Mentionsy

Witam Was wszystkich w kolejnym odcinku Sii Talks, formatu produkowanego przez Sii Polska.

Dzisiaj poruszymy ważny temat Cyber Resilience Act, w skrócie CERA, czyli tematyki bardzo gorącej, dotyczącej nas wszystkich, bo związanej z cyberbezpieczeństwem.

Ja nazywam się Przemek Włoczkowski, w SIi pracuję ponad 16 lat i zajmuję się sektorem high-tech.

Dlatego dzisiaj w tej rozmowie jest Monika Jaworowska, z którą pracujemy od ponad dekady, bardzo, bardzo długo.

Powiedziałabym, że nawet już 15 lat wspólnie pracujemy, bo od 15 lat jestem w SI.

Tak mam przyjemność i przywilej w SI prowadzić Centrum Kompetencyjne Embedded, więc właśnie tematyka jak najbardziej związana z systemami wbudowanymi, z wytwarzaniem oprogramowania, ale też z zabezpieczaniem oprogramowania i hardware'u.

Kiedy usłyszałeś o nowym paradygmacie przesuwania bezpieczeństwa w lewą stronę w procesie wytwarzania oprogramowania?

Gdybyś w 30 sekund powiedziała, czym jest Cyber Resilience Act, CERA?

Cyber Resilience Act, czyli rozporządzenie unijne, ma za zadanie wprowadzić harmonizacyjne rozwiązanie dla wszystkich państw Unii Europejskiej dotyczące produktów z elementami cyfrowymi.

Czyli wszystkich, za pomocą których można dostać się na przykład do infrastruktury krytycznej albo do danych poufnych poszczególnych osób i organizacji.

Czy to jest coś, co każdy z nas, z nas jako przedstawicieli firm w sektorze software'owym, musi zaimplementować i wykorzystać w produktach?

Security by default and security by design.

Security by Design mówi o tym, że pomysł na zajęcie się bezpieczeństwem produktu, na samym końcu wytwarzania tego produktu, to nie jest zdecydowanie dobra ścieżka, że powinniśmy zacząć, czy producenci powinni zacząć od...

I to security by design.

A druga rzecz okazało się, że jeśli producenci zaczęli się zajmować właśnie zabezpieczeniem produktu na samym końcu, zdarzały się sytuacje, w których bezpieczeństwo produktu przestawało być bezpieczeństwem zespołu wytwórczego, a stawało się...

Tematem zarządu, tematem wielkich kar, tematem, nie wiem, jakichś problemów finansowych ze względu na to, że niektóre work-roundy nie dają się zastosować na samym końcu wytworzenia produktu, bo się na przykład okazuje, że coś po architekturze zostało źle zaplanowane, tak że no niestety, no to się już nie da i duże pieniądze są potrzebne, żeby po prostu wrócić do faktu praktycznego i sensownego zabezpieczenia produktu.

Ale wracając do Cyber Resilience Act.

Samo rozporządzenie Cyber Resilience Act weszło w życie w grudniu 2024 i od tego momentu stało się aktem obowiązującym.

Tak jak powiedziałam, jest harmonizacyjnym regulacją w Unii Europejskiej, w związku z powyższym nie będzie się przekładało na żadne dodatkowe akty prawne w poszczególnych krajach, tylko już obowiązuje we wszystkich 27 krajach Unii.

Jest tak zwany okres tranzycji, w którym firmy po prostu, producenci powinni się przygotować.

I kolejna data to mamy wrzesień 26, od którego zaczyna obowiązywać konieczność zgłaszania jakichś poważnych incydentów i wykorzystanych luk w oprogramowaniu, tak, właśnie do organów nadzorujących.

To dzisiaj jest już ten czas, że osoby odpowiedzialne za R&D, za product development powinni myśleć o przygotowaniu się i byciu w pełni compliant z tymi wymaganiami.

Absolutnie się zgadzam.

Dlatego, że wszystkie te aspekty jak najbardziej da się zaplanować, da się rozsądnie poukładać i da się przygotować kadrę.

I żeby faktycznie osiągnąć ten termin.

Wiele firm ma zasięg globalny, nie tylko unijny, wychodzi również poza Unię Europejską.

Jak te firmy, które działają na dwóch rynkach powinny się przygotować do dwóch różnych regulacji?

Kto chce wejść z produktem na rynek europejski, ale na przykład też na rynek Stanów Zjednoczonych, powinny zainteresować się dodatkowymi regulacjami obowiązującymi w tych krajach.

W związku z powyższym, bodajże w 2024 roku weszła już regulacja na rynek i ona różni się poziomem rygorystyczności.

Nie mówią, jak to osiągnąć.

Już jak to osiągnąć, to jest pewna logistyczno-organizacyjno...

Techniczna sprawa i teraz, żeby faktycznie efekty CRA osiągnąć, no trzeba zastosować pewne modele, pewne standardy, czyli jakby trzeba w organizacji faktycznie wprowadzić pewien proces, który zabezpieczy realizację dyrektywy prawnej.

To teraz dotknę tematu pipeline'u, bo to fajnie się tutaj łączy.

Widzisz, no ja bym powiedziała, że to jest wytwarzanie produktu mimo wszystko, a jakby oprogramowanie niskopoziomowe, no taka różnica jest, że się wiąże po prostu ze sprzętem, tak?

To są wszystko pewne elementy, które gdzieś tam po kolei pozwalają automatyzować poszczególne kroki procesu i składają się gdzieś tam na ten wspomniany przez ciebie pipeline.

Jak w SI my implementujemy te wymagania na realną pracę, którą wykonujemy dla naszych klientów?

Muszę ci powiedzieć, że faktycznie wszystko musi się zacząć od procesu.

I teraz analiza ryzyk to jest znowu temat pochodzący z Cyber Resilience Actu, ale żeby wykonać analizę ryzyka, czyli taką biznesową analizę, to najpierw jest potrzebny threat analysis, czyli analiza zagrożeń.

Odpowiednie kosztowo do, że tak powiem, wyzwania można zastosować dodatkowo w całym procesie, tak?

No to bez wchodzenia w szczegóły, żebyśmy nie złamali NDA, umów ramowych z klientami, gdybyś dała kilka takich realnych, typowych przykładów projektów, które realizujecie w tym zakresie.

To jest podstawa, żeby jak gdyby Cyber Resilience Act wymaga,

Tam będą tysiące albo setki jakichś błędów.

Przecież produkt zaprezentowany czy wprowadzony na rynek musi być jego bezpieczeństwo przez lata utrzymywane.

Więc firma czy producent musi przyjmować zgłoszenia od użytkowników o tym, że jakieś

Jakieś zagrożenie powstało i jakieś zagrożenie zostało wykorzystane, to już wtedy mówimy o incydencie i musi na nie reagować.

Więc jakby cały zespół zajmujący się obsługą faktu pojawiania się zagrożeń, monitorowania odpowiednich baz

Które mówią o zagrożeniach, które na przykład pojawiły się w tych poszczególnych komponentach, o których mówiliśmy, że sprawdzamy sobie przy SBOM-ie.

Chyba trzeba sobie uzmysłowić, że jest to prawo, które wiąże się z poważnymi sankcjami również.

No ale również wszystkie kary wynikające z zapisów będących już w tej chwili w Cyber Resilience Act.

Kolejna rzecz to właśnie zbudowanie jakby kultury organizacyjnej, zrozumienia dla tego faktu bezpieczeństwa, że ono się staje tak samo jak jakiś czas temu.

No i kolejne przygotowanie kadry właśnie do obsługi wyników vulnerability monitoringu, handlingu, managementu, tak bym to nazwała, czyli całego tego procesu pojawiania się podatności na rynku i reagowania na te podatności w postaci właśnie wytwarzania gdzieś tam później łatek.

Cyber Resilience Act i wymagania dotyczące również UK wymaga systemowej zmiany, a nie jednorazowego audytu, przetestowania na koncie, przygotowania dokumentów.

Zgadzasz się z tym?

Myślę, że dla wszystkich osób, które nas słuchają, oglądają dzisiaj również.

Monika, dziękuję za dzisiejszą rozmowę.

Wam wszystkim, którzy nas dzisiaj oglądacie, słuchacie,

Polecam kontakt z nami, z Sii, jeżeli potrzebujecie konsultacji, audytu, później pomocy w wytworzeniu oprogramowania, przetestowanego, jesteśmy tutaj, by Wam pomóc.