* Polska ma szansę na odgrywanie kluczowej roli w kształtującym się europejskim ekosystemie certyfikacji cyberbezpieczeństwa.

* W ramach projektu KSO3C trwają w naszym kraju prace nad zbudowaniem dwóch laboratoriów badawczych i powołaniem jednostki certyfikującej.

* Powstająca struktura będzie miała charakter otwarty – będą mogły do niej dołączać kolejne podmioty.

* Posiadanie przez Polskę własnego systemu certyfikacji może przyczynić się do podniesienia poziomu konkurencyjności polskiego sektora IT.

W Unii Europejskiej powstaje nowy ekosystem cyberbezpieczeństwa. Zasady jego funkcjonowania określa Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013. Część zawartych w nim przepisów wchodzi w życie 27 czerwca tego roku, pozostałe 28 czerwca 2021 roku.

Jednym z celów uchwalenia Cybersecurity Act jest stworzenie jednolitego, unijnego systemu certyfikacji produktów i usług, czy też procesów z zakresu ICT pod kątem cyberbezpieczeństwa. Wydany w jednym miejscu certyfikat będzie obowiązywał na terenie całej Unii Europejskiej. Nie trzeba się będzie ubiegać o niego w każdym kraju osobno. Nowa regulacja zmieni funkcjonujący obecnie model certyfikacji bazujący na porozumieniu SOG-IS (Senior Official Group Information Security Systems) z 1997 roku, chociaż część jego elementów i założeń będzie nadal wykorzystywana w nowym systemie. 

Wydany w jednym miejscu certyfikat będzie obowiązywał na terenie całej Unii Europejskiej. Nie trzeba się będzie ubiegać o niego w każdym kraju osobno.

Wyzwaniom związanym z tworzeniem się nowych, unijnych ram cyberbezpieczeństwa oraz szansą, jaka otwiera się przed Polską w związku z potrzebą zapewnienia ogólnoeuropejskich mechanizmów certyfikacji rozmawiano podczas czerwcowego spotkania CSO Council. 

„Wprowadzany model certyfikacji będzie posiadał trzy poziomy zaufania: podstawowy, istotny i wysoki. Na pierwszym z nich wystarczy deklaracja lub samoocena producenta. Na pozostałych będą wymagane certyfikaty wydane przez jednostkę publiczną lub organizację, której powierzono takie zadanie” – tłumaczyła dr Elżbieta Andrukiewicz, Kierownik Projektu KSO3C, Instytut Łączności – Państwowy Instytut Badawczy. 

Na razie posiadanie certyfikatów nie będzie dla nikogo przymusowe. Pod dwóch latach Komisja Europejska dokona przeglądu obowiązującego mechanizmu certyfikacji pod kątem jego wydajności i efektywności. Na podstawie wyników oceny podejmie decyzję o ewentualnym objęciu niektórych sektorów gospodarki obowiązkiem certyfikacji. W pierwszej kolejności będą mu prawdopodobnie podlegać operatorzy usług kluczowych, jak na przykład dostawcy wody i prądu czy firmy transportowe. (Załącznik do rozporządzenia określa branże, które mają zostać poddane ocenie.)  

Jednym z najważniejszych zadań unijnego Cybersecurity Act jest zwiększenie zaufania rynku do rozwiązań informatycznych w zakresie cyberbezpieczeństwa. Przedmiotem certyfikacji w ramach europejskich ram cyberbezpieczeństwa będzie wszystko co związane z ICT – produkty, usługi, procesy. 

dr Elżbieta Andrukiewicz, Kierownik Projektu KSO3C, Instytut Łączności – Państwowy Instytut Badawczy

Z Polski na całą Europę 

Polska już dzisiaj przygotowuje się do aktywnego udziału w tworzącym się systemie europejskiego cyberbezpieczeństwa. Konsorcjum, w skład którego wchodzą: Instytut Łączności, Instytut Technik Innowacyjnych EMAG i NASK – PIB, realizuje projekt KSO3C (Krajowy schemat oceny i certyfikacji bezpieczeństwa oraz prywatności produktów i systemów IT zgodny z Common Criteria) współfinansowany ze środków Narodowego Centrum Badań i Rozwoju (NCBiR). W jego ramach powstaną dwa laboratoria badawcze (w Instytucie Łączności oraz w EMAG), które będą miały zdolność dokonywania oceny zgodności oferowanych na rynku wyrobów i usług z kryteriami określonymi w European Common Criteria Act. (Ogłoszenie tego dokumentu planowane jest na 11 lipca 2019.) NASK natomiast przygotowuje się do roli jednostki certyfikującej o znaczeniu ogólnoeuropejskim. Na podstawie ocen z laboratoriów będzie mógł wydawać obowiązujące w całej Unii Europejskiej certyfikaty. 

„Gdy unijny system certyfikacyjny zacznie funkcjonować, Polska będzie w pełni gotowa do działania w jego strukturach. Będziemy w stanie zaoferować swoje kompleksowe usługi wszystkim zainteresowanym. To może być dla nas szansa na zajęcie znaczącego miejsca w obszarze cyberbezpieczeństwa” – przekonywał Paweł Kostkiewicz, Kierownik Zespołu Standaryzacji i Certyfikacji Teleinformatyki w Pionie Badań i Rozwoju, Naukowa i Akademicka Sieć Komputerowa PIB . 

Działalność polskich instytucji certyfikacyjnych może także spowodować poprawę konkurencyjności polskich firm z sektora IT. Możliwość przeprowadzenia procesu certyfikacji we własnym kraju będzie z pewnością ułatwiała podjęcie decyzji o poddaniu się niezbędnej ocenie. A uzyskanie certyfikatu nie tylko podnosi wartość produktu czy usługi lecz także poprawia generalnie proces projektowania i wytwarzania wyrobów. 

KSO3C ma stworzyć otwarte środowisko certyfikacyjne. Do powstałej struktury będą mogły dołączać inne podmioty z własnymi pomysłami i projektami. Na przykład grupa producentów będzie mogła wejść do tego systemu z własnym laboratorium branżowym. 

W europejskich ramach cyberbezpieczeństwa może funkcjonować wiele różnych programów certyfikacji. Każdy może zgłosić do systemu własny program zgodny z zasadami Cybersecurity Act. Jednym z nich będzie polski KSO3C, do którego będą mogły również przystępować różne podmioty.

Paweł Kostkiewicz, Kierownik Zespołu Standaryzacji i Certyfikacji Teleinformatyki w Pionie Badań i Rozwoju, Naukowa i Akademicka Sieć Komputerowa PIB 

 Testowanie na żądanie

W marcu 2019 Huwaei otworzył w Brukseli własne Cyber Security Transparency Center. Zainteresowane organizacje i firmy mogą dokonać w nim testowania produktów chińskiego producenta. „Testowanie może odbywać się dowolnymi metodami i sposobami, za pomocą dowolnych narzędzi i być wykonane przez dowolną firmę wybraną przez zainteresowanego” – mówił podczas czerwcowego spotkania CSO Council Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics, Huawei Technologies. Huawei udostępnia na miejscu kody źródłowe wskazanych rozwiązań i ich dokumentację. Przeprowadza również szkolenie dotyczące wybranych produktów. Korzystanie z laboratorium jest płatne.