Cyberbezpieczeństwo: regulacje UE to krok do przodu

Eksperci nie mają wątpliwości, że ta regulacja prawna to krok do przodu, jeśli chodzi o cyberbezpieczeństwo. „Wszelka normalizacja w obszarze bezpieczeństwa, w systemach od siebie współzależnych nie tylko w państwie, ale i na poziomie kontynentalnych organizacji to właściwe rozwiązanie. Tak jak Sojusz Północnoatlantycki ma swoje standardy w obszarze bezpieczeństwa, które wszystkie kraje członkowskie mniej lub bardziej powinny przestrzegać, tak Unia ma swój +Cybersecurity Act+” – mówi dr Łukasz Kister, biegły sądowy, ekspert ds. cyberbezpieczeństwa. Dr Kister był jednym z uczestników spotkania CSO Council - społeczności szefów bezpieczeństwa informacji oraz cyberbezpieczeństwa w dużych firmach i instytucjach działających w Polsce, które odbyło się 18 czerwca w Warszawie.

Rozporządzenie Parlamentu Europejskiego i Rady (EU) w sprawie ENISA (Agencji UE ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych z dnia 17 kwietnia 2019 ustala m. in. europejskie ramy certyfikacji dla produktów i usług z tej dziedziny. Wprowadza trzy poziomy certyfikatów: podstawowy, istotny i wysoki.

„Trudno jeszcze dzisiaj określić, jakie będą wymagania związane z każdym z tych poziomów. Potrzebne będzie doprecyzowanie, które systemy w ramach bankowości, administracji czy służby zdrowia powinny mieć poziom podstawowy, a które muszą mieć wyższy. Trzeba się nad tym zastanowić” – mówi dr Kister.

Prace nad standardami w najbliższych latach prowadzić będzie Europejska Grupa Certyfikacji Cyberbezpieczeństwa, w której skład wejdą przedstawiciele krajów członkowskich EU wspólnie z ENISĄ. Dzięki standaryzacji będzie wiadomo, że usługa czy system spełnia określone wymagania, potwierdzone przez niezależne laboratorium, czy to krajowe czy europejskie.

Na standaryzacji produktów i usług zyskać może wiele firm działających na terenie Europy. „Bardzo by nam zależało, żeby woda na rynku była przejrzysta, a zasady równe dla wszystkich” – mówi Rafał Jaczyński, regionalny dyrektor ds. cyberbezpieczeństwa w Huawei. Ekspert dodaje, że ciężko prowadzi się biznes, odpowiadając na zarzuty, które nie mają podstaw. (Chodzi m.in. o działania amerykańskiego rządu, który próbuje wymuszać na amerykańskich firmach ograniczanie współpracy z chińskim przedsiębiorstwem).

Przejrzystość procedur związanych z certyfikacją może mieć tylko pozytywny skutek. „Stany Zjednoczone oskarżają Huawei o współpracę z chińskimi władzami, ale okazuje się, że to amerykańskie firmy pracują dla swojego rządu – mówi Tonny Bao, dyrektor zarządzający Huawei Polska. – USA nadszarpnęły reputację Huawei oskarżeniami związanymi z cyberbezpieczeństwem, ale nigdy nie przedstawiły żadnych dowodów na potwierdzenie swoich zarzutów. W rzeczywistości ich ostatnia seria działań wyraźnie pokazała, że ich prawdziwym celem jest po prostu rozprawienie się z firmą high-tech, która nie pochodzi z USA. To z kolei dowodzi, że sprawa dot. Huawei jest polityczna, a nie oparta na dowodach” – komentuje Bao.

„Marzymy o sytuacji, kiedy kryteria weryfikacji dostawców czy sieci komunikacyjnych byłyby jasne i równe dla wszystkich. I aby ta weryfikacja odbywała się niezależnie” – mówi Jaczyński. Certyfikacja produktów czy usług to dodatkowe koszty. Ich odbiorcy niekoniecznie będą chcieli je pokryć. „Jeżeli klienci nie będą oczekiwać zwiększonego bezpieczeństwa to producent czy dostawca sam z siebie certyfikacji nie przeprowadzi, bo dba o swój wynik finansowy. Chyba że oczekiwaniem regulatora, czyli państwa, będzie podwyższenie albo utrzymywanie konkretnego poziomu bezpieczeństwa. Tak jest w bankowości i w każdym innym biznesie. Jeśli jakiś parametr usługi nie jest istotny dla klientów czy rynku, to rzadko która firma decyduje się w niego inwestować” – mówi Jaczyński.

Wszystko więc sprowadza się do kosztów z jednej strony, a z drugiej do tego, co dzięki certyfikatom firma może zyskać: zaufanie klientów, większą sprzedaż czy przychód.

„Klienci jak i regulatorzy oczekują od firmy Huawei najwyższych standardów bezpieczeństwa i transparentności, więc motywacji biznesowej z pewnością nam nie zabraknie” – zapewnia Rafał Jaczyński.