Polskie szyfratory zapewnią bezpieczeństwo poufnych informacji
Wraz z popularyzacją smartfonów oraz nowych kanałów komunikacji, pojawiły się także nowe zagrożenia - firmy oraz instytucje wykorzystujące kanały internetowe muszą liczyć się z zagrożeniem, jakim jest wyciek poufnych informacji dotyczących ich pracowników, partnerów biznesowych oraz niejawnych projektów, nad którymi pracują.
- Chcemy chronić informacje przesyłane w sieciach i dlatego nasze najnowsze szyfratory służą do ochrony informacji o klauzuli "zastrzeżone", ale też "poufne". Urządzenia, które produkujemy, rozwijamy, uzbrajamy i certyfikujemy w służbach narodowych, są ostatnio certyfikowane głównie dla sektora wojskowego, w Służbie Kontrwywiadu Wojskowego - mówi w rozmowie z agencją informacyjną Newseria Innowacje Konrad Raczyński z firmy Enigma Systemy Ochrony Informacji.
Zapewnieniem bezpieczeństwa tych informacji zajmują się firmy z branży InfoSec, w tym m.in. polska Enigma, która podczas targów MSOP 2018 zaprezentowała urządzenia służące do utajniania informacji w ramach sieci IP. Szyfratory zdolne są do utajniania informacji z prędkością do 50 Mbit/s i działają w trybie automatycznym, bez konieczności obsługi przez operatora.
- To są urządzenia, które zapinają tunele w oparciu o protokół IPsec, są to wirtualne tunele do tworzenia bezpiecznych kanałów komunikacyjnych i w takim tunelu, już szyfrowanym, można przesyłać wszelkiego rodzaju dane, może to być głos, obraz, mogą to być dane pochodzące z różnych systemów teleinformatycznych. Mamy bezpieczny kanał, w którym to, co jest przekazywane pomiędzy lokalizacjami, jest ukryte i zabezpieczone przed dostępem osób niepowołanych - wyjaśnia ekspert.
O konieczności pochylenia się nad problemem bezpieczeństwa informacji niejawnych zdają sobie sprawę zarówno przedstawiciele świata technologii, jak i wojskowi. W tym roku podczas październikowej konferencji CYBERSEC na scenie spotkają się m.in. wiceszef NATO oraz wiceszef Microsoftu, którzy będą debatować o zagrożeniach ze strony cyberprzestępców. Podczas zeszłorocznej edycji tego wydarzenia Ministerstwo Obrony Narodowej poinformowało o powołaniu jednostki wojsk cybernetycznych, które mają się zająć zapewnieniem bezpieczeństwa w internecie.
Producenci sprzętu teleinformatycznego również przygotowują się do walki na tym polu. Szyfratory Enigma przeszły proces certyfikacji przetwarzania informacji niejawnych, dlatego mogą służyć do przetwarzania treści o klauzulach "Poufne", "NATO Confidential" oraz "Confidential EU".
- Będziemy się rozwijać w kierunku współpracy z natowskimi standardami, czyli np. bramką do szyfrowania informacji w oparciu o protokół SCIP (standard bezpiecznej komunikacji głosowej i danych - przyp. red.). To jest przyszłość, żeby produkować w Polsce rozwiązania, które będą mogły być wykorzystywane do pracy w oparciu o rozwiązania krajowe, ale również do współpracy z natowskimi krajami - podsumowuje Konrad Raczyński.
Według szacunków firmy Gartner Inc. wartość branży bezpieczeństwa informacji pod koniec minionego roku wyniosła 86,4 mld dol., a w tym roku wzrośnie o 7 proc. do poziomi 93 mld dol.
Ponad 90 proc. polskich przedsiębiorców doświadczyło co najmniej kilkudziesięciu ataków hakerskich w ciągu roku. Zarówno udanych, jak i nieudanych - wynika z raportu firmy Check Point. Według danych Interpolu na świecie wpływy z cyberprzestępczości przekroczyły te z narkobiznesu i szacuje się je na 500 mld dol. rocznie.
W wielu krajach koszty ponoszone w wyniku działań cyberprzestępców stanowią 1 proc. PKB. W walce z tym zjawiskiem w Polsce pomóc ma ustawa o krajowym systemie cyberbezpieczeństwa, która pod koniec sierpnia weszła w życie. Tworzy ona prawne podstawy współpracy przy zwalczaniu cyberzagrożeń. Między innymi o tym dyskutowano podczas tegorocznego Forum Ekonomicznego w Krynicy.
- Ta ustawa tworzy system instytucjonalny w Polsce i dzieli odpowiedzialność za poszczególne sfery pomiędzy ministrów, ale przede wszystkim pomiędzy poszczególne jednostki. Ministerstwo Obrony Narodowej ma kompetencje, żeby odpowiadać za sferę obronności, ABW powinno pilnować krytycznej infrastruktury rządowej, a minister cyfryzacji w tym podziale będzie odpowiadał za coraz ważniejszy obszar cywilny, czyli systemy, które nie są infrastrukturą krytyczną, ale mają wielki wpływ na funkcjonowanie państwa - mówi agencji informacyjnej Newseria Biznes Marek Zagórski, minister cyfryzacji.
- Ustawa o krajowym systemie cyberbezpieczeństwa stanowi systemowe podejście do bezpieczeństwa teleinformatycznego w Polsce. Dokument wprowadza zupełnie nowe instytucje na poziomie krajowym, jak Kolegium ds. Cyberbezpieczeństwa czy Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz zupełnie nowe mechanizmy, takie jak obowiązek zgłaszania poważnych incydentów, które spowodują, że wiedza o tym, jak jest naprawdę z cyberbezpieczeństwem, będzie skokowo rosła - mówi Krzysztof Silicki, p.o. dyrektora NASK.
Polska ustawa implementująca dyrektywę NIS nakłada na organy właściwe ds. cyberbezpieczeństwa obowiązek utworzenia do 9 listopada listy podmiotów, które zostaną wpisane do rejestru operatorów usług kluczowych. Będą oni wyznaczani w takich sektorach, jak transport, ochrona zdrowia, bankowość, transport kolejowy i lotniczy, energetyka.
Ustawa nałożyła na operatorów obowiązki wdrażania szeregu działań nakierowanych na zwiększenie poziomu cyberbezpieczeństwa. Ich działania będą kontrolowane, a w wypadku niewłaściwego postępowania będą mogły być nałożone na nich sankcje. Ustawa nakazuje wyższe starania o bezpieczeństwo i daje instrumenty bardziej skutecznego ich egzekwowania oraz wdrażania działań naprawczych.
- Do tej pory nie było żadnej ustawy dotyczącej cyberbezpieczeństwa. Dzisiaj mamy narzędzia. Powstały odpowiednie instytucje, w sumie trzy CSIRT-y [Computer Security Incident Response Team - red.], czyli centra reagowania, do których muszą być zgłaszane incydenty i które będą na te incydenty reagować. To te instytucje będą podejmować działania chroniące. Jeden CSIRT będzie zlokalizowany w MON, drugi w ABW, a trzecim będzie NASK - mówi Marek Zagórski.
Operatorzy usług kluczowych na mocy ustawy będą zobowiązani do niezwłocznego zgłaszania poważnych naruszeń cyberbezpieczeństwa do jednego z trzech CSIRT-ów, z których każdy ma swój obszar działania.
- Ich rolą jest to, aby przetworzyć tę informację, skorelować z innymi informacjami pozyskiwanymi z najróżniejszych źródeł, ostrzegać inne podmioty w sektorze, z którego przychodzi zgłoszenie, ale też inne sektory w Polsce, a czasem też za granicą - mówi Krzysztof Silicki.
Dzięki współpracy między sobą oraz z organami właściwymi ds. cyberbezpieczeństwa CSIRT-y mają pomóc w budowaniu spójnego obrazu cyberzagrożeń i systemu zarządzania ryzykiem. Umożliwi to nie tylko reagowanie na zaistniałe incydenty, lecz także przeciwdziałanie kolejnym.
- Krajowe CSIRT-y oferują pomoc w tych najpoważniejszych sytuacjach, poradę, koordynację, natomiast to po stronie podmiotu zgłaszającego jest odpowiedzialność za to, żeby się zająć sprawą - wyjaśnia Krzysztof Silicki.
- Czasami się nam wydaje, że mówimy o bardzo abstrakcyjnych rzeczach, ale dzisiaj sterowanie automatyczne powoduje, że np. wodociągi też już są zagrożone atakami. Wtedy ta infrastruktura już jest bardzo krytyczna - mówi minister cyfryzacji. - Dlatego jasne uporządkowanie tej sfery instytucjonalnie, wskazanie odpowiedzialności, utworzenie koordynacji na poziomie rządowym, będzie powołany specjalny pełnomocnik i specjalne Kolegium ds. Cyberbezpieczeństwa. To wszystko razem nie zapewnia samo z siebie bezpieczeństwa, ale da podstawę do tego, żeby to bezpieczeństwo budować i wzmacniać.
