Dlaczego potrzebujemy certyfikacji cyberbezpieczeństwa?

Autor. Freepik.com
Cyberbezpieczeństwo to nie same certyfikaty, lecz czy cyberbezpieczeństwo wymaga certyfikatów? Podczas 6. edycji Cyber24Day przedstawiciele wojska, administracji, instytutów badawczych oraz biznesu odnieśli się do istotnych zagadnień z perspektywy naszego bezpieczeństwa. Jednym z głównych wątków była kondycja polskiej kryptologii.
Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa weszła w życie 28 sierpnia br. Na witrynie rządowej podkreślono, że model certyfikacji jest „całkowicie dobrowolny”. Przepisy mają pozwolić m.in. na lepsze konkurowanie przedsiębiorców na europejskim rynku poprzez udowodnienie jakości produktów.
Aspekt polskiej kryptologii został poruszony w maju br. podczas Defence24Days. Wówczas gen. bryg. rez. Krzysztof Bondaryk, dyrektor Departamentu Bezpieczeństwa MSWiA, krytycznie wypowiadał się o skali wdrożeń polskich rozwiązań kryptologicznych. O realiach branży z różnych perspektyw eksperci rozmawiali w panelu dyskusyjnym, z którego relację znajdziecie pod linkiem.
Czytaj też
Eksperci o certyfikacji i kryptologii
W panelu dyskusyjnym „Zaufanie i bezpieczeństwo: od kryptologii do certyfikacji cyberbezpieczeństwa”, moderowanym przez mjr rez. Piotra Jaszczuka (Defence24), uczestniczyli:
- płk Łukasz Wojewoda (Ministerstwo Cyfryzacji);
- płk Dariusz Kwiatkowski (DKWOC);
- dr inż. Piotr Krawiec (Instytut Łączności);
- Krzysztof Gabrych (Google Cloud);
- płk Mariusz Krawczyk (Eksperckie Centrum Szkolenia Cyberbezpieczeństwa);
- Krzysztof Swaczyński (SEQRED).

Autor. CyberDefence24
Certyfikacja a zaufanie
Płk Łukasz Wojewoda podkreślił, że najoptymalniejszym sposobem wdrażania certyfikacji jest „pozostawienie ścieżki dobrowolności” jako czynnika promującego wykorzystywanie danego produktu. Dodał, że system certyfikacji Common Criteria jest stosunkowo młody w przypadku naszego kraju.
Co ważne, Dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji zaznaczył, że certyfikacja nie jest bezpośrednio tożsama z zaufaniem. Przytoczył również przykład podatności Log4Shell w bibliotece Log4j (CVE-2021-44228 jako zdarzenie, które bardzo ciężko przewidzieć.
Certyfikacja a zaufanie – nie postawiłbym tam znaku równości.
płk Łukasz Wojewoda

Autor. CyberDefence24
Czytaj też
Kryptologia i budowanie zaufania
Płk Dariusz Kwiatowski zaznaczył, że podejście do budowy zaufania zaczęło się od kryptologii. Zastępca Dowódcy WOC ds. kryptologii odniósł się również do rozwiązań chmurowych – podkreślił, że wykorzystywanie tzw. „clouda” opiera się w dużej mierze na zaufaniu.
Jestem przekonany, że (audyt – przyp. red.) nie da nam w 100% odpowiedzi, czy dany dostawca lub jego mechanizmy działają poprawnie, skutecznie. Tutaj musimy bazować na naprawdę pewnym zaufaniu.
płk Dariusz Kwiatkowski
Płk Kwiatkowski stwierdził, że obecnie mamy problem ze stworzeniem metodyki czy standardu oceny bezpieczeństwa technologii kwantowych, przede wszystkim w zakresie transmisji informacji.

Autor. CyberDefence24
Google Cloud o chmurze
„Rozpocznę przekornie – kontrola jest najlepszą formą zaufania” – powiedział Krzysztof Gabrych. Wspomniał o dość powszechnym korzystaniu z hardware’u od dostawców z niezaufanych krajów. Jednocześnie przekazał, że kontrola rozwiązań chmurowych jest inna od typowej analizy kodu - niemożliwe jest pełne zweryfikowanie pewnych aspektów.
Musimy zrozumieć przy wszystkich rozwiązaniach chmurowych, że nie jesteśmy w stanie do linijki kodu zweryfikować tego, jak takie rozwiązanie funkcjonuje. (...) Po przeprowadzeniu audytu taki kod zostanie już kilkunastokrotnie zmieniony.
Krzysztof Gabrych, Google Cloud
Przedstawiciel Google Cloud stwierdził, że zaufanie to „pewne mechanizmy, które obie strony uznają za zasadne”.

Autor. CyberDefence24
Czytaj też
Zmiana świadomości, UoKSCC i czynnik ludzki
Ciekawy punkt widzenia przedstawił Krzysztof Swaczyński, Prezes Zarządu SEQRED. Przytoczył historię przetargu w 33 Powidzkiej Bazie Lotnictwa Transportowego z 2019 roku.
„Po raz pierwszy w dokumentacji przetargowej (…) według relacji polskiego generalnego wykonawcy, który brał udział w projektach dla Departamentu Obrony, pojawiły się wymagania dotyczące cyberbezpieczeństwa” – stwierdził. Przekazał, że od tego momentu znacznie zmieniło się myślenie o cyberbezpieczeństwie, m.in. w zakresie analizy.

Autor. CyberDefence24
Dr inż. Piotr Krawiec (Instytut Łączności) podkreślił wyjątkowość i rozpoznawalność polskich instytutów w zakresie certyfikacji cyberbezpieczeństwa w naszej części Europy. Zaznaczył, że Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa (UoKSCC) stanowi podstawę ich działania.
Ppłk Tomasz Smyl (ECSC) wskazał z kolei, że człowiek jest najsłabszym ogniwem w systemie. Dodał, że potrzebujemy zbudować potencjał ekspercki. „Cieszymy się, że w UoKSCC jest mowa o certyfikacji osób” - skwitował.

Autor. CyberDefence24

Autor. CyberDefence24
Czytaj też
Wnioski
Certyfikacji cyberbezpieczeństwa nie powinniśmy traktować jako gwaranta bezpieczeństwa, lecz pozwala ona na potwierdzenie pewnych kompetencji. Cieszymy się, że eksperci z wielu różnych światów (armii, biznesu, instytutów badawczych i administracji) mogli wejść w konstruktywny dialog podczas 6. edycji Cyber24Day.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?