Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

Trójtorowe podejście do monitorowania centrów danych
Trójtorowe podejście do monitorowania centrów danych

Firmy korzystają z centrów danych, aby sprawnie obsłużyć duże ilości ruchu przychodzącego i wychodzącego oraz umożliwić płynną komunikację między partnerami biznesowymi. Centra danych są jednak mocno rozproszone geograficznie. Umożliwia to szybsze i bardziej niezawodne połączenie użytkownikom z całego świata, of...

Czytaj więcej...

Test wzmacniacza WiFi FRITZ!Repeater 3000 AX
Test wzmacniacza WiFi FRITZ!Repeater 3000 AX

Dzięki uprzejmości firmy AVM mieliśmy okazję przetestować kolejne urządzenie marki FRITZ! Tym razem do naszych rąk trafił jeden z najnowszych wzmacniaczy Wi-Fi od AVM, wspierający technologię Mesh - FRITZ!Repeater 3000 AX. Urządzenie to zagościło u nas na dłużej, ponieważ po kilku latach postanowiliśmy zmodyfikować śro...

Czytaj więcej...

12 najczęstszych błędów konfiguracji UTM-ów i jak ich unikać
12 najczęstszych błędów konfiguracji UTM-ów i jak ich unikać

Rozwiązania klasy UTM (Unified Threat Management) to zaawansowane narzędzia zabezpieczające brzeg sieci. Urządzenia o tyle ważne, że pozostają pierwszą i najważniejszą barierą ochronną przed zagrożeniami. Aby sprostać specyficznym potrzebom administracji publicznej (obejmującym ochronę danych wrażliwych, zapobieganie z...

Czytaj więcej...

VMware Tanzu Platform 10
VMware Tanzu Platform 10

Podczas konferencji VMware Explore 2024, firma Broadcom ogłosiła wprowadzenie VMware Tanzu Platform 10, platformy aplikacyjnej zbudowanej w oparciu o technologie chmurowe, która przyspiesza dostarczanie oprogramowania, zapewniając zespołom inżynierów lepsze zarządzanie i efektywność operacyjną, a jednocze...

Czytaj więcej...

AI as-a-service: jak chmura przyczyni się do powszechnego dostępu do AI?
AI as-a-service: jak chmura przyczyni się do powszechnego dostępu do AI?

W dynamicznie rozwijającym się świecie technologii, szczególną uwagę przykuwa wzrost rynku AI as-a-service, który, według prognoz Technavio, ma osiągnąć wzrost o 28 miliardów dolarów do 2027 roku. Ten imponujący rozwój jest bezpośrednio powiązany z rosnącym zapotrzebowaniem na rozwiąz...

Czytaj więcej...

Aż 95% firm obawia się o bezpieczeństwo w chmurze publicznej
Aż 95% firm obawia się o bezpieczeństwo w chmurze publicznej

Jak wynika z opublikowanego przez Fortinet dokumentu „2023 Cloud Security Report”, w chmurze publicznej znajduje się już ponad połowa danych prawie 40% ankietowanych przedsiębiorstw. W ciągu najbliższych 12-18 miesięcy odsetek tych firm zwiększy się do 58%, co spowoduje, że wyzwań związanych z zabezpieczani...

Czytaj więcej...

Aktualności

Za i przeciw certyfikacji w sektorze cyberbezpieczeństwa

CyberbezpieczeństwoKomisja Europejska zaprezentowała projekt rozporządzenia delegowanego ustanawiającego kodeks sieci dot. przepisów sektorowych w zakresie aspektów cyberbezpieczeństwa transgranicznych przepływów energii elektrycznej. Nowy kodeks ma kluczowe znaczenia dla operatorów sieci energetycznych, będących częścią infrastruktury krytycznej. Jak wskazuje ekspert Stormshield, niewielka różnica w jakości rozwiązania (firewalle, technologie - na przykład AV, SIEM, DLP, bądź w obszarze procedur) może mieć kluczowe znaczenie w kontekście bezpieczeństwa.

W branżowych dyskusjach pojawia się wątek unijnej legislacji ws. możliwości wydatkowania środków publicznych, nie tylko w branży energetycznej, jedynie na certyfikowane systemy. Również Dyrektywa NIS2 - wdrażanie jej założeń powinno zostać zakończone do jesieni 2024 roku - wskazuje certyfikację jako jeden z najważniejszych elementów systemu cyberbezpieczeństwa.

Niełatwe rozstrzygnięcie kwestii certyfikatów. Czy są potrzebne?
Obecnie istnieją centra certyfikacyjne jak ANSSI we Francji (francuska agencja ds. cyberbezpieczeństwa), NSS Labs w Stanach czy Spanish National Cryptology Centre (CCN) w Hiszpanii. W Polsce działa Jednostka Certyfikująca NASK, która m.in. wydaje międzynarodowe certyfikaty dla produktów ICT, uznawane w 17 krajach. Pod jej patronatem aktualnie tworzona jest Ekspercka Sieć Kooperacji, której zadaniem będzie budowa ekosystemu tworzącego ramy certyfikacji w zakresie cyberbezpieczeństwa. Na poziomie Unii Europejskiej funkcjonuje ENISA. Opracowana jest również lista rekomendowanych przez Unię Europejską czy NATO produktów cyberbezpieczeństwa.

"Dla odbiorców certyfikat jest klarowną sugestią, że produkt lub technologia spełnia określone normy i standardy. Decydując się na ten, którego jakość potwierdzają niezależne ośrodki badawcze, zyskują większy spokój podczas niełatwego wyboru rozwiązań, która nie są tanie" - mówi Aleksander Kostuch, inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT. "Z drugiej strony należy odnotować poważne zaniepokojenie producentów, czy taką legitymizację przejdą. Co więcej, ewentualne wprowadzenie europejskiego certyfikatu będzie kolejną barierą dla start up’ów. Również ten segment rozwija wartościowe rozwiązania, a zderzenie, na przykład z kosztem procesu, może się okazać bardzo trudne. Zwyczajnie mają znacznie mniejsze możliwości, a proces certyfikacji produktów technologicznych jest złożony i czasochłonny, a przez to kosztowny".

Jak ocenia Komisja Europejska, argumentując przyjęcie 20 października 2023 roku nowych przepisów: „Obecnie w branży cyberbezpieczeństwa istnieje wiele metodologii i standardów. Jest to szybko rozwijająca się dziedzina wiedzy. Mając na celu harmonizację i zapewnienie wspólnego poziomu odniesienia przy jednoczesnym poszanowaniu istniejących praktyk i inwestycji w jak największym stopniu, kodeks sieci ustanawia model zarządzania w celu opracowania, monitorowania i regularnego przeglądu metodologii różnych zainteresowanych stron. Ten model zarządzania i wkładu zainteresowanych stron uwzględnia obecne mandaty różnych organów w systemach regulacyjnych dotyczących cyberbezpieczeństwa i energii elektrycznej”.

W dyskusjach specjalistów ds. cyberbezpieczeństwa pojawia się wątek legislacji ws. wydatkowania środków publicznych, nie tylko w branży energetycznej, jedynie na certyfikowane systemy.

"Wdrożenie prawodawstwa dotyczącego wymogów certyfikacyjnych, odnoszących się do wydatkowania środków publicznych, przyniosłoby szereg praktycznych konsekwencji. Podmioty publiczne mogłyby podejmować decyzje zakupowe wymagając certyfikacji, co byłoby impulsem zwiększającym ogólny poziom bezpieczeństwa. A wobec bieżącej sytuacji, każde działanie obliczone na uzyskanie takiego efektu, w tym w szczególności w odniesieniu do infrastruktury krytycznej jest pożądane. Fakt, że te kwestie są procedowane odbieram jako dobry znak, dowód że potrzeba działań jest dostrzegana na poziomie UE, co ma istotne znaczenie w obliczu rosnącej liczby zagrożeń hybrydowych" - mówi Aleksander Kostuch, ze Stormshield.

Wskazówka eksperta - dlaczego warto ufać certyfikatom?
Certyfikaty są wydawane w oparciu o podobne standardy. Identyfikowane są wymagania, jakie muszą one spełniać, aby pomyślnie przejść proces - wynikające z przepisów prawa, norm branżowych lub wymagań wewnętrznych.

Po zidentyfikowaniu wymagań dostawca musi opracować dokumentację potwierdzającą, że produkt je spełnia. Obejmuje ona instrukcje obsługi, specyfikacje techniczne i raporty z testów, które są obligatoryjnym etapem całego procesu, pozwalającym w praktyce potwierdzić funkcjonalność produktu. Testy mogą być przeprowadzane przez wewnętrzny dział kontroli jakości lub przez zewnętrzną jednostkę certyfikującą, co oczywiście podnosi poziom zaufania do oceny produktu. To na tym etapie następuje ostateczna ocena dokumentacji i wyników testów. Proces certyfikacji produktów technologicznych z reguły bywa złożony i czasochłonny.

"Sfera bezpieczeństwa IT obejmuje trudne zagadnienia, wymagające często zaawansowanej wiedzy technologicznej. Certyfikacja jest gwarantem jakości, co ułatwia poruszanie się po gamie zróżnicowanych rozwiązań" - mówi Aleksander Kostuch. "Choć nie gwarantuje absolutnego bezpieczeństwa, to jednak świadczy o tym, że produkt spełnia określone standardy i przeszedł odpowiednie testy. Z reguły przekłada to się na wyższą jakość i bezpieczeństwo, co ma szczególe znaczenie w kontekście ochrony infrastruktury krytycznej, jej bezpieczeństwa i stabilności np. dostaw energii" - dodaje inżynier Stormshield.

Brak certyfikacji oznacza brak gwarancji, że produkt został poddany testom i audytom, co może narażać użytkownika na przykład na ryzyko wystąpienia luk bezpieczeństwa. A konsekwencje potencjalnych ataków, szczególnie na infrastrukturę krytyczną mogą być olbrzymie. W przypadku sieci energetycznych mogą powodować uszkodzenie lub wyłączenie sieci, a tym samym paraliżować funkcjonowanie państwa.

Również Dyrektywa NIS2 wskazuje certyfikację jako jeden z najważniejszych elementów systemu cyberbezpieczeństwa. Jedną z międzynarodowych norm w tym obszarze jest PN-ISO/IEC 27001, dotycząca Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Potwierdza ona identyfikacje i ocenę zagrożeń oraz ryzyka a także wdrożenie odpowiednich środków kontroli w celu zmniejszenia poziomu ryzyka do akceptowalnego poziomu. Preferowanymi środkami kontroli mogą być, np. certyfikowane urządzenia i technologie jak UTM, AV, SIEM czy DLP oraz procedury w kontekście normy.

"Posiadanie sprzętu lub oprogramowania z certyfikatem np. EAL4+ lub uzyskanie przez firmę, czy instytucję np. PN-ISO/IEC 27001 może być korzystnym krokiem w kierunku spełnienia wymogów NIS2. Generalnie, certyfikacja to ważny aspekt z perspektywy klientów, którzy chcą mieć pewność, że produkt, za który nierzadko przecież płacą z publicznych funduszy, jest wysokiej jakości i oferuje odpowiednie gwarancje bezpieczeństwa. W przypadku ataku na infrastrukturę krytyczną, nawet niewielka różnica w jakości rozwiązania może mieć kluczowe znaczenie dla obrony. To czynnik, który osoby zarządzające podmiotami działającymi w branży energetycznej, wodno-kanalizacyjnej czy zdrowotnej powinni wziąć pod uwagę" - podsumowuje Aleksander Kostuch, ze Stormshield.

EAL4 (Evaluation Assurance Level - 4 poziom w ocenie poziomu bezpieczeństwa na poziomie zaprojektowania, przetestowania i przejrzany metodycznie)

Źródło: Stormshield

Logowanie i rejestracja