Jest interes (ale kiepski)

"Gdyby przyjąć model z innych krajów NATO - np. Wlk. Brytanii, Niemiec - laboratoria zewnętrzne mogłyby zostać włączone w proces badań i certyfikacji wyrobów teleinformatycznych. Wykonywałyby one zadania na zlecenie i pod formalnym nadzorem rządowych jednostek certyfikujących. W przypadku Polski laboratoria takie mogłyby być notyfikowane przy Jednostce Certyfikującej BBŁiI UOP" - uważa Robert Kośla, zastępca dyrektora BBŁiI.

Zdaniem Roberta Kośli, zewnętrzne laboratoria badawcze zajęłyby się np. oceną poprawności implementacji kodu w systemach operacyjnych i specjalizowanych aplikacjach lub oceną efektywności mechanizmów zabezpieczających w urządzeniach i oprogramowaniu stosowanych do ochrony informacji przekazywanych w sieciach teleinformatycznych poprzez wykonywanie testów penetracyjnych (czyt. kontrolowanych ataków hakerskich). Natomiast BBŁiI UOP skupiałoby się na ocenie mocy kryptograficznej i poprawności implementacji proponowanych algorytmów. Dokonywałoby też oceny poziomu ochrony elektromagnetycznej (ograniczanie elektro- magnetycznej emisji ujawniającej i zwiększanie odporności na zewnętrzne impulsy elektromagnetyczne).

Taki pomysł jest wart realizacji, o ile państwo potrafiłoby stworzyć kilkuletnią strategię budowy bezpiecznych sieci rządowych - tzw. infostrady rządowej. Zadanie organizowania takich sieci spoczywa na MSWiA i na pewno bez nich nie będzie możliwy rozwój tzw. e-administracji. Kierunek obecnych prac badawczych wynika jedynie z prowadzonej przez BBŁiI UOP analizy kierunków rozwoju urządzeń kryptograficznych w innych krajach człon-kowskich NATO. Powinien zaś wynikać z potrzeb administracji publicznej i innych podmiotów zobligowanych do ochrony informacji.

W ciągu ostatnich dwóch lat było kilka inicjatyw budowy komercyjnych laboratoriów badawczych, zgłaszanych zarówno przez polskie środowiska akademickie, jak i laboratoria funkcjonujące w innych krajach. Wszystkie te inicjatywy - jak mówi Robert Kośla - były wspierane przez BBŁiI UOP, ale brakowało pieniędzy na pensje dla specjalistów, przy jednoczesnym braku informacji dotyczących zapotrzebowania na tego typu działania ze strony polskiego rynku.

Co gorsza, UOP i WSI nie mają porozumienia o wzajemnym uznawaniu certyfikatów na urządzenia kryptograficzne. Pozostaje zatem zagadką, w jaki sposób firmy sprzedają urządzenia szyfrujące wojsku. Tymczasem BBŁiI UOP prowadzi prace, zmierzające do utworzenia Krajowego Systemu Certyfikacji Bezpieczeństwa Teleinformatycznego. System ten będzie wykorzystywał międzynarodowe kryteria oceny zabezpieczeń teleinformatyki - Common Criteria - lub ich polskie odpowiedniki.

"W Polsce Common Criteria są w trakcie opracowywania przez Normatywną Komisję Problemową nr 182 Polskiego Komitetu Normalizacyjnego jako Polska Norma PN-I-14809. Jest to norma hermetyczna, pisana specyficznym językiem, przydatna dla potencjalnych producentów rozwiązań. W mojej pracy nie interesuje mnie, jakimi metodami oceniane są rozwiązania, ale jakimi produktami - akredytowanymi choćby przez UOP czy w przyszłości przez ABW - mogę zapewnić właściwy poziom ochrony strukturze, której jestem administratorem bezpieczeństwa" - wyjaśnia Paweł Musiał, główny specjalista bezpieczeństwa teleinformatycznego w spółce Telekomunikacja Kolejowa i członek NKP-182.

Rynek dla wytrwałych

"Na początku 1999 r. na rynku polskim do ochrony informacji niejawnych dostępne były jedynie 4 urządzenia produkowane przez jedną ze szwajcarskich firm i dwa urządzenia opracowane przez BBŁiI UOP, produkowane w ograniczonej serii" - przypomina Robert Kośla. "Obecnie użytkownicy mogą wybierać z gamy ponad 30 urządzeń, w większości produkowanych przez polskie firmy. Jest to znaczące osiągnięcie, biorąc pod uwagę jak złożony i kosztowny jest proces opracowania oraz uruchomienia produkcji nowego urządzenia kryptograficznego, które musi spełniać bardzo wysokie wymagania w zakresie ochrony informacji niejawnych. Okres ochrony informacji stanowiących tajemnicę państwową wynosi co najmniej kilkadziesiąt lat" - dodaje.