Efektem projektu finansowanego przez UE było opracowanie zestawu narzędzi i metod pobieranych na komputer, które mają pomóc firmom i organizacjom w przyjęciu bardziej holistycznego podejścia do bezpieczeństwa teleinformatycznego. Pozytywne wyniki przyczyniły się również do opracowania nowych standardów w branży.

Gospodarka cyfrowa

Duże korporacje, instytucje świadczące usługi publiczne (np. szpitale) oraz zakłady takie jak dostawcy energii, wykorzystują coraz bardziej skomplikowane systemy sieciowe, aby zapewnić skuteczne i bezproblemowe działanie. Może to sprawić, że będą one bardziej narażone na ataki hakerskie, których skutki takie jak awaria mogą być dla nich bardzo kosztowne zarówno w kontekście przestojów, jak i utraty dobrego imienia, a w przypadku usług publicznych mogą nawet oznaczać zagrożenie dla zdrowia. "Fakt, iż dziewięć na dziesięć awarii bezpieczeństwa oprogramowania jest spowodowanych wadami oprogramowania, stanowi główną przyczynę podatności na atak, którą wykorzystują hakerzy" wyjaśnia Juergen Grossmann z Fraunhofer w Niemczech, który był odpowiedzialny za kwestie standaryzacji w projekcie RASEN. "Ochrona duży systemów sieciowych, takich jak te w dużych firmach, wymaga zrozumienia wszystkich potencjalnych zagrożeń dla bezpieczeństwa. Głównym problemem jest jednak fakt, że stopień skomplikowania systemu może znacznie utrudnić ocenę i testy". Holistyczne podejścia do bezpieczeństwa teleinformatycznego Celem projektu RASEN było rozwiązanie tego problemu dzięki przyjęciu bardziej holistycznego podejścia do oceny ryzyka dla bezpieczeństwa i badania bezpieczeństwa. Do tej pory bowiem traktowano je jako oddzielne obszary. "Chociaż branża potrzebuje bardziej zintegrowanego podejścia do zapewnienia bezpieczeństwa, nie ma obecnie żadnych standardów, które w wystarczającym stopniu podkreślałyby potrzebę systematycznego łączenia oceny ryzyka dla bezpieczeństwa i badania bezpieczeństwa", mówi Grossmann. "W związku z tym podjęliśmy próbę znalezienia sposobu, jak lepiej wspierać firmy i organizacje zainteresowane przeprowadzeniem kompleksowej analizy ryzyka dużych i sieciowych systemów". Pierwszym krokiem w realizacji projektu RASEN było opracowanie systematycznego zbioru wyników oceny bezpieczeństwa. Pozwala to na przeanalizowanie poszczególnych części systemu teleinformatycznego oddzielnie przed dokonaniem globalnej oceny na podstawie pojedynczych wyników. Po drugie, zespół połączył ocenę wysokiego poziomu bezpieczeństwa z badaniami niskiego poziomu bezpieczeństwa. "Dzięki takiemu podejściu ocena ryzyka może być wykorzystana do opracowania przypadków testowych bezpieczeństwa, a wyniki testów bezpieczeństwa mogą być wykorzystane do weryfikacji lub aktualizacji oceny ryzyka", wyjaśnia Grossmann. "Ponadto, metody te pozwalają spojrzeć na ocenę ryzyka dla bezpieczeństwa z innej perspektywy. Przykładowo ocena ryzyka prawnego dotyczy zagrożeń dla bezpieczeństwa w kontekście prawnym, podczas gdy ocena ryzyka dla bezpieczeństwa zajmuje się oszacowaniem prawdopodobieństwa wystąpienia zagrożenia i jego potencjalnych konsekwencji". Konsekwencje dla realnego świata Wyniki projektu RASEN zaowocowały opracowaniem zestawu narzędzi, które pomogą firmom i organizacjom połączyć ocenę i testy ryzyka dla bezpieczeństwa. W założeniu metodyka projektu ma być możliwie funkcjonalna i praktyczna. Metodę RASEN, a także inne narzędzia można już pobrać ze strony projektu, a narzędzie RACOMAT pozwala użytkownikom na połączenie oceny ryzyka dla bezpieczeństwa opartej na komponencie z testami bezpieczeństwa. Testowanie może być w łatwy sposób zintegrowane z symulacjami zdarzeń, których narzędzie używa do analizy ryzyka komponentów. "Nasze metody są powtarzalne, co oznacza, że ciągła ocena poprzez szybką ponowną ocenę pomoże utrzymać istotność wyników, nawet jeśli docelowy system lub jego środowisko ulegają zmianom i ewoluują", mówi Grossmann. "Przykładowo, nasze narzędzie RACOMAT uzyskuje dostęp do bibliotek zawierających artefakty analizy ryzyka takie jak wzory ataków i testów bezpieczeństwa, dzięki czemu zapewnia wysoką przydatność do ponownego użycia. Wiele z procesów może być wykonywanych automatycznie". Uczestnicy projektu RASEN przygotowali również grunt pod kilka nowych projektów badawczych — na przykład Fraunhofer jest zaangażowany w realizację projektu PREVENT — i przyczynił się do stworzenia nowych standardów w branży. "Europejski Instytut Norm Telekomunikacyjnych przyjął kilka dokumentów standaryzacji (np. ETSI EG 203251 i ETSI TR 101 583) i przesłał je do międzynarodowych organów normalizacyjnych", mówi Grossmann. "Dokumenty te zostały opracowane na podstawie wyników projektu w obszarze ocen ryzyka dla bezpieczeństwa".

Słowa kluczowe

RASEN, bezpieczeństwo teleinformatyczne, zestaw narzędzi, usługi publiczne, hakowanie, podatność na atak, systemy sieciowe, standaryzacja, zagrożenie, RACOMAT