Polityka i prawo
Czas na certyfikację cyberbezpieczeństwa. KPRM: Przewidujemy konkursy i finansowanie projektów
„Kilkukrotnie przeprowadziliśmy konsultacje publiczne na bazie czego opracowano, a następnie opublikowano model hybrydowy” – wskazał podczas Forum Ekonomicznego 2021 Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w KPRM. W ten sposób odniósł się do polskiego systemu certyfikacji cyberbezpieczeństwa. Jak zadeklarował, przewidziano wsparcie finansowe dla podmiotów realizujących projekty w tym zakresie.
Podczas Forum Ekonomicznego 2021 Robert Kośla, dyrektor departamentu cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów (KPRM) podkreślił, że działania podejmowane przez Polskę w zakresie certyfikacji są zgodne z unijnymi przepisami. Jak dodał, odnosząc się do krajowego systemu certyfikacji cyberbezpieczeństwa, rząd kilkukrotnie przeprowadził konsultacje publiczne (z firmami, instytucjami, organizacjami pozarządowymi itd.) na bazie czego opracowano, a następnie opublikowano model hybrydowy. W jego ramach mają funkcjonować laboratoria publiczne, a także powinny powstawać placówki prywatne czy też zakładowe.
Przedstawiciel KPRM wskazał, że po ujawnieniu informacji na temat modelu hybrydowego certyfikacji napływało wiele pytań dotyczących mechanizmów wsparcia dla podmiotów zainteresowanych. Robert Kośla zadeklarował, że przewidziano specjalne konkursy oraz środki finansowe przeznaczone na realizację projektów.
Common Criteria wejdzie w życie
Z kolei Sławomir Górniak z ENISY w ramach swojej wypowiedzi odniósł się do zapisów aktu o cyberbezpieczeństwie. Jak podkreślił, uwzględnia on funkcjonowanie ENISY oraz określa ramy certyfikacji cyberbezpieczeństwa. „To właśnie tu wskazano na możliwość wydawania certyfikacji w każdym państwie członkowskim, który będzie akceptowany na terenie całej Unii Europejskiej” – dodał.
Przedstawiciel unijnej agencji zwrócił uwagę, że schemat certyfikacji Common Criteria został opracowany przez ENISĘ i w krótkim czasie powinien zostać opublikowany w dzienniku europejskim, a więc wejść w życie.
„Jesteśmy państwem-konsumentem”
Paweł Kostkiewicz, kierownik jednostki certyfikującej NASK podczas panelowej dyskusji wskazał, że Polska jest krajem, który rozpoznaje obecnie certyfikaty Common Cirteria, co odbywa się na podstawie specjalnych porozumień. „Jesteśmy państwem-konsumentem. Rozpoznajemy certyfikaty, które inne państwa mogą wydawać” – wyjaśnił.
Sytuacja jest jednak dynamiczna. Co to oznacza? Jak ogłosił specjalista, Polska choć obecnie znajduje się na początku drogi w wydawaniu certyfikatów, już obecnie posiada swoje pierwsze osiągnięcia w tym obszarze. „Przykładem może być certyfikat NASK-u” – zaznaczył Paweł Kostkiewicz.
Bez laboratoriów ani rusz
W trakcie dyskusji Dariusz Rogowski, kierownik laboratorium ITSEFF z Instytutu Technik Innowacyjnych EMAG, zwrócił uwagę na bardzo ważną rolę laboratoriów w procesie certyfikacji. Jego zdaniem bardzo ważny jest nie tylko sprzęt, ale także ludzie i możliwości zapewnienia bezpieczeństwa, a także poufności przekazywanych do tego typu instytucji informacji o produkcie. „Ten ostatni aspekt ma szczególne znaczenie z perspektywy klientów” – zaznaczył.
Laboratorium jest kluczowe w procesie certyfikacji, ponieważ działa na styku z klientem.
Ekspert wyjaśnił, że w procesie niebagatelną rolę odgrywa porozumienie z klientami i wspomaganie ich na każdym etapie oceny. „Jednak musi to być prowadzone bardzo ostrożnie, ponieważ oceniający muszą zapewnić bezstronność i niezależność procesu” – podkreślił Dariusz Rogowski. „Nie możemy klientom sugerować, co zrobili źle i jak powinni zmienić swoje produkty” – dodał.
Zaufanie jest mierzalne
W panelu uczestniczył również prof. Andrzej Białas z Instytutu Łukasiewicza. W trakcie swojej wypowiedzi naukowiec odniósł się do znaczenia umowy międzynarodowej o wzajemnym uznawaniu certyfikatów. Jak zaznaczył, ma ona na celu stworzenie sytuacji, w której nie będzie dochodziło do dublowania się kosztownych procesów i działań w poszczególnych państwach.
Przedstawiciel środowiska akademickiego zaznaczył, że zaufanie do zabezpieczeń jest mierzalne. Jednak w niektórych przypadkach jest to bardzo trudne, zwłaszcza jeśli chodzi o zaawansowane i złożone produkty.
Czy jesteśmy gotowi na masową certyfikację?
Robert Kośla z KPRM wskazał, że jest taka sytuacja jest możliwa, lecz wymaga zaangażowania na wszystkich szczeblach: od ministra ds. cyfryzacji, przez Polskie Centrum Akredytacji, po dostawców poszczególnych rozwiązań (produktów i/lub usług).
Dlaczego certyfikacja nie jest obowiązkowa? Wynika to z faktu, że cały system nie jest jeszcze na to gotowy.
Jednak według Dariusza Rogowskiego z Instytutu Technik Innowacyjnych EMAG nie jesteśmy gotowi na masową certyfikację. Dlaczego? Ekspert zwrócił uwagę na m.in. deficyt ekspertów, co ma ogromne znaczenie dla całej branży.
Swoją opinią na ten temat podzielił się także prof. Andrzej Białas z Instytutu Łukasiewicza. Jego zdaniem jeden z głównych problemów leży po stronie samych konstruktorów. Jak go rozwiązać? „Powinniśmy prowadzić konsultacje i szkolenia z ich udziałem” – zasugerował ekspert.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
