Reklama

Dlaczego potrzebujemy certyfikacji cyberbezpieczeństwa?

Podczas 6. edycji Cyber24Day eksperci z wielu branż poruszyli zagadnienia związane z certyfikacją cyberbezpieczeństwa i kryptologią
Podczas 6. edycji Cyber24Day eksperci z wielu branż poruszyli zagadnienia związane z certyfikacją cyberbezpieczeństwa i kryptologią
Autor. Freepik.com

Cyberbezpieczeństwo to nie same certyfikaty, lecz czy cyberbezpieczeństwo wymaga certyfikatów? Podczas 6. edycji Cyber24Day przedstawiciele wojska, administracji, instytutów badawczych oraz biznesu odnieśli się do istotnych zagadnień z perspektywy naszego bezpieczeństwa. Jednym z głównych wątków była kondycja polskiej kryptologii.

Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa weszła w życie 28 sierpnia br. Na witrynie rządowej podkreślono, że model certyfikacji jest „całkowicie dobrowolny”. Przepisy mają pozwolić m.in. na lepsze konkurowanie przedsiębiorców na europejskim rynku poprzez udowodnienie jakości produktów.

Aspekt polskiej kryptologii został poruszony w maju br. podczas Defence24Days. Wówczas gen. bryg. rez. Krzysztof Bondaryk, dyrektor Departamentu Bezpieczeństwa MSWiA, krytycznie wypowiadał się o skali wdrożeń polskich rozwiązań kryptologicznych. O realiach branży z różnych perspektyw eksperci rozmawiali w panelu dyskusyjnym, z którego relację znajdziecie pod linkiem.

Czytaj też

Reklama

Eksperci o certyfikacji i kryptologii

W panelu dyskusyjnym „Zaufanie i bezpieczeństwo: od kryptologii do certyfikacji cyberbezpieczeństwa”, moderowanym przez mjr rez. Piotra Jaszczuka (Defence24), uczestniczyli:

  • płk Łukasz Wojewoda (Ministerstwo Cyfryzacji);
  • płk Dariusz Kwiatkowski (DKWOC);
  • dr inż. Piotr Krawiec (Instytut Łączności);
  • Krzysztof Gabrych (Google Cloud);
  • płk Mariusz Krawczyk (Eksperckie Centrum Szkolenia Cyberbezpieczeństwa);
  • Krzysztof Swaczyński (SEQRED).
Od lewej: mjr rez. Piotr Jaszczuk, dr inż. Piotr Krawiec, płk Dariusz Kwiatkowski, płk Łukasz Wojewoda, Krzysztof Swaczyński, płk Mariusz Krawczyk, Krzysztof Gabrych
Od lewej: mjr rez. Piotr Jaszczuk, dr inż. Piotr Krawiec, płk Dariusz Kwiatkowski, płk Łukasz Wojewoda, Krzysztof Swaczyński, płk Mariusz Krawczyk, Krzysztof Gabrych
Autor. CyberDefence24

Certyfikacja a zaufanie

Płk Łukasz Wojewoda podkreślił, że najoptymalniejszym sposobem wdrażania certyfikacji jest „pozostawienie ścieżki dobrowolności” jako czynnika promującego wykorzystywanie danego produktu. Dodał, że system certyfikacji Common Criteria jest stosunkowo młody w przypadku naszego kraju.

Co ważne, Dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji zaznaczył, że certyfikacja nie jest bezpośrednio tożsama z zaufaniem. Przytoczył również przykład podatności Log4Shell w bibliotece Log4j (CVE-2021-44228 jako zdarzenie, które bardzo ciężko przewidzieć.

Certyfikacja a zaufanie – nie postawiłbym tam znaku równości.
płk Łukasz Wojewoda
płk Łukasz Wojewoda
płk Łukasz Wojewoda
Autor. CyberDefence24

Czytaj też

Reklama

Kryptologia i budowanie zaufania

Płk Dariusz Kwiatowski zaznaczył, że podejście do budowy zaufania zaczęło się od kryptologii. Zastępca Dowódcy WOC ds. kryptologii odniósł się również do rozwiązań chmurowych – podkreślił, że wykorzystywanie tzw. „clouda” opiera się w dużej mierze na zaufaniu.

Jestem przekonany, że (audyt – przyp. red.) nie da nam w 100% odpowiedzi, czy dany dostawca lub jego mechanizmy działają poprawnie, skutecznie. Tutaj musimy bazować na naprawdę pewnym zaufaniu.
płk Dariusz Kwiatkowski

Płk Kwiatkowski stwierdził, że obecnie mamy problem ze stworzeniem metodyki czy standardu oceny bezpieczeństwa technologii kwantowych, przede wszystkim w zakresie transmisji informacji.

płk Dariusz Kwiatkowski
płk Dariusz Kwiatkowski
Autor. CyberDefence24

Google Cloud o chmurze

„Rozpocznę przekornie – kontrola jest najlepszą formą zaufania” – powiedział Krzysztof Gabrych. Wspomniał o dość powszechnym korzystaniu z hardware’u od dostawców z niezaufanych krajów. Jednocześnie przekazał, że kontrola rozwiązań chmurowych jest inna od typowej analizy kodu - niemożliwe jest pełne zweryfikowanie pewnych aspektów.

Musimy zrozumieć przy wszystkich rozwiązaniach chmurowych, że nie jesteśmy w stanie do linijki kodu zweryfikować tego, jak takie rozwiązanie funkcjonuje. (...) Po przeprowadzeniu audytu taki kod zostanie już kilkunastokrotnie zmieniony.
Krzysztof Gabrych, Google Cloud

Przedstawiciel Google Cloud stwierdził, że zaufanie to „pewne mechanizmy, które obie strony uznają za zasadne”.

Krzysztof Gabrych
Krzysztof Gabrych
Autor. CyberDefence24

Czytaj też

Reklama

Zmiana świadomości, UoKSCC i czynnik ludzki

Ciekawy punkt widzenia przedstawił Krzysztof Swaczyński, Prezes Zarządu SEQRED. Przytoczył historię przetargu w 33 Powidzkiej Bazie Lotnictwa Transportowego z 2019 roku.

„Po raz pierwszy w dokumentacji przetargowej (…) według relacji polskiego generalnego wykonawcy, który brał udział w projektach dla Departamentu Obrony, pojawiły się wymagania dotyczące cyberbezpieczeństwa” – stwierdził. Przekazał, że od tego momentu znacznie zmieniło się myślenie o cyberbezpieczeństwie, m.in. w zakresie analizy.

Krzysztof Swaczyński
Krzysztof Swaczyński
Autor. CyberDefence24

Dr inż. Piotr Krawiec (Instytut Łączności) podkreślił wyjątkowość i rozpoznawalność polskich instytutów w zakresie certyfikacji cyberbezpieczeństwa w naszej części Europy. Zaznaczył, że Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa (UoKSCC) stanowi podstawę ich działania.

Ppłk Tomasz Smyl (ECSC) wskazał z kolei, że człowiek jest najsłabszym ogniwem w systemie. Dodał, że potrzebujemy zbudować potencjał ekspercki. „Cieszymy się, że w UoKSCC jest mowa o certyfikacji osób” - skwitował.

dr inż. Piotr Krawiec
dr inż. Piotr Krawiec
Autor. CyberDefence24
ppłk Tomasz Smyl
ppłk Tomasz Smyl
Autor. CyberDefence24

Czytaj też

Reklama

Wnioski

Certyfikacji cyberbezpieczeństwa nie powinniśmy traktować jako gwaranta bezpieczeństwa, lecz pozwala ona na potwierdzenie pewnych kompetencji. Cieszymy się, że eksperci z wielu różnych światów (armii, biznesu, instytutów badawczych i administracji) mogli wejść w konstruktywny dialog podczas 6. edycji Cyber24Day.

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Cyfrowy Senior. Jak walczy się z oszustami?

Komentarze

    Reklama