Patrzymy holistycznie na cały cykl życia oprogramowania, ale ze szczególnym uwzględnieniem środków konstrukcyjnych, które gwarantują, że bezpieczeństwo zostanie wbudowane w tworzone rozwiązania już na etapie projektowania, a także będzie brane pod uwagę w trakcie fazy integracji i konfiguracji – mówi prof. dr Joern Eichler, szef departamentu Secure Software Engineering we Fraunhofer Institute for Applied and Integrated Security (Fraunhofer AISEC).

Czym zajmuje się Fraunhofer Gesellschaft?

Niemiecki Fraunhofer Gesellschaft to największa w Europie organizacja zajmująca się praktycznym zastosowaniem badań naukowych. Zatrudnia 24 tys. osób, które pracują mając do dyspozycji roczny budżet przekraczający 2,1 mld euro. Ponad 70% tych środków pochodzi z kontraktów z różnymi branżami oraz z projektów badawczych finansowych ze środków publicznych. Nasza misja polega na przekształcaniu wiedzy naukowej w wiedzę praktyczną, którą można zastosować w biznesie, oraz na przekazywaniu informacji zwrotnych z biznesu do nauki.

W czym specjalizuje się Fraunhofer AISEC?

Działalność badawczą w ramach Fraunhofer Gesellschaft prowadzi 69 instytutów i jednostek badawczych zlokalizowanych w różnych częściach Niemiec. Zalicza się do nich założony w 2009 r. Fraunhofer AISEC, który jest jednym z czołowych instytutów zajmujących się praktycznym bezpieczeństwem IT. Obecnie zatrudniamy ponad 110 pracowników i ciągle się rozwijamy. Większość osób to naukowcy zajmujący się technologiami komputerowymi, inżynierowie elektrycy oraz matematycy.

AISEC wspiera firmy z różnych branż i sektorów w zabezpieczaniu systemów, infrastruktur, produktów i ofert. W imieniu naszych klientów tworzymy wysokiej jakości technologie bezpieczeństwa, które dostarczają wartość biznesową: zwiększają niezawodność systemów i produktów IT, podnoszą poziom zaufania i są odporne na próby złamania. Przykładowo doradzamy dużym operatorom energetycznym w zakresie ich polityki bezpieczeństwa, a także producentom w branży motoryzacyjnej w kwestiach związanych z rozwijaniem nowych technologii na potrzeby bezpiecznych samochodów autonomicznych.

Dzisiaj coraz więcej systemów jest połączonych z zewnętrznym światem, dlatego ochrona perymetryczna może stanowić tylko jedną z linii obrony. W tej sytuacji potrzebne są komponenty, które są tworzone z góry z myślą o ich bezpieczeństwie.

Co stanowi podstawę Państwa strategicznego podejścia do bezpieczeństwa?

Nasze podejście ma warstwowy charakter. Znalazło ono odzwierciedlenie w naszej strukturze organizacyjnej. Mamy departamenty zajmujące się: bezpieczeństwem sprzętu, zabezpieczaniem systemów operacyjnych, bezpieczeństwem produktów, bezpieczeństwem rozwiązań branżowych, bezpiecznymi aplikacjami i usługami, a także metodami, narzędziami i procesami bezpiecznej inżynierii oprogramowania.

Zawsze staramy się być o krok przed tym, co się wydarzy. Śledzimy, jakie zagrożenia się pojawią, na czym powinniśmy się skoncentrować w przyszłości. Kładziemy nacisk na to, żeby nasze wysiłki naukowe i badawcze pozwoliły na dostarczenie rozwiązań na rynek, zanim świadomość nowych wymagań stanie się powszechna.

Jednym z krytycznych aspektów bezpieczeństwa, z naszego punktu widzenia, jest umiejętność wykorzystania całej aktualnej wiedzy z obszaru bezpieczeństwa, wszystkich danych, które już posiadamy, w celu uzyskania nowych, adekwatnych do aktualnych wyzwań wniosków. Następnie przekuwamy zdobytą w ten sposób wiedzę w nowe metody i technologie, które pozwalają organizacjom uzyskać odpowiedni poziom zwinności w obszarze bezpieczeństwa.

Na jakich branżach koncentrują się te działania?

Główne branże to: przemysł samochodowy, infrastruktura krytyczna oraz usługi finansowe. Zasadniczo nasze prace mogą być jednak wykorzystywane przez wszystkie branże. Często mamy do czynienia z sytuacją, że jedna z branż znajduje się w pewnym obszarze na wyższym poziomie rozwoju niż inne. Staramy się wówczas dokonać transferu zdobytych doświadczeń i wiedzy z jednej branży do innych. Dzięki temu można przyspieszyć ich rozwój i sprawić, że nie będą popełniały tych samych błędów.

Odporne na ataki sieciowe systemy ICS opierają się na przepływie informacji. Producenci i integratorzy muszą dostarczać swoim klientom środki do budowania i obsługiwania bezpiecznych systemów ICS.

Jak zatem można zabezpieczać systemy kontrolujące infrastrukturę krytyczną?

Aktualna sytuacja wygląda tak, że mamy już zainstalowane systemy, musimy więc zmierzyć się z problemem przestarzałych komponentów. Podstawowe podejście polega na utworzeniu bezpiecznej strefy wokół tych podatnych komponentów. Liczymy na to, że przez tę strefę nikt się nie przedostanie. W dzisiejszych czasach jednak coraz więcej i więcej systemów jest połączonych z zewnętrznym światem, dlatego ochrona perymetryczna może stanowić jedynie jedną z linii obrony. W tej sytuacji potrzebne są komponenty, które są tworzone z góry z myślą o ich bezpieczeństwie. Jeśli nie projektuje się komponentów w taki bezpieczny sposób i nie integruje aktywności w obszarze bezpieczeństwa w procesach rozwojowych, wówczas takie komponenty same w sobie nie będą odporne na konsekwentne ataki.

Budowa bezpiecznych komponentów to nie jedyny krok, jaki należy wykonać, ale to krok, który nader często się zaniedbuje. Zwracamy na to uwagę i doradzamy, żeby nie skupiać się wyłącznie na mechanizmach organizacyjnych i operacyjnych. Ważne jest, żeby wiedzieć, jak dany komponent był rozwijany. Odpowiedzialność za to spada dzisiaj w coraz większej mierze na operatorów.

W wystąpieniu podczas konferencji InfraSEC 2017 wspomniał Pan, że bezpieczeństwo zależy od współpracy pomiędzy operatorem a dostawcą…

Zawsze dochodziło do bliskiej współpracy pomiędzy operatorami, dostawcami i integratorami. Jednak w obszarze bezpieczeństwa wszystkie strony muszą się bardziej otworzyć. Wielu operatorów niechętnie rozmawia o bezpieczeństwie z dostawcami czy swoimi klientami. W efekcie brakuje potrzebnej do skutecznego działania przejrzystości w obszarze bezpieczeństwa pomiędzy operatorami, dostawcami i integratorami.

Odporne na ataki, sieciowe systemy ICS (Industrial Control Systems) opierają się na przepływie informacji. Producenci i integratorzy muszą dostarczać swoim klientom środki do budowania i obsługiwania bezpiecznych systemów ICS.

Z drugiej strony, muszą oni dysponować pełną wiedzą o bezpieczeństwie środowiska operacyjnego. Potrzebny jest stały przepływ informacji: system ICS zgodnie ze stanem wiedzy na dzień dzisiejszy może być bezpieczny, ale następnego dnia może zostać odkryta nowa technika ataku i reakcja musi zostać wypracowana wspólnie przez wszystkie strony. Podobnie to wygląda, jeśli chodzi o zmiany w środowisku operacyjnym. Na przykład nowy dostęp serwisowy może wymagać podjęcia pewnych akcji przez integratora albo producenta, który zapewni środki ochrony.

Certyfikaty produktów powinny być rozpatrywane zawsze w połączeniu z oceną bezpieczeństwa procesu rozwojowego producenta.

Dlaczego certyfikaty bezpieczeństwa dla produktów mają obecnie ograniczoną wartość?

Ogólnie rzecz biorąc, certyfikaty bezpieczeństwa to wartościowy sposób komunikowania właściwości bezpieczeństwa. Wystandaryzowane w tym obszarze przez ISO Common Criteria stanowią solidny fundament do oceniania właściwości komponentów. Niestety, proces oceny jest rygorystyczny i wymaga dużo czasu oraz wysiłku. W efekcie często prowadzi to do sytuacji, w której produkt staje się przestarzały, ale nie może zostać zmieniony, jeśli ma utrzymać swoją certyfikację. Biorąc pod uwagę obecne praktyki w branży usług chmurowych, gdzie wiele zmian w danym produkcie dokonywanych jest bardzo szybko, oczywiste się staje, że potrzeba nowego podejścia.

Czy certyfikaty mają wobec tego jakąkolwiek realną wartość dla operatorów lub integratorów?

Pomimo występujących problemów nadal są wartościowe. W wersji minimum organizacja pokazuje swoje zdolności do stworzenia bezpiecznego komponentu oraz gotowość do poddania się ocenie przez niezależne ciało. Zgodnie z tym, co mówiłem w wystąpieniu podczas konferencji, certyfikaty produktów powinny być rozpatrywane zawsze w połączeniu z oceną bezpieczeństwa procesu rozwojowego producenta.

Niemniej spodziewamy się zapotrzebowania na nowe schematy certyfikacyjne, które uwzględniają zmiany i odpowiednio odzwierciedlają różne potrzeby w zakresie ochrony. Dlatego wspólnie z akademickimi i branżowymi partnerami oraz innymi zainteresowanymi stronami aktywnie poszukujemy rozwiązań mających stanowić odpowiedź na te potrzeby.