Berria

Segurtasun-ziurtapen jarraitua hodeiko zerbitzuetarako

2022ko apirilaren 27a
MEDINA

"MEDINAk segurtasun handiko ziurtagiri jarraitu bat inplementatu du hodeiko zerbitzuen hornitzaileentzat, ebidentzia digitaletan oinarrituta"

Bezeroek IKTen Europako merkatuan duten konfiantza hobetzea proposatzen du Europar Batasuneko Zibersegurtasun Lege berriak

Europako H2020 programak babesturiko MEDINA ikerketa- eta berrikuntza-ekintzak segurtasun-marko bat sortzen du, auditoretzetan oinarritutako etengabeko ziurtapen bat lortzeko edukiaren segurtasun-politiketan (CSP, Content Security Policy), guztia ere EBko hodeiko zerbitzuetarako Europako Zibersegurtasunaren Ziurtapen Eskema (EUCS, European Cybersecurity Certification Scheme) kontuan hartuta. Zenbait arlotako erronkak jorratzen ditu, hala nola baliozkotzea eta segurtasun-probak, makinek irakurtzeko moduko ziurtapen-lengoaiak, hodeiko segurtasunaren errendimendua eta auditoretza-ebidentzien kudeaketa. Helburuak, berriz, hauek dira:

  • EUCS kontrolak aplikatzeko orientabideak ematea, aplikatu beharreko neurriak eta bildu beharreko ebidentziak barne, eta, horri esker, ziurtapen-prozesuaren denbora murriztea.
  • Automatikoki egiaztatzen laguntzea betetzen direla kontrolak hodeiko segurtasun-ziurtagirien eskema nagusietan, eta, horrekin, ziurtagiri bat lortzeko eta mantentzeko ahalegina, kostua eta arriskua murriztea.
  • Ebidentzia digitalak biltzeko eta ebaluatzeko ahalegina murriztea.
  • Ebidentzia auditagarriak erregistratzea, eta, horri esker, bermatzea ez direla manipulatzen ziurtagiriaren balio-aldian.

MEDINAren ikuspegia eta tresna-multzoa ebaluatzeko, mundu errealean hodeia erabiltzeko bi kasu ebaluatuko dira, biak ere hiru zerbitzu-ereduak betetzen dituztenak: IaaS, PaaS eta SaaS. Alde batetik, Boschek IoT soluzioetarako backends multiclouden Europako ziurtapenerako agertoki bat zabalduko du, eta, bestetik, Fabasoft etxeak SaaS soluzioen etengabeko auditoretza bat baliozkotuko du sektore publikorako.

MEDINAk, orobat, Europar Batasuneko Zibersegurtasun Legeak emaniko segurtasun-esparruaren onuren inguruan kontzientziatuko du; horretarako, prestakuntza, kontzientziazioa eta Europarako estandarizazio-jarduera garrantzitsuekin lotutako jarduerak babestuko ditu (ENISA EUCS, esaterako).

CSPek, hodeiko zerbitzuen hornitzaile diren heinean, segurtasun-ziurtagiriak erabili ohi dituzte gardentasuna eta fidagarritasuna hobetzeko. Europako CSPek zailtasun ugari dituzte oraindik beren zerbitzuak ziurtatzeko; izan ere, zatituta dago ziurtapenen merkatua, eta ez dira bateragarriak.

Europako Zibersegurtasunaren Ziurtapen Eskema hodeiko zerbitzuetarako

Europar Batasuneko Zibersegurtasun Lege berriak proposatzen du bezeroek IKTen Europako merkatuan duten konfiantza hobetzea, hodeiko zerbitzuetarako Europako Zibersegurtasunaren Ziurtapen Eskemaren (EUCS) bidez. Ziurtapen-eskema horrek erronka teknologiko berriak planteatzen ditu; izan ere, «berme-mailen» nozioa dago konpondu beharra, hornitzaileek eta bezeroek espero dituzten onura guztiak lortzeko.

MEDINA kontsortzioak TECNALIA du buru, eta bazkide akademiko eta industrialez osaturiko multzo orekatu bat biltzen du. Guztiak ere eginkizun erabakigarriez arduratzen dira hodeiko ziurtapen-ekosisteman, eta haien artean ageri dira, esaterako, ikerketa-zentroak (TECNALIA, Italiako Ikerketa Kontseilu Nazionala eta Fraunhofer), hodeiko hornitzaileak (Bosch eta Fabasoft), hornitzaile teknologikoak (Hewlett Packard Enterprise eta XLAB) eta auditoreak (Nixu).

MEDINAri buruzko informazio gehiago

MEDINA proiektuak ekarpena egiten dio Hodeian Segurtasuna Ziurtatzeko Europako politikari, hobetu egiten du zerbitzuen fidagarritasuna segurtasun-ziurtagirien eskemak betetzeari esker, lankidetzan jarduten du alderdi interesdunekin eta lagundu egiten dio Europari segurtasun-erronketarako prestatzen.

MEDINA kontsortzioak 36 hilabete iraungo duen proiektuaren lehenbiziko erdia bete du, eta bizkor ari da hurrengo mugarriak lortzeko bidean. Orain arte, MEDINAren arkitektura orokorra definitzea izan da lanaren ardatza, bai eta teknologien zein prozesuen esparru integratua garatzea ere, zeina Bosch eta Fabasoft etxeen erabilera-kasuek baliozkotuko baitute.

MEDINAk garaturiko tresnen artean, nabarmentzekoak dira arriskuetan oinarritutako ziurtapenerako prestaketa-zerbitzua eta segurtasun-betekizun eta -metriken katalogoa, funtsezko gaitzaileak baitira, bai EUCSen zehaztutako monitorizazio jarraitu eta automatizaturako, bai beste ziurtapen-eskema batzuetarako.

*Proiektu honek Europar Batasunaren ikerketa eta berrikuntzako Horizon 2020 programaren finantziazioa jaso du, 952633 zenbakiko akordioaren bidez.