Mentionsy

Wykonujemy właśnie pracę polegającą na zanalizowaniu i zweryfikowaniu i sprawdzeniu, gdzie są luki, gdzie są może jakieś wąskie gardła, gdzie są blokady, gdzie brakuje tych kroków związanych z security.

Witam Was wszystkich w kolejnym odcinku Sii Talks, formatu produkowanego przez Sii Polska.

Cyber Resilience Act, czyli rozporządzenie unijne, ma za zadanie wprowadzić harmonizacyjne rozwiązanie dla wszystkich państw Unii Europejskiej dotyczące produktów z elementami cyfrowymi.

Czyli wszystkich produktów, które mają połączenie z internetem.

Czyli wszystkich, za pomocą których można dostać się na przykład do infrastruktury krytycznej albo do danych poufnych poszczególnych osób i organizacji.

Czy to jest coś, co każdy z nas, z nas jako przedstawicieli firm w sektorze software'owym, musi zaimplementować i wykorzystać w produktach?

To są bardzo, bardzo realne i rygorystyczne oczekiwania w stosunku do producentów, ale nie tylko producentów, do całego łańcucha dostaw związanych z wytworzeniem jakiegoś produktu.

Security by Design mówi o tym, że pomysł na zajęcie się bezpieczeństwem produktu, na samym końcu wytwarzania tego produktu, to nie jest zdecydowanie dobra ścieżka, że powinniśmy zacząć, czy producenci powinni zacząć od...

Wcześniejszych etapów wytwarzania produktu, myślenie o bezpieczeństwie tego produktu, czyli że backlog wytwarzania produktu powinien zawierać elementy związane z bezpieczeństwem od samego początku.

A security by default, tutaj mówimy o tym, że produkt wchodzący na rynek powinien mieć...

Defaultowe, czyli te takie podstawowe ustawienia, konfigurację stworzoną w taki sposób, żeby zapewniała jak największe bezpieczeństwo, które oferuje ten produkt.

Czyli nie ma mowy o jakby takich samych hasłach przy wszystkich produktach, tak?

I wszystkie takie dane konfiguracyjne urządzenia powinny być ustawione na jak największe zabezpieczenie produktu.

A druga rzecz okazało się, że jeśli producenci zaczęli się zajmować właśnie zabezpieczeniem produktu na samym końcu, zdarzały się sytuacje, w których bezpieczeństwo produktu przestawało być bezpieczeństwem zespołu wytwórczego, a stawało się...

Tematem zarządu, tematem wielkich kar, tematem, nie wiem, jakichś problemów finansowych ze względu na to, że niektóre work-roundy nie dają się zastosować na samym końcu wytworzenia produktu, bo się na przykład okazuje, że coś po architekturze zostało źle zaplanowane, tak że no niestety, no to się już nie da i duże pieniądze są potrzebne, żeby po prostu wrócić do faktu praktycznego i sensownego zabezpieczenia produktu.

I później mamy terminy, w których już zaczynają obowiązywać pewne poszczególne oczekiwania i wymogi w stosunku do produkcji.

I kolejna data to mamy wrzesień 26, od którego zaczyna obowiązywać konieczność zgłaszania jakichś poważnych incydentów i wykorzystanych luk w oprogramowaniu, tak, właśnie do organów nadzorujących.

Dlatego, że wszystkie te aspekty jak najbardziej da się zaplanować, da się rozsądnie poukładać i da się przygotować kadrę.

Również do tego, żeby jakby zrozumiała zmianę troszeczkę tego mindsetu przy wytwarzaniu produktu, no a przy okazji oczywiście konieczne będzie zrozumienie, jak gdyby, w którym, na którym etapie w ogóle całego procesu przygotowania poszczególne firmy z poszczególnymi produktami są i ile tak naprawdę pracy przed nimi oraz jak priorytety sobie ustawić, żeby ta praca gdzieś tam harmonijnie przebiegała, tak?

Część produktów jest dedykowanych Unii Europejskiej, część trafia na rynek Wielkiej Brytanii.

Kto chce wejść z produktem na rynek europejski, ale na przykład też na rynek Stanów Zjednoczonych, powinny zainteresować się dodatkowymi regulacjami obowiązującymi w tych krajach.

I tak jak mówiłeś, w UK jest to PSTI, na przykład w Stanach mamy Cyber Trust Mark.

Czyli w skrócie wielkim mówiąc, producenci chcący pokryć większy obszar możliwością, że tak powiem, wprowadzenia na rynek swojego produktu, jeśli wdrożą zmiany zgodne z CRA, to de facto, że tak powiem, za darmo będą mieli również możliwość rozprowadzania swojego czy wprowadzenia swojego produktu na rynek również w UK.

W UK firmy już są przygotowane do tej regulacji?

Tam mamy trzy podstawowe wymogi, które są nałożone na producentów produktów i cała reszta, wynikająca również z CRA, to jest dodatek.

Widzisz, no ja bym powiedziała, że to jest wytwarzanie produktu mimo wszystko, a jakby oprogramowanie niskopoziomowe, no taka różnica jest, że się wiąże po prostu ze sprzętem, tak?

Jeśli jakaś firma ma ten proces dobrze zdefiniowany, nie ma sprawy, świetnie, ale bardzo często właśnie początek to jest analiza ryzyk, a ona polega na analizie luk tak naprawdę, tak?

My, jako dostawca zewnętrzny czy partner zewnętrzny, przychodzimy z tą pomocą, obserwujemy proces as is, wykonujemy właśnie pracę polegającą na zanalizowaniu i zweryfikowaniu i sprawdzeniu, gdzie są luki, gdzie są może jakieś wąskie gardła, gdzie są blokady, gdzie brakuje tych kroków związanych z security.

Przecież produkt zaprezentowany czy wprowadzony na rynek musi być jego bezpieczeństwo przez lata utrzymywane.

Bez tego jakby utrzymanie zabezpieczenia produktu przez jego czas życia jest niemożliwe.

Cyber Resilience Act i wymagania dotyczące również UK wymaga systemowej zmiany, a nie jednorazowego audytu, przetestowania na koncie, przygotowania dokumentów.