Agilis kiberbiztonsági értékelő laborként a CCLab tízéves tapasztalattal rendelkezik a Common Criteria értékelések és tanácsadás területén, Közép-Európában az első, Magyarországon pedig az egyetlen akkreditált, Common Criteria Recognition Arrangement (CCRA) szerint tesztelő szoftverlabor. Kiberbiztonsági szolgáltatásaival aktívan támogatja többek között az energiaipar, az IoT-eszközök, ipari vezérlőrendszerek, autóipari beszállítók és orvostechnikai eszközök megfelelőségértékelését, a sikeres projektek és a nemzetközi ügyfelek számát évről évre növeli nemcsak Európában, hanem az Egyesült Államokban és Ázsiában is.
Felfigyelt a magyar szoftverlabor kimagasló teljesítményére és szakértelmére a tesztelési, ellenőrzési és tanúsítási (TIC) szolgáltatások piacán világszinten vezető QIMA Group is, amely idén többségi tulajdont szerzett a cégben. Az akvizícióval megnyíló új távlatokról és a további tervekről Molnár Ferenc Tamást, a CCLab Kft. alapító-vezérigazgatóját kérdeztük.
Computerworld: Milyen előnyöket ad szállítóknak és felhasználóknak a termékek CC szabvány szerinti kiberbiztonsági tanúsítása?
Molnár Ferenc Tamás: A vállalatok és az egyéni felhasználók mind több informatikai eszközt és szolgáltatást használnak az üzleti működés és az élet minden területén, amelyek értékes és érzékeny adatok gyorsan növekvő, hatalmas tömegét kezelik, tárolják és dolgozzák fel, ezért biztonságuk létfontosságú. A Common Criteria for Information Technology Security Evaluation (CC) nemzetközi szabványként keretrendszert ad, amelyben az informatikai termékek felhasználói csoportjai meghatározhatják biztonsági követelményeiket, a szállítók így azokat könnyebben teljesíthetik, mint ha országonként eltérő követelményeknek próbálnának megfelelni.
Minthogy a szállítók termékeinek CC-megfelelőségét az ügyfelek maguk csak óriási ráfordítással vagy egyáltalán nem tudnák ellenőrizni, a vállalati és a lakossági piacra szánt termékek tesztelését és tanúsítását ránk, a szabvány szerint akkreditált kiberbiztonsági laborokra bízzák. A minden fél által elfogadott értékelés így hamarabb elkészül, a termékek gyorsabban piacra kerülhetnek, és azokat a felhasználók nagyobb biztonságban használhatják.
A közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) az uniós kiberbiztonsági jogszabály tanúsítási keretrendszerében kidolgozott, első rendszer lesz, amely az informatikai eszközök tanúsításán túl a kritikus infrastruktúrák kiberbiztonságának megerősítését, valamint a NIS 2 irányelv és a kiberrezilienciáról szóló, tervezett jogszabály végrehajtását is támogatni fogja minden tagállamban.
CW: Az akvizíció milyen változást hoz vállalatuk életébe?
Molnár Ferenc Tamás: Szoftverlaborunkat tíz évvel ezelőtt eleve azért alapítottuk, hogy a nemzetközi piacra szállító vállalatoknak adjunk kiberbiztonsági megfelelőség-értékelési szolgáltatásokat. Ügyfélkörünket így szinte teljes egészében külföldi cégek alkotják, de örömmel mondhatom, hogy világszinten sikeres hazai szállítók is megjelentek közöttük.
A QIMA Group piaci súlya különösen nagy az ázsiai és dél-amerikai térségben, ahol a vállalati és a lakossági piacra szánt IoT-eszközök szállítói és felhasználói is rendkívül népes tábort alkotnak. A hatalmas üzleti lehetőség kiaknázására csapatunk bővítése mellett elsősorban a tesztelés automatizálásával készülünk, hogy a lakossági piacra szállító gyártóknak is hozzáférhetőbbé tegyük a kiberbiztonsági tanúsítást. Nagy elképzeléseink vannak a jövővel kapcsolatban, és folyamatosan keressük azokat a magyar tehetséges szakembereket, akik örömmel vennének részt terveink megvalósításában.
CW: A kiberfenyegetések és a kibervédelmi megoldások folyamatos és gyors fejlődése hogyan hat a TIC szektorra? Milyen tervekkel készülnek 2024-re?
Molnár Ferenc Tamás: Dinamikusan változó digitális környezetünkben a folyamatosan felbukkanó, új sérülékenységek és más kockázatok miatt az informatikai termékek első biztonsági tesztelését és tanúsítását is szükséges folyamatosan frissíteni, CC szabvány szerinti értékelésük érvényességét monitorozni. A QIMA Group tagjaként piaci elérésünk jelentősen megnövekszik, ezért TIC szolgáltatásaink automatizálásával a kiberbiztonsági monitorozás folyamatát, a tanúsítványok karbantartását is hatékonyabbá tesszük, és a cégcsoport kompetenciájára építve a teljes ellátási láncra ki fogjuk terjeszteni.
Minderre a szállítóknak is fel kell készülniük, hogy a tesztelés és az ellenőrzés átfutása a lehető legrövidebb legyen, és az értékelés minél hamarabb elkészüljön. Készítettünk már oktatóanyagot, amely a felkészülésben segíti ügyfeleinket, és a rendkívül kedvező tapasztalatok alapján ennek bővítését is tervezzük.