Aldona Senczkowska-Soroka: Obecną sytuację geopolityczną cechuje spora zmienność. Jaki jest jej wpływ na branżę farmaceutyczną?

Konrad Golczak: Wzrost napięć międzynarodowych może wpływać na łańcuchy dostaw, co z kolei prowadzi do problemów z dostępnością surowców lub leków. Polska, jako członek Unii Europejskiej, jest także zobowiązana do przestrzegania regulacji unijnych, co również rzutuje na wprowadzanie nowych produktów na rynek. Wydarzenia zachodzące w polityce międzynarodowej, takie jak sankcje czy zmiany w umowach handlowych, mogą też wprowadzać niepewność, co z kolei negatywnie wpływa na stabilność rynku.

Kluczowym czynnikiem jest tutaj także konflikt rosyjsko-ukraiński.

Tak, który wprowadził wiele nowych zmiennych, jak chociażby zwiększenie zapotrzebowania na leki zarówno w Polsce, jak i w krajach sąsiednich, które przyjmują ukraińskich uchodźców. Rodzi to oczywiście wyzwanie w zakresie dostępności leków oraz ich dystrybucji.

Ta sytuacja geopolityczna w regionie wpływa więc na decyzje inwestycyjne i strategiczne firm farmaceutycznych, w szczególności w Europie Wschodniej. W wyniku konfliktu zostały zamrożone rynki wschodnie, co spowodowało wycofanie się nich części firm, a w efekcie przełożyło na zmniejszone zamówienia na produkty lecznicze dotychczas tam obecne.

Firmy muszą dostosować swoje strategie do tych wyzwań, aby utrzymać stabilność i rozwój w trudnych warunkach. Branża farmaceutyczna w Polsce musi być bardziej elastyczna i gotowa do szybkiej adaptacji.

I bezpieczna, także w kontekście cyberbezpieczeństwa.

Zapewnienie bezpieczeństwa krajowego przemysłu farmaceutycznego jest elementem strategicznym dla dostępności leków w Polsce. W kontekście bieżących wydarzeń oraz działań hybrydowych prowadzonych przeciwko całej Unii Europejskiej należy szczególną uwagę zwrócić właśnie na elementy cyberbepieczeństwa. Od czasu agresji Rosji na Ukrainę, nasz kraj jest jednym z najczęściej obieranych celów cyberataków na świecie. Mając to na uwadze, warto przeanalizować i wdrożyć różne strategie oraz narzędzia potencjalnej ochrony przed niepożądanym uzyskaniem dostępu do danych.

W przemyśle farmaceutycznym jesteśmy nauczeni działania przy wielu obostrzeniach oraz normach, co zdecydowanie ułatwia podejście procesowe i wdrożenie konkretnych rozwiązań. Istotnym elementem jest także fakt, że nie tylko dedykowane programy, systemy informatyczne zapewniają ochronę przed podatnościami na atak. Bardzo dobrym przykładem jest stosowanie takich narzędzi jak FMEA (Analiza Możliwości i Skutków Wad) – nie tylko w obszarze produkcyjnym, ale także potencjalnych ryzyk cyfrowych. Oczywiście nie
deprecjonowałbym tutaj wdrożeń rozwiązań bazujących na normie ISO/IES 27001, dotyczącej identyfikacji i ryzyka związanego z bezpieczeństwem informacji, czy też jej rozwinięcia, jakim jest norma IES 62443 oraz ISO/IEC 27002.

Z ciekawych narzędzi warto także wspomnieć o innych regulacjach, takich jak opracowane przez National Institute of Standards and Technology (NIST) w USA ramy pomagające zarządzać ryzykiem. Składają się one z pięciu podstawowych bloków, jakimi są: identyfikacja, ochrona, wykrywanie, reagowanie i odzyskiwanie danych. Oczywiście nie sposób nie wspomnieć i o bazowych elementach obecnych w branży farmaceutycznej związanych z samym certyfikatem GMP, który już wymusza, żeby systemy informatyczne były
w odpowiedni sposób zabezpieczone oraz spełniały określone standardy w zakresie integralności danych.

Bardzo podobny wymóg zawarty jest także w przepisach amerykańskiej Agencji Żywności i Leków (FDA).

Tak, zawiera w sobie wytyczne odnośnie zabezpieczeń systemów elektronicznych przez nieautoryzowanym dostępem. Przydatna jest również norma ISO 31000, która dotyczy zarządzania ryzykiem, w różnym ujęciu kontekstowym. Nie jest przeznaczona typowo dla
branży farmaceutycznej, ale może pomóc w identyfikacji i ocenie ryzyk związanych z bezpieczeństwem informacji oraz w opracowaniu strategii ich minimalizacji.

Wdrożenie powyższych zasad ujętych w przywołanych normach z pewności zwiększy bezpieczeństwo danych oraz zminimalizują podatność systemu na potencjalny atak. Istotne jest jednak, że poszczególne organizacje powinny dostosowywać normy do swojej specyfiki i zdiagnozowanych podatności w celu skutecznej ochrony danych. Należy także mieć na uwadze fakt, że żadna z norm nie wykluczy wdrożeń systemów typu IDS (system wykrywania intruzów) oraz testów penetracyjnych, identyfikujących problemy w miejscach
ich występowania. Jest to tylko narzędzie pomocnicze, którego skuteczność zależy od jego użytkowników.