Certificarea şi standardizarea în Cybersecurity, oportunitate sau nevoie?

În ultimii ani, dar mai ales în actualul context internaţional generat de pandemia COVID-19, securitatea cibernetică reprezintă o prioritate pentru toată lumea. Cooperarea dintre autorităţi pe de-o parte şi furnizori, distribuitori şi utilizatori pe de cealaltă parte este esenţială în dezvoltarea unei interconectivităţi şi a unui echilibru la nivel de securitate şi disponibilitate a soluţiilor, consideră Matthias Intemann, directorul departamentului de certificare din cadrul Biroului Federal pentru Informaţii şi Securtitate din Germania (BSI).

În cadrul a celei de-a zecea ediţii a conferintei Certcon, Matthias Intemann a declarat că certificarea şi standardizarea în domeniul cybersecurity reprezintă atât o oportunitate, cât şi o necesitate. Certificarea este privită ca un instrument legislativ pentru aplicarea standardelor, iar standardizarea este un mijloc de exprimare a nevoilor de securitate sau a altor nevoi de conformitate care pot face parte din legislaţie, dar care, în acelaşi timp, poate fi aplicată în procesele de achiziţii publice, în domenii variate sau folosită ca instrument de marketing. Standardele atunci când sunt create trebuie să fie şi relevante pentru toată lumea, să poată fi puse în aplicare şi nu dezvoltate doar de dragul de a avea standard bune. Certificarea serveşte scopului de a arăta că standardele sunt îndeplinite şi acest lucru se face de către o entitate independentă, iar legislaţia este necesară în acele cazuri în care un produs sau soluţie este utilizată însă nu este achiziţionată de cel care ar putea suferi de calitatea slabă a produselor.

Dezvoltarea unor standarde şi certificări la nivel naţional ar oferi posibilitatea reglementării operatorilor de reţele mobile, deoarece aceştia sunt obligaţi să respecte regulile naţionale, altfel nu le-ar fi permis accesul pe piaţă locală, însă furnizorii internaţionali de echipamente de reţea vor ezita să adopte cerinţele naţionale, ceea ce ar conduce practic la o certificare ce implementează doar anumite caracteristici de securitate legate de cerinţele naţionale, iar dovada securităţii pentru fiecare produs individual este foarte costisitoare. Pot fi setate standarde si pentru aceştia însă discutăm de o piaţă mică, nu foarte atractivă, apreciază sursa citată.

Dar dacă, statele membre UE ar agrea asupra principiilor de securitate şi a unei metode de evaluare a securităţii? Operatorii de reţele mobile ar considera binevenită o astfel de reglementare deoarece ar oferi condiţii echitabile de concurenţă pentru toţi jucătorii din statele membre UE. Pentru furnizori ar reprezenta un lucru pozitiv deoarece ar implementa structura de securitate agreată de statele membre, de piaţă europeană care reprezintă şi un stimulent financiar.

Matthias este de părere că şi această variantă poate fi îmbunătăţită dacă statele membre UE s-ar implica într-o standardizarea globală. Practic, o standardizare globală a industriei care ar include tot ce este necesar. Operatorii de reţea ar beneficia de o mai usoară si sigură procedură de achiziţie a produselor, cu mici ajustări pentru reţelele specifice din fiecare ţară, deoarece cerinţele de securitate au fost introduse în standarde. Din perspectiva furnizorilor, soluţiile disponibile ar fi corelate pe deplin cu cerinţele europene, reprezentate în standardele globale, şi nu ar trebui făcute decât mici personificări.

Matthias a subliniat că securitatea IT este o chestiune de încredere, iar organismele de certificare sunt privite ca proxy-uri de încredere, fiind fie parte a autorităţilor publice fie organisme acreditate la nivel national. Mai mult, furnizorii sunt tot mai dispuşi, cu riscul de a pierde proprietatea intelectuală, să ofere informaţii despre un produs. Certificarea este doar o piesă importantă a puzzle-ului, iar dacă cineva este rău intenţionat, certificarea nu poate face decât foarte puţin în acest sens. Legea privind securitatea cibernetică formează un cadru propice pentru certificarea UE în materie de securitate, implicând activ şi transparent statele membre, chiar şi fără a implica o certificare, contribuie la promovarea şi consolidarea poziţiei UE cu privire la securitatea cibernetică şi standardizarea globală în domeniile de aplicare.