#CyberMagazyn: Certyfikacja cyberbezpieczeństwa. Jak wprowadzić ją w Polsce?

Zaproszenie do dyskusji przyjęli: płk Dariusz Kwiatkowski, Zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni ds. Kryptologii; płk Łukasz Wojewoda, Dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji; Paweł Kostkiewicz, Dyrektor ds. Certyfikacji, NASK – Państwowy Instytut Badawczy; dr inż. Piotr Krawiec, Kierownik Techniczny Laboratorium Oceny Bezpieczeństwa, Instytut Łączności - Państwowy Instytut Badawczy; Tomasz Chomicki, Business Development Director, Samsung Electronics Polska; Artur Miękina, Dyrektor Sprzedaży Projektowej i Rozwoju e-Biznesu, Asseco Data Systems oraz Marcin Sikorski, Prezes Zarządu Xtension.

Podczas panelu „Certyfikacja cyberbezpieczeństwa. Jak wprowadzić ją w Polsce?” rozmówcy mjr (rez.) Piotra Jaszczuka dzielili się swoimi doświadczeniami związanymi z certyfikacją cyberbezpieczeństwa i oceną bezpieczeństwa teleinformatycznego. Rozmawiali także o projekcie ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa oraz o tym co należałby zrobić, aby budowany system certyfikacji był efektywniejszy.

Polski system cybercertyfikacji

Dyrektor Łukasz Wojewoda pytany o potencjał, jakim dysponujemy w kraju podkreślił, że aktualnie mamy uruchomiony system certyfikacji oparty o Common Criteria.

„Wiemy doskonale, że obecnie w kraju mamy sprawnie uruchomiony system certyfikacji oparty o Common Criteria. Mamy już funkcjonujące dwa laboratoria, jedną jednostkę certyfikującą, więc system jako całość działa. Mało tego, że działa to jest to system, który również jest uznawany i rozpoznawany na arenie międzynarodowej” - zaznaczył płk Łukasz Wojewoda, Dyrektor Departamentu Cyberbezpieczeństwa, Ministerstwo Cyfryzacji.

Pułkownik Wojewoda dodał, że certyfikacja rozwiązań cyfrowych jest niezbędna i jest priorytetem nie tylko dla administracji publicznej, ale również dla innych podmiotów istotnych dla bezpieczeństwa państwa, które wpływają na funkcjonowanie społeczeństwa i obywateli. Pytany o horyzont czasowy prac legislacyjnych nad projektem ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa (UKSCC) zaznaczył, że jest to perspektywa 2024 roku.

Co do horyzontu czasowego, życzylibyśmy sobie, żeby to było w tym roku. Nie jest żadną tajemnicą, że większość wysiłku, nie tylko w Departamencie Cyberbezpieczeństwa, ale również w Departamencie Prawnym, który na tym polu z nami funkcjonuje, czy legislacyjnym, chcemy dowieźć mimo wszystko ustawę o Krajowym Systemie Cyberbezpieczeństwa najszybciej jak to możliwe. Nie jest to przedsięwzięcie proste, też ze względu na to, ile różnego rodzaju uwag, spostrzeżeń, propozycji do tej podstawowej regulacji, czyli nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa wpłynęło.
płk Łukasz Wojewoda, Dyrektor Departamentu Cyberbezpieczeństwa, Ministerstwo Cyfryzacji.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) nie miała szczęścia w procesie legislacyjnym. Obecnie - jak deklaruje wicepremier Gawkowski i dyrektor Wojewoda - nowelizacja tej ustawy stanowi „najwyższy priorytet dla resortu cyfryzacji”. Kolejna na liście priorytetów jest ustawa o krajowym systemie certyfikacji cyberbezpieczeńśtwa. Regulacje związane z certyfikacją cyberbezpieczeństwa świadomie wyodrębniono z nowelizacji ustawy o KSC, aby mogły zostać przyjęte niezależnie od wyniku prac nad poszczególnym dokumentem. Prace nad obiema ustawami trwają.

Wojsko a certyfikacja cyber

Reprezentujący w panelu stronę wojskową płk Dariusz Kwiatkowski podkreślał, że z jego perspektywy bardziej kluczowa od certyfikacji jest ocena cyberbezpieczeństwa – ocena cyberzabezpieczeń.

W resorcie obrony narodowej i siłach zbrojnych zależy nam na wielowarstwowym bezpieczeństwie. Z jednej strony produkty, wyroby i urządzenia są badane i oceniane w systemie, który nadzoruje ABW oraz SKW. Podstawą są regulacje i zapisy zawarte w ustawie o ochronie informacji niejawnych oraz zobowiązania wynikające z naszego członkostwa w NATO i Unii Europejskiej. I tak się składa, że wprowadzona ustawa o ochronie informacji niejawnych i certyfikacji bezpieczeństwa w praktyce również odwołuje się do tych samych kryteriów oceny zabezpieczeń, tych najbardziej współczesnych, czyli Common Criteria.
płk Dariusz Kwiatkowski, Zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni

Pułkownik Kwiatkowski zaznacza, że resort obrony narodowej i siły zbrojne dostrzegają możliwość wykorzystania obu systemów, ponieważ opierają się o tą samą podstawę, czyli common criteria. Jednocześnie na podstawie rekomendacji NATO, Unii Europejskie oraz własnej praktyki siły zbrojne stosują rozwiązania i produkty, która posiadają zewnętrzne oceny. „Są dla nas bardziej wiarygodne” – podkreśla Dariusz Kwiatkowski.

Natomiast mówiąc o wielowarstwowej ocenie cyberbezpieczeństwa, mam na myśli kolejne jeszcze inne kroki, mianowicie testy bezpieczeństwa. Testy podatnościowe czy też penetracyjne, które przeprowadzamy sami, ale także kolejną weryfikację już na poziomie całego systemu, czyli mówimy tutaj o akredytacji bezpieczeństwa teleinformatycznego.
płk Dariusz Kwiatkowski, Zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni

Skala i zasięg cybercertyfkacji

O skalę i liczbę realizowanych globalnie certyfikacji rozwiązań cyberbezpieczeństwa był pytany NASK PIB i dyrektor Paweł Kostkiewicz.

„Warto zaznaczyć, że certyfikaty wydawane w Polsce realizowane są w ramach porozumień międzynarodowych. Jednostek certyfikujących wbrew pozorom nie jest tak wiele, raptem kilka w Europie i kilkanaście w skali globalnej” – zaznaczył dyrektor Kostkiewicz. „To elitarne i bardzo wąskie grono, są to przede wszystkim podmioty rządowe i pojedyncze podmioty w danym państwie” - dodał.

Dyrektor Kostkiewicz wskazał, że aktualnie ważnych certyfikatów w skali globalnej mamy około 1 800, a historycznie łącznie wydano ich około 5,5 tys. od momentu powstania międzynarodowego systemu certyfikacji. Pamiętajmy, że właśnie z tych certyfikowanych produktów budowane są - jak z klocków - całe systemy informatyczne: kompletne i gotowe do dowolnych zastosowań, więc skala oddziaływania systemu certyfikacji jest znacząca.

„Amerykanie lubią takie liczby podawać, więc oni na przykład przeliczają to w ten sposób, ile osób używa produktów certyfikowanych. (…) 3,5 miliarda osób używa produktów certyfikowanych, to znaczy gwarantuję Państwu, że wszyscy jak tutaj siedzicie, dotknęliście produktu certyfikowanego, nie wiedząc o tym, bo na przykład jest to system operacyjny, telefony komórkowe i ich systemy operacyjne. Właśnie takie urządzenia, produkty są używane przez nas na co dzień i podlegają certyfikacji” – zaznacza dyrektor Kostkiewicz.

Dr inż. Piotr Krawiec z Instytutu Łączności – PIB dodał, że w ciągu ostatnich pięciu lat globalnie wydano ok. 350 certyfikatów.

2023 rok najprawdopodobniej był rokiem rekordowym. Ta liczba przekroczyła 400 i zeszły rok to był pierwszy rok, kiedy nasz schemat, czyli Polska pokazała się w tych statystykach. No i w zeszłym roku były to trzy certyfikaty. W tym roku myślę, że też na najważniejszej konferencji dotyczącej Common Criteria ICCC, która będzie się za miesiąc w Katarze, też będziemy mogli się pochwalić takim wynikiem.
dr inż. Piotr Krawiec, Instytut Łączności - PIB

Zauważyć należy, że system certyfikacji cyberbezpieczeństwa w naszym kraju jest na etapie budowy i aktualnie możemy mówić o zaledwie kilku zrealizowanych w Polsce certyfikacjach rozwiązań z obszaru cyberbezpieczeństwa. Kolejne przed nami.

Jakie korzyści możemy czerpać z certyfikacji cyberbezpieczeństwa?

Z perspektywy sektora publicznego certyfikacja jest istotna. Nie jest dziś formalnym wymogiem i nakazem wynikającym wprost z obowiązujących przepisów, jednak wymagania w tym zakresie są już stosowane m.in. w zamówieniach i postępowaniach w siłach zbrojnych oraz zaczyna to być dostrzegane przez administrację publiczną. Dobrym przykładem są tu zamówienia realizowane przez NASK – PIB.

Dyrektor Wojewoda w tej części dyskusji podkreślał, że certyfikaty będą formą promocji, pozycjonując wyżej firmy w pozstępowaniach i zamówieniach prowadzonych w oparciu o przepisy prawa zamówień publicznych.

„Nie będzie to jednak tak, że firma będzie musiała wykazać się obligatoryjnie takim czy innym certyfikatem. Jeszcze to nie ten moment, ale w tym kierunku będziemy zmierzali w przyszłości” – zaznaczył Łukasz Wojewoda.

Wśród korzyści wskazał na budowę polskich zdolności do prowadzenia certyfikacji i weryfikowania właściwości poprzez prowadzenie badań, możliwość wprowadzenia poza europejskimi, także narodowych schematów certyfikacji, które odpowiadałyby w sytuacjach nieuregulowanych w innych obowiązujących już schematach. Dla biznesu to szansa na wyższe pozycjonowanie po uzyskaniu narodowego certyfikatu.

Pułkownik Kwiatkowski podkreślił natomiast, że certyfikowanie urządzeń i rozwiązań w oparciu o common criteria i protecion profiles oraz badania realizowane przez laboratoria NASK – PIB, Instytut Łączności – PIB czy Instytut Technik Innowacyjny EMAG (Sieć Badawcza Łukasiewicz) korzystnie wpłynie na efektywność procesu oceny cyberbezpieczeństwa złożonych systemów. Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni występuje tu w kilku rolach – integratora i organizatora systemów rozległych, konsumenta produktów, które ktoś inny wytworzył oraz w pewnych sytuacjach konstruktora i producenta rozwiązań specjalnych.

Dzięki certyfikacji produkt ma potwierdzenie trzeciej strony, co pozwala mi może nie do końca odstąpić od wszystkich testów, ale już nie muszę jeszcze w szczegółach weryfikować np. poufności czy integralności. Skupiam się na integracji całego produktu w systemie i oceniam czy weryfikuję testami cały system. W związku z tym przechodzę na tą wyższą warstwę oceny cyberbezpieczeństwa systemu. Mając do wyboru produkty certyfikowane i niecertyfikowane np. różnego typu VPN-y, nawet jeśli spełniają one wymagania regulatora, wybieramy produkty posiadające stosowne certyfikaty. Są to namacalne korzyści dla biznesu.
płk Dariusz Kwiatkowski, Zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni

Wkrótce technologie kwantowe

Pułkownik Kwiatkowski zaznaczył, że wśród obowiązujących profili zabezpieczeń opracowane i stosowane są już profile dla 5G, AI oraz cloud, a z niecierpliwością wyczekiwane są profile zabezpieczeń dla technologii kwantowych.

Pytanie o korzyści wynikające z certyfikacji otrzymały też firmy z sektora ICT, realizujące w Polsce pierwsze tego typu projekty. Tomasz Chomicki zaznaczył, że Samsung należy do grupy producentów, która mocno inwestuje w cyberbezpieczeństwo i od wielu lat uczestniczy w procesie certyfikacji według schematu Common Criteria, dzięki czemu flagowe telefony Samsung zostały przebadane i posiadają odpowiednie certyfikaty. Wskazał także na rozwiązania sieciowe 5G oraz wybrane rozwiązania konsumenckie, w tym telewizory z platformą Smart TV.

Odnosząc się do wątku związanego z zamówieniami publicznymi, dyrektor Chomicki zaznaczył, że nie jest zwolennikiem rozwiązania, które mocno ograniczyłoby konkurencję i doprowadziło do ograniczania możliwości ubiegania się o zamówienie publiczne wyłącznie do producentów, którzy aktywnie się certyfikują.

Mimo wszystko obszar dotyczący cyberbezpieczeństwa jest za mało powszechny, a kryterium certyfikacji jest cały czas zbyt rzadko wykorzystywane pomimo aktualnych rekomendacji Prezesa Urzędu Zamówień Publicznych.
Tomasz Chomicki, Business Development Director, Samsung Electronics Polska.

Zdecydowanie potrzebny jest proces edukacyjny, aby obszar dotyczący cyberbezpieczeństwa i certyfikacji był częściej wykorzystywany w ramach zamówień publicznych.

„Dlaczego jest to takie ważne? Z punktu widzenia dużych organizacji, które posiadają wystarczające zasoby, nie tylko w Polsce, jesteśmy w stanie takie certyfikacje realizować. Natomiast trzeba pamiętać też o małych przedsiębiorstwach, które zaangażują się w tworzenie procesów, pod warunkiem, że będą za tym szły wymierne korzyści biznesowe” - twierdzi Tomasz Chomicki, Business Development Director, Samsung Electronics Polska.

Odnosząc się do samego procesu certyfikacji, realizowanego wspólnie z partnerami, Tomasz Chomicki zaznaczył, że każdy kto ma doświadczenie w tym obszarze wie dziś, że jest to proces trudny i czasochłonny.

„Mimo to Samsung tworzy bezpieczne rozwiązania, które poddaje procesom oceny. Jesteśmy »maratończykami« i jestem dumny, że mogę współtworzyć takie projekty” - podkreślił Tomasz Chomicki, Business Development Director, Samsung Electronics Polska.

Natomiast Artur Miękina reprezentujący Asseco Data Systems – lidera konsorcjum realizującego pierwsze w Polsce projekty certyfikacyjne - zaznaczył, że bardzo ważne jest, iż posiadamy w naszym kraju możliwości realizowania certyfikacji z obszaru cyberbezpieczeństwa.

Dyrektor Miękina wskazał, że w tym roku zakończono dwie równoległe certyfikacje na dwa odrębne produkty. „Wymagania w wynikające z przepisów europejskich wejdą w życie za dwa lata. Zatem jest to inwestycja w przyszłość, która pozwoli w kraju certyfikować polskie oprogramowanie z gwarancją respektowania certyfikacji na poziomie europejskim” - usłyszeliśmy.

W swoim komentarzu dyrektor Miękina podkreślał znaczenie stosowania rekomendacji m.in. ENIS-y i premiowania certyfikowanych rozwiązań, budowania świadomości oraz korzyści finansowych.

Dzięki certyfikacji naszych produktów możemy myśleć nie tylko o rynku polskim, ale również o rynkach europejskich i międzynarodowych.
Artur Miękina, Dyrektor Sprzedaży Projektowej i Rozwoju e-Biznesu, Asseco Data Systems

Marcin Sikorski, Prezes Xtension zwrócił uwagę na współpracę w ramach konsorcjum.

Stworzyliśmy rozwiązanie, dla którego każdy dostarczył komponenty. Samsung urządzenia z platformą NOX, Asseco Data Systems dostarczyło usługi zaufania kwalifikowane. My jako Xtension dostarczyliśmy oprogramowanie platformy podpisowej.
Marcin Sikorski, Prezes Xtension

Przypomnijmy, że jest to podpis biometryczny, podpis bahawioralny – odręczny podpis składany rysikiem na tablecie Samsunga, rejestrujący szereg istotnych parametrów (ruchy rysika, przyśpieszenie, prędkość, siła nacisku rysika na matrycę, kąt nachylenia rysika przy składaniu podpisu, włosowatość, ruchy rysika nad tabletem, czyli między literkami nad urządzeniem).

„Klienci pytają o bezpieczeństwo tego rozwiązania. Co się z tym podpisem stanie? Co z moją biometrią? Czy mogę bezpiecznie złożyć taki podpis? I do tej pory było nam trudno, to znaczy deklarowaliśmy jako producenci, jak dzisiaj deklarują wszyscy, że jesteśmy zgodni z DORA, jesteśmy zgodni z NIS 2, ale to są tylko deklaracje producentów. My chcieliśmy pokazać, że nasze rozwiązanie jest bezpieczne, że klienci nie muszą klienci bać się o dane biometryczne, o ich bezpieczeństwo, jak one są zbierane, jak są bezpiecznie szyfrowane i zabezpieczone. I stąd podeszliśmy wspólnie z partnerami do certyfikacji. Sami byśmy pewnie nie podołali, nie próbowalibyśmy się na ten »Everest« wspiąć. Jeszcze może na Rysy byśmy weszli, ale Everest to już zdecydowanie nie na dzisiaj, może kiedyś - metaforycznie opowiedział w czasie panelu Marcin Sikorski, Prezes Xtension.

Ekspert wśród korzyści z certyfikacji wskazywał na zaufanie i potwierdzenie bezpieczeństwa przez renomowane laboratoria prowadzące audyt i badania w zakresie zgodności z obowiązującymi normami i profilami zabezpieczeń. Jako kolejną korzyść wskazał fakt, że certyfikacja pozwala wejść z produktem na rynki międzynarodowe.

Dr inż. Piotr Krawiec pytany o szanse i korzyści wynikające z certyfikacji wskazał, że Instytut Łączności – PIB już dziś widzi zainteresowanie partnerów zagranicznych i szansę na współpracę.

To są szanse dla nas jako laboratorium, szczególnie widzimy je w schemacie europejskim EUCC, bo tak jak dyrektor Kostkiewicz powiedział, w Europie mamy kilka, dokładnie to osiem schematów, z czego nasz - ten ósmy, najmłodszy schemat - jest jedynym schematem w Europie Środkowo-Wschodniej. I już mamy prośbę o spotkania i rozmowy z krajów sąsiednich, od producentów np. z Czech, z Rumunii, sondujące możliwości realizacji certyfikacji Common Criteria, czy też przyszłej certyfikacji EUCC w naszym kraju.
dr inż. Piotr Krawiec, Kierownik Techniczny Laboratorium Oceny Bezpieczeństwa, Instytut Łączności - Państwowy Instytut Badawczy

Dyrektor Paweł Kostkiewicz, NASK – PIB wskazał na dodatkowe i nieoczywiste korzyści wynikające z certyfikacji.

Certyfikacja to jest w istocie też miejsce, gdzie można znaleźć olbrzymią masę pożytecznych informacji, jak wytwarzać dobre produkty, że jeżeli ktoś na przykład siedzi sobie w kąciku i dewelopuje rozwiązanie i zastanawia się, co powinno to rozwiązanie w sobie mieć, żeby było rzetelnie, dobrze zrobione, to można właśnie wziąć taki protection profile, przeczytać go, wziąć go na warsztat deweloperski i się okaże, że kilkanaście czy kilkadziesiąt mądrych głów na świecie już wcześniej siadło i się zastanowiło: co taki firewall, taki router, taka kamera czy system operacyjny, czy bazy danych mogą w sobie mieć, by były bezpieczne. I to jest za darmo, to jest dostępne publicznie.
Paweł Kostkiewicz, Dyrektor ds. Certyfikacji, NASK – Państwowy Instytut Badawczy

Dyrektor Kostkiewicz podzielił się również cennym i nieoczywistym spostrzeżeniem na temat oddziaływania certyfikacji na produkcję i projektowanie rozwiązań ICT.

Jak zaczynaliśmy przygodę z budową polskiego systemu certyfikacji, pytaliśmy oczywiście naszych kolegów z zagranicy, czy te produkty są bezpieczniejsze. Oni na nas patrzyli: >>Wiesz, produkty to pewnie tak, ale producent się zmienia bardzo istotnie<<. I to jakby jest chyba clue, że u producenta system wytwarzania, ten bezpieczny system wytwarzania bezpiecznego oprogramowania się pojawia znienacka i z nim zostaje. To trochę jak przy tym >>ataku na Mont Everest<< - te pośrednie bazy zostają i można z nich ponownie skorzystać.
Paweł Kostkiewicz, Dyrektor ds. Certyfikacji, NASK – Państwowy Instytut Badawczy.

Trudny i wymagający proces cybercertyfikacji

Wracając do przebiegu pierwszych polskich certyfikacji, czasu i kosztów procesu, przedstawiciele konsorcjum wskazali, że pełny proces certyfikacji trwał ponad 2 lata. Przez kilkadziesiąt miesięcy ukształtował się polski schemat certyfikacji, podmioty uczestniczące w tym procesie uczyły się od siebie nawzajem. Dzięki temu wiadomo, że są spore możliwości optymalizacji i skrócenia czasu certyfikacji. W kraju zostaje know-how i możliwość budowania kolejnych projektów w oparciu o zdobyte doświadczenie.

Pułkownik Kwiatkowski wskazał, że wartość nie jest w samym certyfikacie, tylko w certyfikacie popartym weryfikacją konkretnych wymagań, określonych w profilu zabezpieczeń (protection profile). Odnosząc się powtórnie do wątku związanego z zamówieniami publicznymi podkreślił, że w zamówieniach wojskowych wymagania związane z bezpieczeństwem teleinformatycznym pojawiają się w umowach Agencji Uzbrojenia oraz podległego DKWOC - Centrum Zasobów Cyberprzestrzeni Sił Zbrojnych. Są to odwołania do konkretnych profili zabezpieczeń, które weryfikowano, jednak nie w ramach tworzonego systemu certyfikacji, lecz w ramach wewnętrznych testów.

Dzięki nowym regulacjom możliwe będzie, aby weryfikacją zabezpieczeń mogły zająć się certyfikowane laboratoria. Przełoży się to na skrócenie procedur związanych z odbiorem produktów i rozwiązań. Odnosząc się natomiast do ponad dwóch lat certyfikowania rozwiązania opracowanego przez konsorcjum wskazał, że „to zdecydowanie za długo”. Podkreślił, że podczas wielu dyskusji z osobami reprezentującymi zagraniczne jednostki certyfikujące - w oparciu o Common Criteria np. z Francji i Niemiec oraz innych państw europejskich - wskazywano na 9 miesięcy - jako termin graniczny, który wydaje się jednak zbyt długi.

Patrząc na dynamikę zmian i pojawiania się nowych zagrożeń - oczekiwałbym, aby mniej skomplikowane i złożone procesy certyfikacyjne były realizowane do 3 - maksymalnie 5 miesięcy.
Płk Dariusz Kwiatkowski, Zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni

Aby proces certyfikacji był sprawny i efektywny, zdaniem pułkownika Kwiatkowskiego potrzebna jest automatyzacja i budowa zaufania do producenta.

Pierwsza certyfikacja może być dłuższa, ale jednocześnie należy przygotować się na aktualizacje i update-y. Kolejne certyfikacje będą wówczas realizowane sprawniej i efektywniej. Bezdyskusyjnie wyzwaniem stojącym przed producentami jest poprawne udokumentowanie obowiązujących wymagań formalnych, tak aby laboratoria nie wstrzymywały procesu po wychwyceniu niezgodności formalnych.
płk Dariusz Kwiatkowski, Zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni

Paweł Kostkiewicz podkreślił, że producent musi dołożyć pełnej staranności, aby opis był zgodny z przedmiotem podlegającymi ocenie w ramach certyfikacji. Aby było lepiej, należy wyselekcjonować kluczowe profile zabezpieczeń dla poszczególnych sektorów, wskazać jej producentom i powoływać się na nie oraz promować je wśród producentów.

Kolejnym rozwiązaniem wskazanym przez dyrektora Kostkiewicza jest powołanie tzw. lekkich programów certyfikacji, nad którymi pracują już polskie instytuty i laboratoria, czyli szybsze programy certyfikacji. Mają być mniej sformalizowane i trwać krócej - w myśl zasady fixed time i fixed price – np. 25- lub 50-dniowe z określoną wyceną.

Uwaga - można do nich wejść z całą dokumentacją, przejść przez ten pełny cykl i nie można zawracać, czyli to jest taki "one time shot". Jak się przejdzie to dostaje się certyfikat, jeśli pojawia się w trakcie coś niewłaściwego, to produkt po prostu >>wypada z systemu<< i może wrócić na tą ścieżkę ponownie za ponowną opłatą na kolejne 25 czy 50 dni. Statystyki państw, które wprowadziły takie systemy certyfikacji mówią, że 80 proc. pierwszych prób jest spalonych, 80 proc. "powracających" jest sukcesem.
Paweł Kostkiewicz, NASK – PIB

„Kolejnym sposobem na zwiększenie efektywności jest edukacja w zakresie security by design, norm oraz projektowania urządzeń w zgodzie z profilami zabezpieczeń już na etapie przygotowywania do pracy zespołów deweloperskich” – podsumował dyrektor Kostkiewicz.

Dr inż. Piotr Krawiec wskazał, że omawiany przez uczestników debaty projekt certyfikacyjny obejmował również ewaluacje i rzeczywiście trwał długo, bo ponad 2 lata. „Był to jednak przypadek wyjątkowy i była to jedna z pierwszych realizacji w Polsce. Zależało nam wszystkim bardzo na tym, aby ten wyjątkowy pilotaż zakończył się sukcesem” – zaznaczył. „Jeśli byłby to projekt realizowany na zasadach fixed time, certyfikacja i ewolucja zakończyłaby się zdecydowanie szybciej, jednak z wynikiem negatywnym. Instytut zatem pracował w bliskim kontakcie z producentami, zgłaszano i poprawiano na bieżąco wykryte niedociągnięcia, co przełożyło się niewątpliwie na czas realizacji projektu” - dodał.

Aby było sprawniej i efektywniej potrzebna jest edukacja, zwłaszcza, że common criteria to trudna norma, specyficzny język i stworzenie poprawnej dokumentacji, do której nie ma uwag o charakterze formalnym jest >>wejściem na Everest<<.
dr inż. Piotr Krawiec, Instytut Łączności - PIB

Prezes Marcin Sikorski, odnosząc się do kwestii efektywności i kosztów certyfikacji zaznaczył, że trwała ona de facto 22 miesiące i projekt płynnie przeszedł do fazy recertyfikacji produktu, która aktualnie jest realizowana. Ten czas - jak wskazał Prezes Xtension - ma znaczący wpływ na koszty, które rozkładały się na trzy firmy.

Natomiast to były koszty zarówno ekspertów, których konsorcjum angażowało z Politechniki ze Szczecina, ekspertów od kryptografii, ekspertów od bezpieczeństwa, cybersecurity. Sami byśmy sobie jako firma nie poradzili, to jest pierwsza sprawa. Druga sprawa to są oczywiście formalne koszty samej certyfikacji.
Marcin Sikorski, Prezes Xtension

Najważniejszą składową kosztów certyfikacji wg. prezesa Sikorskiego jest w tym przypadku „koszt związany z utrzymaniem zespołu deweloperskiego i zespołu scrumowego”.

„Jeśli chodzi o koszty łączne to może to nie są miliony, małej firmy na pewno dzisiaj nie stać na taką inwestycję, ale liczę na to, że ponieważ byliśmy jednymi z pierwszych prekursorów, to ta ścieżka będzie utarta i kolejne takie certyfikacje będą bazowały na zdobytym doświadczeniu” - podkreślił Marcin Sikorski, prezes Xtension.

Do kwestii efektywności procesu odniósł się ponownie dyrektor Kostkiewicz: „Oczywiście, że dwa czy trzy lata brzmi horrendalnie długo i oczywiście wszystkie kolejne certyfikacje będą krótsze. Będą trwały 9 miesięcy, założmy. Pamiętajmy o tym, że my ten system budowaliśmy. Możemy tutaj udawać, prężąc mózg, że ten system znaleźliśmy, wzięliśmy sobie taką walizeczkę, położyliśmy na stole, rozpakowaliśmy, on tam był. Nie, tworzyliśmy zespoły, budowaliśmy wyposażenie, kształciliśmy ludzi, przygotowywaliśmy się do tego. Nauczyliśmy się tego w tym projekcie, za co zresztą bardzo biznesowi, który wytrzymał, nie wszystkie projekty pilotażowe wytrzymały, dziękuję. Będą krótsze. To możemy obiecać. Rzeczywiście znamy taki przypadek, że na przykład u jednego z deweloperów kluczowy pracownik odszedł z powodu przeciążenia tym, że nie wytrzymał nerwowo tego, że »ciągle walczy z tą certyfikacją«. Takie koszty są” - zaznaczył Paweł Kostkiewicz z NASK - PIB.

W imieniu konsorcjum głos zabrał Tomasz Chomicki wskazując, że w projekcie uczestniczyło trzech dużych graczy: Asseco Data Systems, Samsung i Xtension, którzy zbudowali zasoby projektowe, ale są to organizacje, których skala umożliwia budowę złożonych rozwiązań.

„Aby zbudować odpowiednie zasoby, stworzyć takie mechanizmy, które zachęcą biznes do ich stworzenia. Pamiętajmy, że certyfikacja jest bardzo ważna. W świecie cyber dług technologiczny jest otwarciem bramy dla cyberprzestępców. Chcąc mieć bezpieczne rozwiązania, musimy stworzyć system, który będzie w prosty sposób potrafił robić recertyfikację. Jak się mnie zapytacie, co można wokół tego zrobić w Common Criteria, to odpowiedź brzmi: „niestety jeszcze nie wiem”. Niemniej musimy zastanowić się nad tym, aby ten proces mocno skrócić” - powiedział w czasie debaty Tomasz Chomicki z firmy Samsung.

Artur Miękina odnosząc się do kwestii czasochłonności procesu certyfikacji podkreślał, że siłą rzeczy w przypadku rozwiązań kryptograficznych jest to częściowo uzasadnione, ponieważ są to rozwiązania wyjątkowe w swojej klasie. „Nawet jeżeli weźmiemy dużych globalnych graczy z profilami zabezpieczeń, które już dawno były opisane i tylko je porównujemy i certyfikujemy, to też nie trwały kilku miesięcy. Mówię tutaj o elementach związanych z dokumentami, które wykorzystujemy. Wszędzie tam, gdzie element kryptograficzny jest, jest to kawałek bardziej skomplikowany” - ocenił Artur Miękina z Asseco Data Systems.

Lider konsorcjum upatruje szansy na jej podniesienie w obszarach związanych z edukacją, wskazując na brak specjalistów z doświadczeniem w przygotowywaniu wyrafinowanej dokumentacji.

Marcin Sikorski w podsumowaniu wskazał na cel do którego powinniśmy dążyć: certyfikacja efektywniejsza, szybsza i co za tym idzie - tańsza. Zaznaczył, że niezbędne są zachęty w ramach prawa zamówień publicznych. Kolejne priorytety to edukacja i praktyczne przekładanie się certyfikacji na świadomość, że potwierdza ona zgodność z NIS2 oraz DORA.

Podsumowanie

Dyskusję podsumował pułkownik Łukasz Wojewoda, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Podkreślał znaczenie świadomości, czym jest certyfikacja i jakie korzyści niesie - zarówno dla biznesu jak i dla sektora publicznego oraz ogółu obywateli.

„Świadomość to jest bardzo ważna rzecz, czyli powinniśmy mieć świadomość po stronie producenta, z czym się ma mierzyć kiedy przystępuje do certyfikacji. To nie jest tak, że przyjdziemy do laboratorium jednostki, przedstawimy: »mam świetny produkt, certyfikujcie mi i jestem zadowolony«. Trzeba pamiętać, że za tym jest proces, przygotowanie, nierzadko trudne, żmudne, w zależności od schematu, to się wszystko zgadza” - zakończył płk Łukasz Wojewoda.

„Świadomość musi być także wbudowana po stronie podmiotów, które pozyskują sprzęt, usługę, proces” – zaznaczył.

Co to znaczy, że pozyskał to z certyfikatem? Co ten certyfikat robił? Tutaj pułkownik Kwiatkowski mówił, że mamy protection profiles. No tak, ale nie zamykajmy się na nie, bo to by nie było możliwe, jakbyśmy się na nie zamknęli. Wybrzmiało, że powinniśmy iść w stronę tego, co już znamy i te, które już są wybudowane, to one są do użycia. Natomiast to nie jest wszystko. Ten świat się na tym nie kończy, musimy o tym pamiętać, bo są nowe rozwiązania inne i tu jest odwaga i determinacja.
płk Łukasz Wojewoda, Ministerstwo Cyfryzacji

Odnosząc się do kwestii procesu certyfikacji, który trwał ponad 2 lata, dyrektor Wojewoda zaznaczył, że ten proces będzie przebiegał sprawniej. „Pamiętajmy, że był to pierwszy taki proces certyfikacyjny w naszym kraju, wymagał udziału innych podmiotów i ekspertów, co miało także wpływ na czas, w jakim projekt został przeprowadzony” - stwierdził w dyskusji.

Dyrektor zaznaczył - biorąc w obronę NASK i Instytut Łączności - że certyfikację rozpoczęto w trakcie pandemii COVID-19, co miało swoje przełożenie na cały proces.

W obszarze kosztów podkreślił, że Ministerstwo Cyfryzacji wspiera zarówno jednostkę certyfikującą, jak i laboratorium, aby ich zdolności i kompetencje rosły i były utrzymywane na wysokim poziomie. Zabiega także o właściwą promocję certyfikacji.

„Chciałbym, aby ten polski system certyfikacji był na tyle dobrze wypromowany i rozpoznawalny, że będziemy liderem w regionie. Nie ma w krajach Europy Środkowo-Wschodniej funkcjonującego systemu certyfikacji, który byłby rozpoznawany i zarejestrowany. To są kwestie, o które powinniśmy dbać, promować, o nich mówić. Zachęcamy, przyjdźcie do Polski, u nas to już jest, nie budujcie u siebie” - zakończył płk Łukasz Wojewoda z Ministerstwa Cyfryzacji.

Na zakończenie dyskusji jej uczestnicy wyrazili nadzieję, że prace legislacyjne związane z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawą o krajowym systemie certyfikacji cyberbezpieczeństwa w najbliższym horyzoncie czasowym zakończą się sukcesem.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:*[email protected].*