Securitatea sistemelor de tehnologie a informaţiei, Chaos Computer Club: Definirea furnizorilor de încredere nu trebuie bazată pe ţara lor de origine

Experții Chaos Computer Club (CCC), cea mai importantă organizație de hackeri de la nivel european, au făcut în această săptămână mai multe recomandări care să fie avute în vedere pentru creșterea securității sistemelor de tehnologie a informației.

Recomandările au fost făcute în contextul dezbaterilor din Comisia pentru Afaceri Interne din Parlamentul German, unde au avut loc audieri publice ale mai multor specialiști în securitate cibernetică pe marginea draftului legii pentru creștere securității sistemelor de tehnologie a informației 2.0. Proiectul de lege este extrem de important pentru că el va sta la baza cerințelor de securitate care se vor aplica la realizarea rețelelor 5G din Germania.
Reprezentanții CCC, invitați frecvent la asfel de dezbateri ca experți pe problematici de securitate cibernetică, au subliniat în documentul de poziție depus că este important ca definirea furnizorilor de încredere să nu fie fundamentată în baza țării de origine a unui furnizor, ci pe elemente tehnice factuale și verificabile ale securității produselor lor. S-a exprimat și opinia că rolul furnizorilor chinezi de echipamente de rețea a fost dezbătut emoțional și în mare măsură fără dovezi, începând cu anul 2018.

Accesul tuturor furnizorilor de componente ale infrastructurii critice – indiferent de țara lor de origine- ar trebui permisă numai în condițiile în care sistemul propriu zis care va fi utilizat poate fi auditat. Astfel de audituri ar trebui să aibă loc în mod regulat. Prerechizitele tehnice (precum proiecte reproductibile, asigurarea resurselor pentru audit independent în ritm cu actualizările, dovezi ale celor mai bune practici pentru gestionarea arhitecturii software, practici de programare, procese de dezvoltare software etc.) ar trebui introduse în cerințele valabile pentru toți furnizorii.

Totodată, în recomandările CCC se are în vedere și că operatorii rețelelor de telecomunicații, în plus față de auditurile de securitate continue și complete ale tuturor componentelor rețelei, ar trebui să aibă obligativitatea de a opera sisteme în rețelele lor pentru a detecta anomalii în comunicarea dintre componentele utilizate. Acestea ar trebui să fie adecvate pentru detectarea semnelor unor eventuale compromiteri ale acestora de către atacatori, prin exploatarea de portițe ascunse. Astfel de evenimente vor putea fi astfel detectate indiferent de țara de origine a producătorului tehnologiei.

Pe 16 decembrie anul trecut, guvernul german a adoptat un proiect de lege care aduce mai multe amendamente importante cadrului legal existent în domeniul tehnologiei informației. Aceste amendamente urmăresc adaptarea prevederilor legale la avansul digitalizării produselor și serviciilor, răspândirea internetului lucrurilor (IoT) și apariția de noi amenințări cibernetice. Parlamentul German este cel care va stabili forma finală a legii în perioada imediat următoare.