Będzie certyfikacja wspierająca cyberbezpieczeństwo

© Tiko

Parlament Europejski, Rada i Komisja Europejska właśnie osiągnęły porozumienie polityczne dotyczące aktu ws. cyberbezpieczeństwa. Wzmacnia on mandat Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji ENISA⁽¹⁾ w jej działaniach na rzecz wspierania państw członkowskich w zwalczaniu ataków i zagrożeń. Ustanowiono również unijne ramy certyfikacji z myślą o zwiększeniu bezpieczeństwa usług internetowych i urządzeń konsumenckich.

Europejskie certyfikaty bezpieczeństwa

Akt ws. cyberbezpieczeństwa tworzy ramy dla europejskich certyfikatów cyberbezpieczeństwa w odniesieniu do produktów, procesów i usług, które będą obowiązywały w całej UE. To przełomowy krok i pierwsza regulacja dotycząca rynku wewnętrznego służąca zwiększeniu bezpieczeństwa podłączonych do sieci produktów, urządzeń internetu rzeczy (ang. Internet of Things - IoT), a także krytycznej infrastruktury. Stworzenie ram certyfikacji oznacza także uwzględnienie bezpieczeństwa na etapie projektowania technicznego i rozwoju. Ma zagwarantować użytkownikom, że stosowane zabezpieczenia są niezależnie weryfikowane.

Korzyści dla obywateli i przedsiębiorstw

Główną korzyścią z punktu widzenia użytkownika np. jakiegokolwiek urządzenia IoT ma być możliwość wyboru produktów z certyfikatem bezpieczeństwa.

Dla przedsiębiorców przepisy oznaczają jednolite normy certyfikacji, co ma się przełożyć na znaczne oszczędności, zwłaszcza dla MŚP, które nie będą musiały np. starać się o kilka certyfikatów w różnych krajach. Usunięte zostaną w ten sposób potencjalne bariery utrudniające wejście na rynek. Przepisy mają być też zachętą dla przedsiębiorców do inwestowania w cyberbezpieczeństwo, które należy traktować także w kategoriach budowania przewagi konkurencyjnej na rynku.

Okiem praktyka

- Budowa spójnego systemu, który będzie obejmował wszystkie branże jest bardzo ważna, ponieważ obecnie poszczególni producenci mogą wdrażać aplikacje, które nie są zabezpieczane – wyjaśnia naszej redakcji dr Krzysztof Gawkowski, dyrektor Polskiego Instytutu Cyberbezpieczeństwa. Tak więc, nie ma wątpliwości "czy?", ale "jak?". Nie wiadomo jeszcze, czy model będzie konsultowany z rynkiem, czy narzucony przez wybraną instytucję certyfikującą. - Moim zdaniem trzeba przygotować europejski kodeks etyczny dla cyberbezpieczeństwa, który określi pryncypia (kto co może robić i dlaczego). I to właśnie taki zbiór zasad powinien być punktem wyjścia dla działań jednostki certyfikującej – dodaje dr Gawkowski. Widzi też pilną potrzebę wprowadzenia nowych regulacji. Nie może się np. zdarzać, że konsument kupuje w sklepie jakieś urządzenie, np. kamerę, smartfona, wyposażone w aplikacje, które pozwalają na włamywanie się do tego urządzenia. Patrząc z tej perspektywy, system ujednolicania, a potem nadzorowania, daje szansę, że im będzie bardziej spójny, tym większa szansa na skuteczne zabezpieczenie.

Zagrożenie dla wodociągów

Smart city i digitalizacja dają ogromne możliwości, ale trzeba być świadomym potencjalnych zagrożeń. - Obowiązują trzy generalne zasady: powinniśmy często zmieniać hasła, po drugie zabezpieczać komputery, smartfony programami antywirusowymi (tylko 6 proc. Polek i Polaków zabezpiecza swoją komórkę, podczas gdy komputer aż 90 proc.) – zwraca uwagę dr Gawkowski. Po trzecie, musimy mieć świadomość, że im więcej urządzeń w sieci z możliwością zdalnego zarządzania, tym więcej możliwości włamania się do systemu. Chodzi tutaj nie tylko o inteligentne domy, ale również bezpieczeństwo infrastruktury strategicznej, np. wodociągów czy gazociągów.

Dalsze działania

W celu wdrożenia tego porozumienia politycznego Parlament Europejski i Rada UE będą musiały formalnie przyjąć nowe rozporządzenie. Po jego opublikowaniu w Dzienniku Urzędowym UE natychmiast wejdzie w życie, co utoruje drogę dla opracowania europejskich systemów certyfikacji.

Katarzyna Zamorowska
Dyrektor ds. komunikacji