trei din cinci companii își vor crește investițiile în securitate cibernetică ca răspuns la noile riscuri geopolitice și doar 6% dintre organizațiile intervievate spun că pot face față cu succes tuturor scenariilor de amenințări cibernetice analizate. În același timp, datele PwC arată că, în industria farmaceutică, factorul uman reprezintă vectorul principal de atac în patru din cinci situații.
Robert Gîrdoc, Director în cadrul echipei securitate cibernetică PwC România, Gabriela Radu, Manager și Ioan Vraciu, Consultant senior, au discutat într-un nou episod al seriei PwC Talks despre peisajul amenințărilor cibernetice în industria farmaceutică și măsuri practice pe care companiile le pot avea în vedere în prevenirea și gestionarea riscurilor emergente. Urmăriți mai jos:
Principalele declarații
Cercetarea determină industria să adopte rapid noi tehnologii, facilitând inovația și soluțiile medicale avansate. Totodată, adoptarea inteligenței artificiale expune sectorul farmaceutic vulnerabilităților cibernetice precum: instrucțiuni malițioase (eng. prompt injection), dezvăluirea informațiilor confidențiale și atacurile asupra lanțurilor de aprovizionare. Gradul de complexitate al atacurilor crește odată cu digitalizarea, iar prevenirea acestora se transformă în reguli și proceduri robuste la nivelul fiecărei organizații.
Ce spune legislația europeană în acest context?
NIS2 aduce o serie de standarde și reglementări care vizează companiile farmaceutice, de cercetare și lanțurile de aprovizionare. Potrivit acestora, boardul companiilor din industrie poartă responsabilitatea directă pentru managementul riscurilor și securizarea lanțurilor de aprovizionare, având obligația de a implementa măsuri de analiză a vulnerabilităților, răspunsuri la incidente și un plan de management al continuității.
De asemenea, în cazul unui atac cibernetic, entitățile trebuie să raporteze incidentele semnificative în termen de 24 de ore, urmând ca în următoarele 72 de ore să trimită o notificare amănunțită și un raport detaliat autorităților după soluționarea incidentului. Toate aceste obligații pe care le aduce legislația în vigoare (NIS2, directiva Critical Entities Resilience, GDPR, AI Act, Cyber Resilience ACT), odată implementate, se pot transforma în avantaje competitive pentru orice organizație.
În concluzie, un cadru solid de guvernanță a datelor și proceselor precum și utilizarea instrumentelor ce pot corela riscurile tehnice și operaționale între entitatea centrală și furnizori, permit identificarea vulnerabilităților și transformarea reacției la atacuri într-o abordare proactivă, orientată spre dezvoltarea durabilă a rezilienței organizaționale.
Urmăriți alte episoade ale podcastului nostru pe blogul PwC România aici și aflați mai multe informații despre echipa PwC de risk assurance aici.
