Czy mała naklejka na produkcie może zapewnić nam bezpieczeństwo w sieci? Unia Europejska jest coraz bliżej rozwiązania, by na rynek trafiły jednolite certyfikaty cyberbezpieczeństwa. Przyzwyczailiśmy się już do etykiet z klasą energetyczną urządzeń. Czy nowe regulacje poprawią cyberbezpieczeństwo konsumentów?
Atest Polskiego Związku Higieny, norma ISO 9001 czy oznakowanie CE – jesteśmy przyzwyczajeni do niektórych oznaczeń produktów i firm, które mają poświadczać jakość lub bezpieczeństwo. Często jednak zastanawiamy się, co adekwatnie potwierdzają takie certyfikaty. I czy rzeczywiście świadczą one o pozytywnych cechach produktu, czy może raczej o gotowości jego wytwórcy i sprzedawcy do wyłożenia kasy na taką etykietkę.
Szybki wzrost znaczenia cyfrowych technologii w codziennym życiu konsumentów sprawił, iż pojawiło się mnóstwo firm, które chętnie za mniejsze lub większe pieniądze były gotowe poświadczać cyberbezpieczeństwo urządzeń i usług. Zdarzało się jednak, iż stan rzeczywisty urządzenia różnił się od tego obiecywanego przez certyfikat.
Dlatego też regulująca wspólny rynek Unia Europejska postanowiła działać i uporządkować sprawę. Unijne certyfikaty cyberbezpieczeństwa są już coraz bliżej.
O co tak adekwatnie chodzi z tymi certyfikatami?
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) – taką wdzięczną i chwytliwą nazwę ma unijna „ustawa” o cyberbezpieczeństwie, która weszła w życie w 2019 roku.
Celem regulacji było stworzenie mechanizmu, który umożliwia proces certyfikacji, czyli potwierdzania, iż dane produkty lub usługi spełniają określone (czyli europejskie) wymogi bezpieczeństwa.
W efekcie wieloletni proces ma doprowadzić do sytuacji, w której konsument będzie mógł ze spokojem nabyć przetestowane urządzenia i rozwiązania spełniające odgórnie ustalone normy bezpieczeństwa. Takie rozwiązanie w oczywisty sposób sprawi, iż na plus wyjdą firmy, które rzeczywiście inwestują w cyberbezpieczeństwo, ale dotychczas miały problem z wyróżnieniem się pod tym względem na tle konkurencji.
Dziś bezpieczeństwo w sieci powinno stanowić najważniejszy aspekt naszego codziennego życia. Do internetu nie wchodzimy. W internecie jesteśmy cały czas. Nasze telefony kontaktują się z siecią 24 godziny na dobę, nasze skrzynki mailowe i komunikatory odbierają wiadomości, aplikacje z mapami notują nasze podróże, a te wspierające zdrowy tryb życia – liczą kroki i monitorują pracę serca.
Cyberbezpieczeństwo stało się też sprawą wagi państowej. choćby prawdziwe wojny przenoszą się na wirtualny front i w coraz większej mierze polegają na atakach hakerskich – zarówno na infrastrukturę strategiczną, jak i na prywatne zasoby obywateli. To tylko pokazuje skalę zagrożeń, z którymi przeciętny użytkownik musi zmierzyć się w internecie.
Na szczęście dochodzimy do momentu, w którym żmudny, kilkuletni unijny projekt jest na ukończeniu i w najbliższym czasie będziemy mogli oczekiwać już konkretnych rozwiązań.
Certyfikaty cyberbezpieczeństwa to więcej niż małe naklejki
Małe nalepki na produktach mają gwarantować niezawodność lub wiarygodność danego urządzenia. Certyfikat być może nie zapewni nam całkowitego bezpieczeństwa, ale… powinien zwiększyć jego poziom i zapewnić spokój działania w sieci przeciętnego konsumenta. Problem polega na tym, iż zdecydowana większość z nas nie kojarzy firm i organizacji, które wystawiają certyfikaty. Jakie są tego konsekwencje?
Lista podmiotów zajmujących się certyfikacją produktów, nie tylko tych z branży technologicznej, jest długa. Dla przeciętnego konsumenta naklejka firmy „XYZ”, która „gwarantuje niezawodność i bezpieczeństwo” prawdopodobnie kilka znaczy.
U jednych może wywołać wrażenie, iż ktoś kompetentny sprawdził, czy bezprzewodowe słuchawki, które właśnie kupiliśmy, nie otworzą przypadkiem hakerom furtki do włamania się do telefonu. Inni zignorują niezrozumiałe znaczki. W obu przypadkach certyfikaty nie spełniają swojej funkcji. I to choćby te, które rzeczywiście zostały wydane przez fachowców i są warte zaufania.
Dochodzimy więc do sytuacji, w której konsument nie ma pewności, iż poświadczenie jest wiarygodne. Trzeba bowiem pamiętać o jednej ważnej rzeczy: każdy ma swój pomysł na biznes: jedni zajmują się uczciwą sprzedażą jabłek, a inni tworzeniem fałszywych certyfikatów dla firm chcących zmanipulować klienta i przyoszczędzić na jakości produktu.
Unijne certyfikaty cyberbezpieczeństwa mogą więc bardzo pomóc konsumentowi. Kupując np. nowy router, nie będziemy musieli przejmować się odróżnianiem zabezpieczeń i weryfikacją dziesiątek organizacji zajmujących się certyfikacją urządzeń elektronicznych. Wystarczy, iż skupimy się na szukaniu jednej konkretnej naklejki, która poświadcza nasze bezpieczeństwo w sieci.
Ucierpią – i bardzo dobrze – nieuczciwe biznesy, które wystawiają za niewielką kwotę fałszywe zaświadczenia. Żeby system działał efektywnie, europejski projekt powinien zyskać odpowiedni rozgłos, a ludzie powinni zacząć sprawdzać, czy aby na pewno dany produkt wart jest zakupu.
Czytaj też: Cyberbezpieczeństwo w bankach: technologie przyszłości. Jak zmieni się świat bankowości?
Fałszywe certyfikaty, czyli zmora konsumentów
Pełną siłę fałszywych certyfikatów można było poczuć w czasach pandemii, kiedy różnego typu zaświadczenia i potwierdzenia jakości produktów zalały rynek i ciężko było odróżnić te prawdziwe od nierzetelnych. Sprawa dotyczyła wówczas również naszego bezpieczeństwa – ale tego fizycznego, a nie cyber.
Skąd konsument ma czerpać wiedzę, który certyfikat jest podejrzany, a który rzetelny? W przypadku produktów ochrony osobistej (jak maseczki z filtrem) za porządkowanie sytuacji wzięli się sami producenci i importerzy tych wyrobów. European Safety Federation (organizacja firm z tej branży) przez najgorętszy okres pandemii monitorowała „certyfikaty” i publikowała listę tych niewiarygodnych – wraz z uzasadnieniem.
Do przykładów należy ACIC (Shenzhen A Commitment Inspection&Certificate) lub AS-GCTG Limited. Podmioty te nie posiadały uprawnień w zakresie rozporządzenia PPE (Personal Protective Equipment), nie posiadały żadnej rzeczywistej wartości, a jednak można było je znaleźć np. na maseczkach ochronnych.
Sektor IT wygląda nieco inaczej, ponieważ ciężej jest z wykrywalnością. Do sprzedaży produktów używa się częściej podrobionych wersji rzetelnych certyfikatów, takich jak np. Microsoft Certified.
Co do zasady można wyróżnić 3 grupy fałszywych świadczeń:
- Certyfikaty wydane przez nieupoważnione instytucje: Mogą to być certyfikaty wydawane przez instytucje, które nie mają uprawnień do przeprowadzania testów czy potwierdzania wiedzy w danym obszarze IT.
- Certyfikaty bez wartości merytorycznej: Certyfikaty, które w swojej treści nie gwarantują ani nie potwierdzają żadnych konkretnych cech produktu (np. certyfikat potwierdzający… wydanie certyfikatu).
- Fałszowane certyfikaty: Są to dosłownie podrobione dokumenty, które „stwierdzają” jakość danego produktu, mimo iż nie przeszedł on odpowiedniego zestawu testów.
Certyfikat cyberbezpieczeństwa nie zastąpi rozsądku
Nawet najostrożniejszy i najbardziej świadomy zagrożeń użytkownik może paść ofiarą cyberataku, jeżeli korzysta z urządzeń „po taniości” z podrobionym certyfikatem. Ale działa to także niestety w drugą stronę. Można mieć dobry sprzęt, z najlepszym certyfikatem, ale nieumiejętnie posługiwać się internetem i narazić się na atak.
Wbrew pozorom, zadbanie o elementarne bezpieczeństwo w sieci nie jest trudne, nie wymaga specjalistycznej wiedzy i zajmuje mniej czasu niż codzienna higiena osobista. Pozwala zaś zminimalizować ryzyko większości najpowszechniejszych cyberprzestępstw.
O tym przeczytacie w kolejnych częściach cyklu dotyczącego cyberbezpieczeństwa w Homo Digital.
Źródło zdjęcia tytułowego: Ojosujono96, Freepik