Standaryzacja i certyfikacja cyberbezpieczeństwa w Łukasiewicz – EMAG
Artur Kozłowski, Dariusz Rogowski

Redaktor: Czym zajmuje się instytut Łukasiewicz – EMAG, którego jest Pan dyrektorem?

Artur Kozłowski: Sieć Badawcza Łukasiewicz – Instytut Technik Innowacyjnych EMAG jest instytutem sieci, specjalizującym się w informatyce stosowanej, informatyce technicznej oraz technologiach informacyjnych. Łukasiewicz - EMAG zajmuje się m.in. szeroko rozumianym cyberbezpieczeństwem, sztuczną inteligencją, analizą danych, ideą smart cities, cyfrowymi usługami publicznymi, IoT, przemysłem 4.0, dostępnością plus. Instytut prowadzi prace pod kątem dalszego rozszerzenia obszarów związanych z cyberbezpieczeństwem oraz technologiami AI/ML

Łukasiewicz – EMAG współtworzy Sieć Badawczą Łukasiewicz, która jest jedną z największych tego typu organizacji badawczo-rozwojowych w Europie. Unikatowy projekt o ogromnym potencjale komercyjnym, dostarczający atrakcyjne, kompletne i konkurencyjne rozwiązania biznesowe w obszarach automatyki, chemii, biomedycyny, teleinformatyki, materiałów oraz zaawansowanego wytwarzania. Sieć zatrudnia ok. 7,5 tysiąca pracowników, w tym 4,5 tysiąca naukowców i inżynierów. Instytuty są zlokalizowane w kilkudziesięciu polskich miastach, pracując dla przedsiębiorczości i wspierając rozwój polskich firm. Działając w formule Science is Business inicjuje spotykania z przedsiębiorcami i oferuje rozwiązania, które pomagają usprawniać biznes oraz tworzyć technologie zmieniające rzeczywistość. Łukasiewicz to realizacja polskich aspiracji do współdziałania z europejskimi i światowymi liderami. Sieć Badawcza Łukasiewicz zwiększa szanse klientów na pozyskiwanie międzynarodowych grantów i partnerów gospodarczych.

Artur Kozłowski

Redaktor: Jakie realizują Państwo działania związane z cyberbezpieczeństwem?

Artur Kozłowski: W dziedzinie cyberbezpieczeństwa istnieje wiele różnych projektów i działań mających na celu ochronę systemów informatycznych, sieci komputerowych, danych oraz użytkowników przed zagrożeniami związanymi z cyberprzestrzenią. Instytut realizuje działania m. in. w zakresie audytu bezpieczeństwa, pentestów, wdrażania i zarządzania systemami bezpieczeństwa, monitorowania zagrożeń w czasie rzeczywistym oraz szkoleń z zakresu cyberbezpieczeństwa. W naszych działaniach zapewniamy zgodności z obowiązującymi regulacjami i standardami branżowymi dotyczącymi bezpieczeństwa. Wszystkie te działania skupiają się na minimalizacji ryzyka związanego z cyberatakami, ochronie danych i infrastruktury oraz utrzymaniu stabilności i zaufania w cyberprzestrzeni. Realizacja tych projektów wymaga zaangażowania specjalistów z różnych dziedzin, takich jak informatycy, specjaliści ds. bezpieczeństwa informacji, analitycy czy administratorzy sieci.

Redaktor: Czym jest standaryzacja i certyfikacja cyberbezpieczeństwa?

Artur Kozłowski: Certyfikacja w dziedzinie cyberbezpieczeństwa jest ważnym środkiem potwierdzającym wiedzę, umiejętności i doświadczenie zawodowe osób pracujących w tej branży. To ustandaryzowany proces oceny rozwiązań technicznych (rozwiązania sprzętowe i oprogramowanie), zróżnicowany rodzajem i miejscem stosowania, kończący się wydaniem certyfikatu. Proces realizowany jest przez odpowiednie jednostki operacyjno-wykonawcze i co najważniejsze - niezależne i transparentne. Certyfikaty są uznawane na całym świecie i stanowią ważny element budowania zaufania wśród pracodawców, klientów i partnerów biznesowych. Istnieje wiele różnych certyfikatów w obszarze cyberbezpieczeństwa, dostosowanych do różnych poziomów doświadczenia i specjalizacji. W produktach opracowywanych w Sieci Badawczej Łukasiewicz zwracamy dużą uwagę na to zagadnienie.

Redaktor: Co to jest CyberBEAM?

Dariusz Rogowski: CyberBEAM to akronim projektu pt. „System oceny i certyfikacji cyberbezpieczeństwa - lekkie programy certyfikacji”, który realizowany jest w ramach konsorcjum tworzonego przez Łukasiewicz – EMAG oraz Naukową i Akademicką Sieć Komputerową - Państwowy Instytut Badawczy. Projekt jest finansowany przez NCBiR w ramach programu CyberSecIdent IV (Cyberbezpieczeństwo i e-Tożsamość).

Dariusz Rogowski

Redaktor: Jaki jest cel projektu?

Dariusz Rogowski: Celem projektu jest rozwinięcie działalności w zakresie oceny zgodności i certyfikacji cyberbezpieczeństwa w ramach tzw. lekkich programów oceny i certyfikacji cyberbezpieczeństwa w zakresie komponentów przemysłowych systemów automatyki i sterowania (ang. Industiral Automation and Control System, IACS) oraz przemysłowego Internetu rzeczy (ang. Industrial Internet of Things, IIoT) a centrów przetwarzania danych (CPD) oraz chmur obliczeniowych.

Produktami projektu będą m.in.: program certyfikacji urządzeń IACS dla jednostek certyfikujących wyroby oraz metody badawcze stosowane przez laboratoria podczas weryfikacji, czy dane urządzenie spełnia techniczne wymagania bezpieczeństwa specyficzne dla przemysłowego środowiska operacyjnego.

Redaktor: Jakie korzyści projekt przyniesie dla producentów i użytkowników komponentów IACS?

Dariusz Rogowski: Rezultatem projektu będzie skrócona, szybka ścieżka oceny zgodności urządzenia z wymaganiami bezpieczeństwa, która kończy się wydaniem certyfikatu bezpieczeństwa po 50 dniach od rozpoczęcia procesu.

Kolejną wartością dla przedsiębiorców i użytkowników będzie możliwość wykonania analizy bezpieczeństwa produktu polegającej na identyfikacji jego krytycznych zasobów w celu identyfikacji zagrożeń i określenia celów zabezpieczeń dla zasobów. 

Analiza ryzyka oraz ocena zabezpieczeń komponentów systemu będzie mogła zostać wykonana w akredytowanym laboratorium ITSEF Łukasiewicz - EMAG (akredytacja PCA nr AB 1781).

Redaktor: Co to jest laboratorium ITSEF?

Dariusz Rogowski: Skrót nazwy laboratorium ITSEF jest akronimem angielskiej nazwy „IT Security Evaluation Facility”, która oznacza akredytowaną, licencjonowaną jednostkę wykonującą oceny bezpieczeństwa rozwiązań IT.

Laboratorium ITSEF w Łukasiewicz - EMAG prowadzi akredytowane i licencjonowane badania oceny bezpieczeństwa produktów IT na zgodność z normą ISO/IEC 15408 (Common Criteria, CC), wykorzystując metodykę oceny zabezpieczeń teleinformatycznych CEM (ang. Common Evaluation Methodology) opisaną w międzynarodowej normie ISO/IEC 18045. Laboratorium prowadzi także akredytowane badania zgodności komponentów automatyki przemysłowej zgodnie z technicznymi wymaganiami bezpieczeństwa opisanymi w normie IEC 62443-4-2.

Redaktor: Jakie badania wykonuje laboratorium?

Dariusz Rogowski: Laboratorium ITSEF wykonuje oceny bezpieczeństwa produktów w takich obszarach jak: teleinformatyka, energetyka i inteligentne sieci elektroenergetyczne, inteligentne opomiarowanie, przemysłowe systemy automatyki i sterowania, motoryzacja, Internet rzeczy (IoT), przemysłowy Internet rzeczy (IIoT), sieci telekomunikacyjne, administracja publiczna, elementy infrastruktury krytycznej. 

W tych obszarach znajdują się m.in. takie produkty, jak: sterowniki programowalne, systemy SCADA, HMI, RTU, czujniki inteligentne, komponenty IIoT, przełączniki, zapory i bramy sieciowe, sondy cyberbezpieczeństwa, diody danych, radiowe komponenty sieciowe, a także oprogramowanie wykrywające incydenty bezpieczeństwa stosowane w SOC. Słowem, wszelkie produkty teleinformatyczne w postaci oprogramowania, komponentów sprzętowych oraz programowo-sprzętowych, w których wbudowane są jakiekolwiek zabezpieczenia chroniące krytyczne zasoby.

Redaktor: Co jest celem oceny bezpieczeństwa wykonywanej w laboratorium?

Dariusz Rogowski: Celem badań jest weryfikacja skuteczności zastosowanych w produkcie zabezpieczeń oraz ocena dokumentacji produktu według kryteriów oceny zdefiniowanych w normie Common Criteria. Wymagania i kryteria zdefiniowane są w normie za pomocą poziomów uzasadnionego zaufania EAL (ang. Evaluation Assurance Level). 

W naszym laboratorium wykonujemy badania na poziomach od EAL 1 do EAL 4, tym samym dostarczając naszym klientom mierzalne i uzasadnione zaufanie do wykonanej przez nas oceny bezpieczeństwa ich produktu.

Należy podkreślić, że im wyższy zadany poziom zaufania EAL, tym bardziej rygorystyczny jest proces oceny i tym bardziej wnikliwa jest weryfikacja dokumentacji technicznej, procesów wytwarzania produktu, zarządzania konfiguracją i usterkami, a także analiza podatności i, co za tym idzie, testy penetracyjne wykonywane są przy założeniu wyższego potencjału ataku.

Stąd też cały proces oceny, w zależności od przyjętego przez klienta poziomu EAL, może trwać od 2 do nawet 12 miesięcy. Zdecydowanie nie jest to „lekki” proces w porównaniu do tego, co zakładamy w metodyce oceny w projekcie CyberBEAM, jednakże wymagany jest dla produktów stosowanych w środowiskach o podwyższonych wymaganiach bezpieczeństwa, często wymaganych przez strategiczne instytucje państwowe. 

Redaktor: Czy klient może liczyć na wsparcie w procesie oceny Common Criteria?

Dariusz Rogowski: Ależ oczywiście, że tak. Z naszego dotychczasowego doświadczenia z wykonanych ocen wynika, że producenci nie znają standardu i mają duże kłopoty z prawidłowym stosowaniem jego wymagań i z odnalezieniem się w procesie certyfikacji produktu. Wynika to głównie z obszerności, skomplikowania i czasami hermetycznego języka opisu wymagań stosowanego w normie.

Dlatego też dla naszych klientów oferujemy usługi wsparcia zawierające: dwudniowe szkolenie wprowadzające do standardu Common Criteria i do procesów certyfikacji i oceny; wykonanie wstępnej analizy zgodności produktu i organizacji z wymaganiami, tzw. Gap analysis, a już w trakcie trwania oceny oferujemy ciągłe wsparcie niezależnego eksperta, który konsultuje klienta podczas opracowywania materiału dowodowego do oceny oraz wprowadzania poprawek do produktu i dokumentacji w wyniku obserwacji przekazywanych przez laboratorium.

Redaktor: Jakie są korzyści dla klienta z oceny wykonywanej w państwa laboratorium?

Dariusz Rogowski: Przede wszystkim cały proces odbywa się w ramach polskiego programu certyfikacji, a co za tym idzie dokumentacja produktu, raporty z oceny oraz procedury realizowane są w całości w naszym ojczystym języku, co naprawdę znacznie ułatwia naszym klientom przejście całego procesu. Oczywiście certyfikat wydawany jest wciąż w międzynarodowej formie.

Po drugie, produkty z certyfikatami stają się nie tylko bardziej konkurencyjne na krajowym rynku, ale także na europejskim i międzynarodowym.

Po trzecie, organizacje mogą zwiększyć dojrzałość procesów wytwarzania produktów poprzez zastosowanie praktyk i kryteriów narzucanych przez standard Common Criteria, tym samym poprawiając nie tylko bezpieczeństwo produktów, ale także ich jakość. Innymi słowy uczestnictwo w procesie oceny bezpieczeństwa podnosi świadomość i kulturę bezpieczeństwa w organizacji.

Po czwarte, klient może skorzystać ze wsparcia w trakcie trwania oceny w postaci szkoleń i konsultacji.

Ostatnim argumentem nie do przecenienia są oczywiście koszty całego procesu, który w polskim laboratorium na pewno będzie tańszy niż w laboratorium zagranicznym.

Redaktor: Jakie są wasze plany rozwojowe na przyszłość w kontekście oceny cyberbezpieczeństwa?

Dariusz Rogowski: Nie zatrzymujemy się na branżach przemysłowej i IT, aczkolwiek ich pojemność jest bardzo duża i obejmuje wiele różnego typu produktów i urządzeń. 

Nasze plany kierują się także na rozwój badań dotyczących możliwości oceny rozwiązań kryptograficznych, a także procesów oraz zarządzanych usług bezpieczeństwa, które wkrótce zostaną wprowadzone odpowiednimi dyrektywami i rozporządzeniami Unii Europejskiej.

Stąd też wynika konieczność zachowania zgodności i śledzenia aktualnych aktów prawnych, norm, metodyk lub planowanych w Unii ram oceny i certyfikacji cyberbezpieczeństwa. Natomiast dla laboratorium oznacza to opracowywanie, weryfikowanie i walidację nowych metod oceny bezpieczeństwa dla nowego typu urządzeń lub technologii.

Redaktor: Jak w UE wygląda obecnie sytuacja dotycząca certyfikacji cyberbezpieczeństwa?

Artur Kozłowski: Prace nad europejskimi ramami oraz programami certyfikacji cyberbezpieczeństwa są bardzo zaawansowane i należy się spodziewać, że w ciągu następnych kilkunastu miesięcy zostaną opracowane odpowiednie akty wykonawcze, zgodnie z tym co przekazuje Agencja Unii Europejskiej ds. Cyberbezpieczeństwa – ENISA.

Obecnie prowadzone są prace w kierunku ustanowienia europejskich ram certyfikacji cyberbezpieczeństwa EUCC (ang. EU Cybersecurity Certification) w oparciu o metodykę Common Criteria. Program EUCC jest zgodny z wytycznymi przyjętego przez Radę Europy Aktu o cyberbezpieczeństwie (ang. Cybersecurity Act, CSA) specyfikującego wymagania w zakresie technologii informacyjno-komunikacyjnych.

Z kolei w obszarze certyfikacji komponentów przemysłowych zaproponowano utworzenie europejskich ram oceny i certyfikacji IACS – ICCF (ang. IACS Components Cybersecurity Certification Framework, ICCF). W wyniku tego wypracowano odpowiednie rekomendacje co do wdrażania tych programów w Europie.

Ponadto należy tu wspomnieć o projekcie Aktu o odporności (ang. Cyber Resilence Act – CRA) w sprawie wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz o dyrektywie NIS 2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Dyrektywa NIS 2 zasługuje tu na szczególną uwagę, gdyż narzuca wymagania dla dostawców usług kluczowych, którzy m.in. stosują komponenty IACS w ramach infrastruktur krytycznych. 

Należy podkreślić, że dotychczasowe nasze działania powodują, że laboratorium ITSEF Łukasiewicz – EMAG dostarcza usługi oceny zgodne z postanowieniami aktu CSA oraz jest przygotowane do oceny produktów, procesów i usług kluczowych wykorzystujących komponenty przemysłowe oraz IT.

Artur Kozłowski,
Sieć Badawcza Łukasiewicz – Instytutu Technik Innowacyjnych EMAG
Dyrektor

Dariusz Rogowski
Sieć Badawcza Łukasiewicz – Instytutu Technik Innowacyjnych EMAG
Lider Grupy Badawczej
Standaryzacja i certyfikacja cyberbezpieczeństwa