Trendy 21: HOT OR NOT W OBSZARZE CYBERBEZPIECZEŃSTWA wg Roberta Kośli, dyrektora departamentu cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów. Bohater marcowego spotkania CXO HUB przedstawił swoje typy najważniejszych trendów, zjawisk i podejść w obszarze bezpieczeństwa.
Zarządzanie tożsamością
– to temat, który będzie wymagał gruntownego przewartościowania w sfederalizowanych środowiskach. Ataki SolarWinds i wokół SolarWinds boleśnie ujawniły podatności systemu opartego na Single Sign On. Atak w jednym miejscu i przełamanie otwierało drogę do wędrówki pomiędzy elementami różnych systemów i uzyskanie kontroli nad całym zestawem powiązanych aplikacji.
Zero Trust
Będziemy silnie promowali to podejście na poziomie krajowym, filozofię i rozwiązania technologiczne wokół tej koncepcji, implementowanie jej założeń w systemach. W tej chwili ataki dotyczą bowiem przede wszystkim tożsamości i dokonują się poprzez mechanizmy uwierzytelnienia.
Odpowiedzialność za jakość produktu
pod kątem bezpieczeństwa to nurt bardzo istotny i aktualny. Pierwszy obszar, którego dotyczyć będą regulacje to IoT, i to zarówno na poziomie europejskim, jak i krajowym. Bezpieczeństwo IoT ma bardzo duże przełożenie na bezpieczeństwo obywateli, prędzej niż później będziemy mieli autonomicznie funkcje i komunikację pomiędzy urządzeniami bez udziału człowieka-operatora. Musi się więc pojawić rzeczywista odpowiedzialność dostawców za cyberbezpieczeństwo produktów i usług – zupełnie różna od powszechnej dziś kultury prawnej pseudo-odpowiedzialności w licencjach oprogramowania. Temat odpowiedzialności dostawców systemów jest prowadzony więc nie tylko z perspektywy cyberbezpieczeństwa, ale i resortu sprawiedliwości oraz UOKiK.
Testowanie i certyfikacja
Widać, że na poziomie Unii Europejskiej udało się umieścić ten element w Akcie o Cyberbezpieczeństwie. Obecnie główny ciężar odpowiedzialności za to aby koncepcje te zadziałały spoczywa na implementujących to rozporządzenie państwach członkowskich, KE i ENISA. Pierwszy program certyfikacji dotyczy zgodności z Common Criteria. Może to wyglądać na proste przeniesienie metodyki i kryteriów opracowanych na poziomie globalnym, choć nie do końca, ponieważ europejski program zakłada zarządzanie pewnymi kryteriami i metodykami. CC jest standardem pozaeuropejskim i to nie UE zarządza tym schematem, a jedynie wykorzystuje jego elementy i we własnym zakresie będzie je aktualizowała i rozwijała, zależnie od sytuacji międzynarodowej. Kolejne certyfikacje dotyczyć będą dostawców chmurowych, IoT, Industrial IoT. Certyfikacja 5G będzie osobnym programem – założenia tego programu wypracowała podgrupa 5g Sub-Group, której pracom mam okazję współprzewodniczyć wraz z Berndem Kowalskim z niemieckiego BSI.
