Rosnące zagrożenia ze strony coraz lepiej wyposażonych sieciowych włamywaczy, a z drugiej strony bogactwo oferty rozwiązań do zabezpieczania informacji sprawiają, że certyfikacja zabezpieczeń w ABW czy WSI staje się atrakcyjną formą wstępnej selekcji ofert. Certyfikat, choć użyteczny, nie jest jednak gwarancją bezpieczeństwa.

Potrzeba ochrony informacji w firmie wynika najczęściej z dwóch motywacji - albo z poczucia zagrożenia, albo obowiązku nakładanego prawem. Ewentualnie z obu naraz. Załóżmy, że dylemat "czy chronić" jest już rozwiązany. Pojawia się jednak pytanie "jak chronić?". Rynek oferuje ogromną liczbę urządzeń kontroli dostępu, systemów zaporowych, rozwiązań szyfrujących, o różnej wydajności, klasie oferowanych zabezpieczeń i przede wszystkim cenie.

Wybierając konkretny produkt szyfrujący, nie można się dziś kierować już tylko bogactwem funkcji albo wyłącznie ceną bądź tylko marką. Arsenał sprzętowy złodziei informacji jest coraz bogatszy.

Coraz częściej sięgają oni po zaawansowane narzędzia kryptoanalityczne, jeszcze kilkanaście lat temu dostępne tylko agencjom rządowym. Ponadto przeciętna firma nie zatrudnia specjalistów zdolnych kompetentnie ocenić jakość zabezpieczeń oferowanych przez konkretny produkt.

Tak oto rodzi się potrzeba niezależnej oceny parametrów urządzeń związanych z szeroko rozumianym bezpieczeństwem: trwałości zabezpieczeń, siły szyfrowania, wydajności, niezawodności itd. Najbardziej oczywistym sposobem realizacji takiej oceny, leżącej w interesach zarówno sprzedającego, jak i potencjalnego nabywcy, jest certyfikacja.

Organizacjami, które zawsze potrzebowały udokumentowanej weryfikacji siły mechanizmów bezpieczeństwa w urządzeniach sieciowych, były instytucje rządowe, policja, służby wewnętrzne i wojsko. Grono instytucji, które mogą potrzebować potwierdzenia jakości zabezpieczeń produktów informatycznych, szybko się jednak powiększa. Z dużą dozą prawdopodobieństwa można założyć, że przynajmniej część szanownych Czytelników wcześniej czy później stanie przed takim wyzwaniem. Czego spodziewać się po certyfikatach i certyfikacji?

Certyfikacja oczami producenta

W większości krajów wymóg korzystania z certyfikowanych środków ochrony jest instytucjom określonego typu narzucony przez prawo. W Polsce są to Ustawa o ochronie informacji niejawnych z 1999 r. oraz wiele rozporządzeń regulujących szczegóły techniczne zarówno wymagań wobec środków ochrony (czyli np. mechanizmów kryptograficznych oraz implementujących je urządzeń), jak i procesu ich certyfikacji. Certyfikacji podlegają urządzenia zgłoszone przez producenta i tylko te z nich, które uzyskały certyfikat, mogą być dopuszczone do użytku w instytucjach, na których ciąży obowiązek wprowadzenia ochrony informacji niejawnych na warunkach ustawowych.

Certyfikacją urządzeń zajmuje się w Polsce wydzielona jednostka, tj. Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego (DBTI ABW). Wydaje się, że w momencie wprowadzenia ustawy do jednostki powinna ruszyć fala producentów i dystrybutorów zachodnich routerów i systemów zaporowych z wbudowanym szyfrowaniem, bo takich przecież nie brakuje i są one powszechnie stosowane przez banki. Tłoku jednak nie widać. Dlaczego?

Po pierwsze, zapisane w rozporządzeniach procedury certyfikacji okazały się dla producentów urządzeń bardzo wymagające. To ważne - dla producenta, a nie dla lokalnego dystrybutora.

Do certyfikacji na dowolnym poziomie niezbędna jest dokumentacja pokazująca szczegółowo nie tylko mechanizmy bezpieczeństwa dostępne przez interfejs użytkownika, ale też ich najgłębsze szczegóły, włącznie z kodem źródłowym i schematem elektronicznych układów scalonych, jeśli realizują one jakieś funkcje kryptograficzne.

Po drugie, procedura certyfikacji jest długa - trwa od kilku do kilkunastu miesięcy, a także kosztowna, i to nie tylko wprost. Kontakty z agencją wymagają od osób tym się zajmujących doskonałego przygotowania technicznego i dogłębnej znajomości rozwiązania, a także bezpośredniego kontaktu z projektantami i producentami urządzenia, jeśli jest to produkt zagraniczny.

Trudno się dziwić, że dla większości producentów sprzętu, nawet tego z górnej półki, ale przeznaczonego dla masowego odbiorcy (np. Cisco), jest to gra niewarta świeczki. Ze względu na cenę większość odbiorców cywilnych (banki, instytucje chroniące dane osobowe) i tak wybiera rozwiązania "cywilne", nawet te niemające certyfikatu.

Niechętni chętni

Inwestycja, jaką jest proces certyfikacji, ma niestety duży wpływ na ostateczną cenę certyfikowanego produktu. To właśnie dlatego do 2002 r. na rynku były dostępne jedynie szwajcarskie szyfratory IP sprzedawane przez Optimusa i dopuszczone do ochrony informacji o wysokiej klauzuli "tajne". Ich cena była oczywiście zaporowo wysoka.

Tę rynkową lukę wypełnił również Optimus, uzyskując pod koniec 2002 r. certyfikat ITSEC-E2 do klauzuli "zastrzeżone" dla opracowanego przez krakowską firmę ABA szyfratora IP, który znajduje nabywców wśród firm komercyjnych o nieco wyższych wymaganiach odnośnie do bezpieczeństwa, a jednocześnie ze względu na znacznie niższą cenę. Dopiero mniej więcej od tego momentu można mówić o jako takim rozwoju rynku certyfikowanych produktów z dziedziny bezpieczeństwa.

Certyfikat ABW mają już urządzenia szyfrujące wyprodukowane przez COMP SA we współpracy z firmami TechLab 2000 i Enigma. Obecnie w trakcie certyfikacji są kolejne polskie produkty i trend ten chyba się utrzyma, biorąc pod uwagę stale rosnące znaczenie łączności IP w sieciach rządowych (część instytucji przeszła niemal całkowicie na telefonię IP).

Lokalne widzimisię

W większości krajów OECD standardem wyjściowym do certyfikacji produktów kryptograficznych jest zestaw reguł i norm spisanych w formie tzw. Common Criteria.

Na tej podstawie każdy kraj opracowuje własne procedury i wymagania certyfikacyjne. Lokalizacja jest konieczna, albowiem nie jest tak, że urządzenie mające certyfikat bezpieczeństwa na określony poziom wydany w USA otrzyma go automatycznie w Polsce. Co więcej, z prawnego punktu widzenia certyfikat ten nie będzie u nas w ogóle honorowany, choć niewątpliwie ma sporą wartość praktyczną.

Jedyną jednostką uprawnioną do wydawania certyfikatów cywilnych jest w Polsce wspomniany już DBTI. Certyfikacja urządzeń przeznaczonych do łączności wojskowej to już jednak przywilej Wojskowych Służb Informacyjnych (WSI), które współpracują przy wykonywaniu tej funkcji z Wojskowym Instytutem Łączności, i to zarówno na etapie projektowania, jak i produkcji poszczególnych elementów składowych oraz oceny ostatecznego rozwiązania jako całości.