Sieć Badawcza Łukasiewicz – Instytut Technik Innowacyjnych EMAG jest jednostką badawczą, która odgrywa kluczową rolę w rozwoju nowoczesnych technologii i innowacyjnych rozwiązań. Specjalizując się w szeroko rozumianym cyberbezpieczeństwie, sztucznej inteligencji, analizie danych (systemach wspomagania decyzji), IoT (Przemysł 4.0, Smart Cities), cyfrowych usługach publicznych oraz badaniach laboratoryjnych, Instytut Łukasiewicz – EMAG nieustannie dąży do podnoszenia standardów technologicznych i wspierania rozwoju gospodarczego. Dzięki wieloletniemu doświadczeniu oraz współpracy z przemysłem i instytucjami naukowymi, Instytut Łukasiewicz – EMAG odgrywa kluczową rolę w kształtowaniu przyszłości technologicznej Polski. Misją jest tworzenie innowacyjnych rozwiązań, które wspierają rozwój gospodarczy i społeczny, przyczyniając się do podnoszenia konkurencyjności polskich przedsiębiorstw na arenie międzynarodowej.
 

Certyfikacja cyberbezpieczeństwa produktów teleinformatycznych oraz systemów i komponentów przemysłowych, stosowanych także w infrastrukturach krytycznych, przyczynia się do zwiększenia zaufania zabezpieczeń implementowanych w tych rozwiązaniach. 
Przekazanie produktu do akredytowanego i niezależnego laboratorium oceny bezpieczeństwa, a następnie poddanie go certyfikacji w akredytowanej jednostce certyfikującej, wiąże się z wykonaniem bezstronnej weryfikacji funkcjonalności zabezpieczeń produktu. Produkty posiadające certyfikat bezpieczeństwa cechują się zwiększonym zaufaniem i są konkurencyjne na rynku bezpiecznych produktów.
 

Certyfikacja pozwala uzyskać zgodność nie tylko z wymaganiami bezpieczeństwa zawartymi w normach oraz specyfikacjach technicznych, ale także z uregulowaniami prawnymi krajowymi i europejskimi. Obecnie w kraju obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa (KCS), pracuje się także nad ustawą o krajowym systemie certyfikacji cyberbezpieczeństwa. W perspektywie europejskiej mówimy o takich uregulowaniach, jak: rozporządzenie Akt o cyberbezpieczeństwie CSA (Cybersecurity Act), dyrektywa NIS 2 (Network and Information Systems Security), europejski program certyfikacji cyberbezpieczeństwa oparty na standardzie Common Criteria – EUCC (EU Common Criteria-based Cybersecurity Certification Scheme), czy też projektowana dyrektywa o cyberodporności CRA (Cyber Resilience Act), programy certyfikacji cyberbezpieczeństwa rozwiązań dla sztucznej inteligencji (AI) i sieci 5G.
 

W celu zastosowania zrównoważonego podejścia do zapewnienia bezpieczeństwa systemów IT oraz komponentów przemysłowych w sieciach OT (Operational Technology), a także infrastruktur krytycznych, należy wprowadzić w praktyce programy certyfikacji i oceny cyberbezpieczeństwa. Programy te stosowane przez niezależną trzecią stronę, w postaci akredytowanych laboratoriów badawczych i jednostek certyfikujących, pozwalają istotnie zwiększyć poziom uzasadnionego, czyli opartego na dowodach, zaufania do zaimplementowanych zabezpieczeń.
 

Łukasiewicz – EMAG realizuje w praktyce powyższe procesy w laboratorium oceny bezpieczeństwa produktów teleinformatycznych ITSEF (IT Security Evaluation Facility) oraz w Jednostce Certyfikującej Wyroby (JCW). Obydwie jednostki zapewniają niezależną weryfikację bezpieczeństwa produktów zgodnie z normami cyberbezpieczeństwa teleinformatycznego oraz przemysłowego. Dzięki tym procesom producenci uzyskują możliwość projektowania architektury bezpieczeństwa swoich produktów na określonym poziomie uzasadnionego zaufania do zabezpieczeń.

Laboratorium oceny bezpieczeństwa produktów teleinformatycznych ITSEF, posiadające akredytację AB 1781 Polskiego Centrum Akredytacji (PCA), działa w ramach Centrum Badań i Certyfikacji Łukasiewicz – EMAG. Laboratorium oferuje usługi oceny bezpieczeństwa zgodnie z międzynarodowym standardem Common Criteria (ISO/IEC 15408) „Wspólne kryteria do oceny bezpieczeństwa technologii informatycznych” (ang. Common Criteria for Information Technology Security Evaluation) oraz zgodnie z metodyką oceny CEM (ang. Common Evaluation Methodology) opisaną w standardzie ISO/IEC 18045.
 

Wynikiem projektu jest pierwszy krajowy program oceny i certyfikacji bezpieczeństwa produktów teleinformatycznych, który posiada status autoryzowanego programu w ramach europejskiego porozumienia SOG-IS (ang. Mutual Recognition Agreement of Information Technology Security Evaluation Certificates) oraz światowego porozumienia CCRA (ang. Arrangement on the Recognition of Common Criteria Certificates). Oznacza to, że certyfikaty wydane w ramach polskiego programu są uznawane przez wszystkich członków tych porozumień. Ponadto program oceny stosowany w laboratorium zgodny jest z pierwszym europejskim programem oceny i certyfikacji EUCC (European Common Criteria-based Cybersecurity Certification Scheme).
 

Laboratorium prowadzi badania na 4 poziomach uzasadnionego zaufania EAL 1 – 4 (ang. Evaluation Assurance Level) dla produktów w postaci oprogramowania oraz sprzętowo-programowych, które pokrywają poziomy bezpieczeństwa istotny (ang. Substantial) i wysoki (ang. High) zgodnie z Aktem o cyberbezpieczeństwie (Cybersecurity Act, CSA).
 

Oznacza to, że producenci rozwiązań IT mogą zwrócić się do laboratorium ITSEF w celu wykonania oceny produktu, jego dokumentacji i środowiska wytwarzania na ustalonym poziomie uzasadnionego zaufania EAL. Rezultaty badań są przekazywane do Jednostki Certyfikującej, która wydaje certyfikaty bezpieczeństwa Common Criteria. Certyfikaty publikowane są na stronach internetowych międzynarodowych porozumień SOG-IS i CCRA oraz Jednostki Certyfikującej.
 

Niezależna ocena i certyfikacja produktu dają korzyści nie tylko użytkownikom, ale także producentom rozwiązań informatycznych. W trakcie oceny, producenci mają możliwość wprowadzania poprawek do konstrukcji urządzenia w celu spełnienia wymagań bezpieczeństwa i tym samym poprawy jakości produktu, a przede wszystkim poprawy skuteczności zabezpieczeń. Ponadto, producenci mogą projektować zabezpieczenia na wczesnych etapach cyklu życia produktu, co w przyszłości znacznie ułatwia proces oceny oraz zmniejsza ryzyko istotnych błędów w funkcjach zabezpieczających, które są dużo trudniejsze do usunięcia w gotowym produkcie. Producenci mogą także korzystać z usług konsultacji niezależnych ekspertów w dziedzinie projektowania i oceny zabezpieczeń.
 

Produkty oceniane przez ITSEF obejmują: rozwiązania sprzętowe, sprzętowo-programowe lub programowe posiadające jakiekolwiek wbudowane zabezpieczenia do ochrony przetwarzanych i przechowywanych zasobów; implementacje algorytmów kryptograficznych; oprogramowanie, aplikacje mobilne; urządzenia sieciowe, diody danych, sondy bezpieczeństwa; czujniki inteligentne; bazy danych i systemy operacyjne.
 

Systemy sterowania i automatyki przemysłowej (ang. Industrial Automation and Control Systems, IACS) oraz ich komponenty, elementy infrastruktury krytycznej, elementy inteligentnych sieci elektroenergetycznych budowane są w oparciu o technologie i rozwiązania stosowane w informatyce, dlatego mogą podlegać ocenie w laboratorium ITSEF zgodnie ze standardami dotyczącymi bezpieczeństwa IT, np. Common Criteria. Ponadto, laboratorium stosuje dodatkowo metody oceny komponentów przemysłowych w oparciu o przemysłowe standardy wymagań bezpieczeństwa.

Użytkownicy produktów stosowanych w przemyśle, w szczególności użytkownicy komponentów systemów automatyki i sterowania, takich jak stacje operatorskie, interfejsów człowiek-maszyna, sterowników programowalnych, zabezpieczeń stosowanych w stacjach elektroenergetycznych, mierników inteligentnych energii i innych mediów, także oczekują stosowania skutecznych zabezpieczeń przed zagrożeniami i atakami cybernetycznymi.
 

Laboratorium ITSEF, w ramach akredytacji AB 1781, oferuje usługi oceny bezpieczeństwa komponentów IACS oraz urządzeń przemysłowych zgodnie z międzynarodową normą IEC 62443-4-2. Laboratorium posiada także procedury wykonywania audytu środowiska wytwarzania bezpiecznych produktów zgodnie z kryteriami oceny normy IEC 62443-4-1.
Laboratorium ITSEF wdrożyło do swojej praktyki, tzw. „lekki” program oceny bezpieczeństwa, który spełnia założenie, że ocena produktu wykonywana jest w krótszym czasie dla zbioru podstawowych wymagań bezpieczeństwa lub specyfikacji technicznej dostarczonej przez klienta. Certyfikat wydawany jest w wyniku procesu realizowanego przez akredytowaną JCW zgodnie z akredytacją PCA nr AC 053, w programie certyfikacji ustanowionym w Łukasiewicz – EMAG.
 

Metody oceny urządzeń IACS stosowane w ITSEF, program certyfikacji JCW oraz akredytacje zostały opracowane w ramach realizacji projektu badawczego pt. „System oceny i certyfikacji cyberbezpieczeństwa – lekkie programy certyfikacji (CyberBEAM), 2021 – 2024”, realizowanego w ramach konsorcjum utworzonego przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy (Lider projektu) oraz Łukasiewicz – EMAG (współwykonawca). Projekt jest finansowany przez NCBiR w ramach programu CyberSecIdent IV (Cyberbezpieczeństwo i e-Tożsamość), nr umowy: CYBERSECIDENT/489595/IV/NCBR/2021.

Laboratorium ITSEF wykonuje ocenę bezpieczeństwa komponentów IACS zgodnie z wymaganiami technicznymi bezpieczeństwa zebranymi w siedmiu kategoriach tzw. wymagań fundamentalnych (ang. Foundational Requirements): identyfikacja i uwierzytelnianie, kontrola użycia, integralność systemu, poufność danych, ograniczony transfer danych, terminowa odpowiedź na zdarzenia, dostępność zasobów. Każdy podzbiór zawiera kilkanaście wymagań szczegółowych dla komponentu IACS, oznaczanych w skrócie CR (ang. Component requirement). Wymagania mogą zawierać rozszerzenia (ang. Requirement Enhancement), które zawierają dalsze uszczegółowienia i dodatkowe kryteria względem podstawowego wymagania CR, i które są wymagane na wyższych poziomach bezpieczeństwa SL (ang. Security Level).
 

Norma określa cztery poziomy bezpieczeństwa dla komponentu przemysłowego od SL 1 do SL 4. Kombinacja wymagań CR, w tym także rozszerzonych, określa docelowy poziom SL możliwy do osiągnięcia przez dane urządzenie. W przypadku, gdy komponent przemysłowy jest prawidłowo skonfigurowany zgodnie z danym wymaganiem, to może osiągnąć docelowy poziom bezpieczeństwa SL bez stosowania żadnych dodatkowych, wspomagających środków bezpieczeństwa spoza tego wymagania.

Ocena bezpieczeństwa realizowana w ITSEF obejmuje takie urządzenia jak: komponenty przemysłowych systemów automatyki i sterowania, w tym stosowane w energetyce, opomiarowaniu, sieciach energetycznych i podstacjach elektroenergetycznych. Usługi te są jednocześnie zgodne z wytycznymi ram oceny i certyfikacji cyberbezpieczeństwa dla przemysłowych komponentów systemów automatyki i sterowania, ICCF (ang. IACS Components Cybersecurity Certification Framework, ICCF) opracowanymi przez europejską grupę badawczą ERNCIP (ang. The European Reference Network for Critical Infrastructure Protection).

Usługi oferowane przez ITSEF i JCW w Łukasiewicz – EMAG wspierają producentów w projektowaniu produktów zgodnie z koncepcją zapewnienia bezpieczeństwa już na etapie projektowania (ang. Security by design). Produkty te z kolei ułatwiają budowanie pogłębionej ochrony (ang. Defense-in-depth) dla złożonych systemów teleinformatycznych i przemysłowych.

Skuteczność zabezpieczeń weryfikowana jest przez zespół ewaluatorów z użyciem wyspecjalizowanej aparatury i narzędzi. W trakcie oceny testowany jest nie tylko sam produkt, ale także jego dokumentacja techniczna, w tym dokumentacja bezpiecznej instalacji i konfiguracji urządzenia.
 

Ocena obejmuje także audyt środowiska rozwojowego produktu w celu identyfikacji potencjalnych podatności, które mogą być wprowadzone na etapach projektowania, wytwarzania i testowania. Ocena realizowana jest ze szczegółowością i rygoryzmem zdefiniowanym zgodnie z założonym poziomem uzasadnionego zaufania do oceny EAL (Evaluation Assurance Level) zgodnie z normą Common Criteria lub poziomem bezpieczeństwa SL (Security Level) zgodnie z normą IEC 62443-4-2.

dr hab. inż. Artur Kozłowski – dyrektor, Sieć Badawcza Łukasiewicz – Instytut Technik Innowacyjnych EMAG

dr inż. Dariusz Rogowski – lider Grupy Badawczej Standaryzacja i Certyfikacja Cyberbezpieczeństwa, Sieć Badawcza Łukasiewicz – Instytut Technik Innowacyjnych EMAG