Komisja Europejska zaprezentowała projekt rozporządzenia delegowanego ustanawiającego kodeks sieci dot. przepisów sektorowych w zakresie aspektów cyberbezpieczeństwa transgranicznych przepływów energii elektrycznej. Nowy kodeks ma kluczowe znaczenia dla operatorów sieci energetycznych, będących częścią infrastruktury krytycznej.
Jak wskazuje ekspert Stormshield, niewielka różnica w jakości rozwiązania (firewalle, technologie – na przykład AV, SIEM, DLP, bądź w obszarze procedur) może mieć kluczowe znaczenie w kontekście bezpieczeństwa. W branżowych dyskusjach pojawia się wątek unijnej legislacji ws. możliwości wydatkowania środków publicznych, nie tylko w branży energetycznej, jedynie na certyfikowane systemy. Również Dyrektywa NIS2 – wdrażanie jej założeń powinno zostać zakończone do jesieni 2024 roku — wskazuje certyfikację jako jeden z najważniejszych elementów systemu cyberbezpieczeństwa.
Niełatwe rozstrzygnięcie kwestii certyfikatów. Czy są potrzebne?
Obecnie istnieją centra certyfikacyjne jak ANSSI we Francji (francuska agencja ds. cyberbezpieczeństwa), NSS Labs w Stanach czy Spanish National Cryptology Centre (CCN) w Hiszpanii. W Polsce działa Jednostka Certyfikująca NASK, która m.in. wydaje międzynarodowe certyfikaty dla produktów ICT, uznawane w 17 krajach. Pod jej patronatem aktualnie tworzona jest Ekspercka Sieć Kooperacji, której zadaniem będzie budowa ekosystemu tworzącego ramy certyfikacji w zakresie cyberbezpieczeństwa. Na poziomie Unii Europejskiej funkcjonuje ENISA. Opracowana jest również lista rekomendowanych przez Unię Europejską czy NATO produktów cyberbezpieczeństwa.
Dla odbiorców certyfikat jest klarowną sugestią, że produkt lub technologia spełnia określone normy i standardy. Decydując się na ten, którego jakość potwierdzają niezależne ośrodki badawcze, zyskują większy spokój podczas niełatwego wyboru rozwiązań, która nie są tanie. Z drugiej strony należy odnotować poważne zaniepokojenie producentów, czy taką legitymizację przejdą. Co więcej, ewentualne wprowadzenie europejskiego certyfikatu będzie kolejną barierą dla start up’ów. Również ten segment rozwija wartościowe rozwiązania, a zderzenie, na przykład z kosztem procesu, może się okazać bardzo trudne. Zwyczajnie mają znacznie mniejsze możliwości, a proces certyfikacji produktów technologicznych jest złożony i czasochłonny, a przez to kosztowny – dodaje ekspert ds. cyberbezpieczeństwa. – mówi Aleksander Kostuch, inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT.
Jak ocenia Komisja Europejska, argumentując przyjęcie 20 października 2023 roku nowych przepisów: „Obecnie w branży cyberbezpieczeństwa istnieje wiele metodologii i standardów. Jest to szybko rozwijająca się dziedzina wiedzy. Mając na celu harmonizację i zapewnienie wspólnego poziomu odniesienia przy jednoczesnym poszanowaniu istniejących praktyk i inwestycji w jak największym stopniu, kodeks sieci ustanawia model zarządzania w celu opracowania, monitorowania i regularnego przeglądu metodologii różnych zainteresowanych stron. Ten model zarządzania i wkładu zainteresowanych stron uwzględnia obecne mandaty różnych organów w systemach regulacyjnych dotyczących cyberbezpieczeństwa i energii elektrycznej”.
W dyskusjach specjalistów ds. cyberbezpieczeństwa pojawia się wątek legislacji ws. wydatkowania środków publicznych, nie tylko w branży energetycznej, jedynie na certyfikowane systemy.
Wdrożenie prawodawstwa dotyczącego wymogów certyfikacyjnych, odnoszących się do wydatkowania środków publicznych, przyniosłoby szereg praktycznych konsekwencji. Podmioty publiczne mogłyby podejmować decyzje zakupowe, wymagając certyfikacji, co byłoby impulsem zwiększającym ogólny poziom bezpieczeństwa. A wobec bieżącej sytuacji, każde działanie obliczone na uzyskanie takiego efektu, w tym w szczególności w odniesieniu do infrastruktury krytycznej jest pożądane. Fakt, że te kwestie są procedowane, odbieram jako dobry znak, dowód, że potrzeba działań jest dostrzegana na poziomie UE, co ma istotne znaczenie w obliczu rosnącej liczby zagrożeń hybrydowych. – mówi Aleksander Kostuch, ze Stormshield.
Wskazówka eksperta — dlaczego warto ufać certyfikatom?
Certyfikaty są wydawane w oparciu o podobne standardy. Identyfikowane są wymagania, jakie muszą one spełniać, aby pomyślnie przejść proces — wynikające z przepisów prawa, norm branżowych lub wymagań wewnętrznych.
Po zidentyfikowaniu wymagań dostawca musi opracować dokumentację potwierdzającą, że produkt je spełnia. Obejmuje ona instrukcje obsługi, specyfikacje techniczne i raporty z testów, które są obligatoryjnym etapem całego procesu, pozwalającym w praktyce potwierdzić funkcjonalność produktu. Testy mogą być przeprowadzane przez wewnętrzny dział kontroli jakości lub przez zewnętrzną jednostkę certyfikującą, co oczywiście podnosi poziom zaufania do oceny produktu. To na tym etapie następuje ostateczna ocena dokumentacji i wyników testów. Proces certyfikacji produktów technologicznych z reguły bywa złożony i czasochłonny.
Sfera bezpieczeństwa IT obejmuje trudne zagadnienia, wymagające często zaawansowanej wiedzy technologicznej. Certyfikacja jest gwarantem jakości, co ułatwia poruszanie się po gamie zróżnicowanych rozwiązań – mówi Aleksander Kostuch. – Choć nie gwarantuje absolutnego bezpieczeństwa, to jednak świadczy o tym, że produkt spełnia określone standardy i przeszedł odpowiednie testy. Z reguły przekłada to się na wyższą jakość i bezpieczeństwo, co ma szczególe znaczenie w kontekście ochrony infrastruktury krytycznej, jej bezpieczeństwa i stabilności np. dostaw energii. – dodaje inżynier Stormshield.
Brak certyfikacji oznacza brak gwarancji, że produkt został poddany testom i audytom, co może narażać użytkownika na przykład na ryzyko wystąpienia luk bezpieczeństwa. A konsekwencje potencjalnych ataków, szczególnie na infrastrukturę krytyczną mogą być olbrzymie. W przypadku sieci energetycznych mogą powodować uszkodzenie lub wyłączenie sieci, a tym samym paraliżować funkcjonowanie państwa.
Również Dyrektywa NIS2 wskazuje certyfikację jako jeden z najważniejszych elementów systemu cyberbezpieczeństwa. Jedną z międzynarodowych norm w tym obszarze jest PN-ISO/IEC 27001, dotycząca Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Potwierdza ona identyfikacje i ocenę zagrożeń oraz ryzyka, a także wdrożenie odpowiednich środków kontroli w celu zmniejszenia poziomu ryzyka do akceptowalnego poziomu. Preferowanymi środkami kontroli mogą być, np. certyfikowane urządzenia i technologie jak UTM, AV, SIEM czy DLP oraz procedury w kontekście normy.
Posiadanie sprzętu lub oprogramowania z certyfikatem np. EAL4+ lub uzyskanie przez firmę, czy instytucję np. PN-ISO/IEC 27001 może być korzystnym krokiem w kierunku spełnienia wymogów NIS2. Generalnie, certyfikacja to ważny aspekt z perspektywy klientów, którzy chcą mieć pewność, że produkt, za który nierzadko przecież płacą z publicznych funduszy, jest wysokiej jakości i oferuje odpowiednie gwarancje bezpieczeństwa. W przypadku ataku na infrastrukturę krytyczną nawet niewielka różnica w jakości rozwiązania może mieć kluczowe znaczenie dla obrony.
To czynnik, który osoby zarządzające podmiotami działającymi w branży energetycznej, wodno-kanalizacyjnej czy zdrowotnej powinni wziąć pod uwagę. – podsumowuje Aleksander Kostuch, ze Stormshield.
EAL4 (Evaluation Assurance Level – 4 poziom w ocenie poziomu bezpieczeństwa na poziomie zaprojektowania, przetestowania i przejrzany metodycznie)