Rynek szyfrów

Prawo do i od kryptografii

Płonne okazały się nadzieje, że wprowadzenie Ustawy o ochronie informacji niejawnych stanie się ważnym impulsem dla rynku rozwiązań kryptograficznych. Tak naprawdę w niewielu sytuacjach dochodzi do elektronicznego transferu informacji niejawnych. Paradoksalnie wprowadzenie tej ustawy doprowadziło do wstrzymania wdrożeń systemów, które miały unowocześnić wymianę danych.

"W ustawie przyjęto dość zachowawcze i ostrożne założenie" - uważa Piotr Rutkowski. Po pierwsze, posługiwanie się dokumentami papierowymi wciąż niektórym wydaje się tańsze. Po drugie, aplikacji i rozwiązań sprzętowych mających stosowne certyfikaty służb specjalnych jest jak na lekarstwo (co implikuje, że te, które te certyfikaty mają, są zbyt drogie). Po trzecie, decydentom brakuje wyraźnej motywacji, by w obecnej sytuacji prawnej odchodzić od papieru. Zresztą w przypadku komunikacji papierowej łatwiej ukrywać wszelkie odstępstwa od procedur.

Dostawcy i producenci urządzeń jednogłośnie narzekają na trudną do zaakceptowania powolność procedur certyfikacyjnych i ogromne koszty, które ostatecznie powodują wzrost cen urządzeń. Problem w tym, że opłaty za testy konieczne do uzyskania certyfikatów są uzależnione od liczby roboczogodzin Jednostki Certyfikującej ABW. Nie ma tu żadnych standardów ani formuły odwoławczej, zatem jedynie od rzetelności i uczciwości pracowników jednostki zależy to, czy opłaty za certyfikację odpowiadają kosztom rzeczywistym. "To mnóstwo pracy, tony papieru i przynajmniej miesiące oczekiwania" - narzeka przedstawiciel jednej z firm oferującej rozwiązania kryptograficzne. Jak rzeczywiście wygląda proces certyfikacji, to niestety wiedza w dużej mierze nie opublikowana i przez to ezoteryczna. Aura tajemniczości i niedopowiedzenia, jaką lubią wokół siebie roztaczać służby specjalne, przenosi się także na kwestie rozwiązań kryptograficznych.

"Świadomie wybraliśmy rynek odbiorców komercyjnych. Im wystarczają uznane certyfikaty międzynarodowe. W ten sposób koszty certyfikacji rozwiązania ponoszą klienci na całym świecie, a nie wyłącznie polscy użytkownicy" - uważa Dariusz Lewicki, prezes spółki Cryptotech. "Koszty certyfikacji są na tyle wysokie, że właściwie nie opłaca się certyfikować na zapas. Robi się to jedynie wtedy, gdy wiadomo że uda się sprzedać urządzenia" - dodaje Piotr Rutkowski. Najbardziej świadomie do bezpieczeństwa podchodzą podmioty należące do koncernów zagranicznych. W naturalny sposób dążą w kierunku rozwiązań zagranicznych bądź mają taką politykę narzuconą przez inwestora. Oznacza to, że na rynku rozwiązań kryptograficznych widać wyraźną specjalizację. Część dostawców nastawia się na obsługę instytucji, które obowiązuje Ustawa o ochronie informacji niejawnych, pozostali ograniczają grono swoich klientów do podmiotów komercyjnych, działających poza wymogami ustawowej regulacji.

Co ciekawe, w przypadku wielu odbiorców komercyjnych posiadanie certyfikatów na dane rozwiązanie nie tylko nie jest atutem, ale może stanowić wręcz psychologiczną barierę przed jego zastosowaniem. Przyczyną takiego stanu jest brak zaufania do służb specjalnych, które w procesie certyfikacji uzyskują pełny wgląd w konstrukcję i algorytmy kryptograficzne.

Fragmentem rynku rozwiązań kryptograficznych, który w ostatnim czasie zyskał na znaczeniu, jest infrastruktura klucza publicznego (PKI). "Zainteresowanie PKI stało się bardzo duże, zwłaszcza po wejściu w życie Ustawy o podpisie elektronicznym. Nie chodzi tu jedynie o sam podpis kwalifikowany, ale o możliwości stosowania PKI do zabezpieczenia sieci, transakcji czy systemów B2B" - uważa Rafał Czeczótka, zastępca dyrektora ds. systemów bezpieczeństwa w Ster-Projekcie.

Zespół PKI w Ster-Projekcie liczy 5 osób. Spółka zajmuje się integracją rozwiązań, specjalizując się we wdrożeniach oprogramowania amerykańskiej firmy Baltimore, która współuczestniczyła w budowie zaplecza informatycznego kilku wystawców certyfikatów kwalifikowanych. "Ustawa o podpisie elektronicznym wprowadziła wymogi, którego nie jest w stanie spełnić żadne oprogramowanie z półki. To zadanie dla integratora" - dodaje Rafał Czeczótka.

Dyski szeroko otwarte

Polski rynek rozwiązań kryptograficznych jest do pewnego stopnia asymetryczny. "Tak już jest, że firmy i instytucje są znacznie bardziej świadome potrzeby szyfrowania przesyłanych danych czy plików niż równie istotnej konieczności zabezpieczenia dostępu do danych znajdujących się na dyskach - właśnie za pomocą szyfrowania" - podkreśla Dariusz Lewicki. Tę obserwację potwierdzają doświadczenia firmy Comp, której linia produktów Gamma i Ro sprzedaje się zdecydowanie słabiej.

"Rynek bezpieczeństwa IT tak naprawdę dopiero się budzi. W przypadku zaawansowanych rozwiązań kryptograficznych mamy do czynienia z pierwszymi wdrożeniami" - uważa Paweł Luksic, dyrektor ds. marketingu w Comp SA, która zainstalowała swoje urządzenia kryptograficzne w Krajowym Systemie Informacji Policyjnej. Opinię tę podzielają inni dostawcy i producenci. Wszyscy liczą na to, że niebawem wzrośnie również znaczenie niszy kryptograficznej.

Dla Computerworld komentuje
 
Robert Kośla, zastępca dyrektora Departamentu Bezpieczeństwa Teleinformatycznego w Agencji Bezpieczeństwa Wewnętrznego
</td></tr></table>Robert Kośla, zastępca dyrektora Departamentu Bezpieczeństwa Teleinformatycznego w Agencji Bezpieczeństwa Wewnętrznego

Wysokość opłat za badania i wystawienie certyfikatu dla rozwiązań kryptograficznych określa rozporządzenie Prezesa Rady Ministrów z 16 lipca 2001 r. w sprawie wysokości opłat za przeprowadzenie przez służbę ochrony państwa czynności warunkujących wydanie certyfikatu dla systemu lub sieci teleinformatycznej, urządzenia lub narzędzia kryptograficznego oraz za wydanie tych certyfikatów (DzU art. 77 poz. 820).

Za badanie mające na celu potwierdzenie przydatności wyrobu do ochrony informacji niejawnych oznaczonych klauzulą "poufne" za godzinę pracy zespołu badawczego pobierana jest opłata 0,25-krotności kwoty przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw. Za badanie mające na celu potwierdzenie przydatności do ochrony informacji niejawnych oznaczonych klauzulą "tajne" - 0,5-krotności kwoty przeciętnego wynagrodzenia za godzinę pracy zespołu badawczego, a za badanie mające na celu potwierdzenie przydatności do ochrony informacji niejawnych oznaczonych klauzulą "ściśle tajne" - 0,75-krotności tej kwoty.

Koszty badań i certyfikacji zależą od wnioskowanego poziomu oceny oraz złożoności konstrukcji i liczby mechanizmów zabezpieczających podlegających ocenie. W każdym przypadku koszty szacowane są dopiero po gruntownym zapoznaniu się zespołu badawczego z wyrobem i wstępnym określeniu czasu niezbędnego na przeprowadzenie badań. Oszacowanie kosztów odbywa się zgodnie z założeniami systemu jakości stosowanego przez Jednostkę Certyfikującą DBTI ABW i laboratoria badawcze. Wszystkie czynności opisane są w procedurach badawczych, zaś czas niezbędny na ich realizację jest podstawą wyznaczenia kosztów procesu badań i certyfikacji.

Dotychczasowe doświadczenia wskazują na to, że koszt procesu badań i certyfikacji środków ochrony kryptograficznej nie przekracza ceny 30 szt. badanych wyrobów. Nie stanowi to więc dużego obciążenia dla producentów, którzy osiągają zyski ze sprzedaży wyrobów o potwierdzonej jakości i sile mechanizmów kryptograficznych. Proces badań i certyfikacji jest realizowany na podstawie umowy zawieranej z wnioskodawcą, którym może być producent lub dostawca danego wyrobu, przygotowujący odpowiednią dla wnioskowanego poziomu oceny dokumentację certyfikacyjną.


TOP 200