Czyli Cyber-bezpieczeństwo w Wykonaniu Polski
Alfa Beta Charlie Delta – brzmi jak nowe warianty koronawirusa , niemniej jednak to coś innego. Są to stopnie alarmowe – określające poziom bezpieczeństwa w polskiej cyberprzestrzeni . Z każdym stopniu wiążą się zadania dla osób związanych z administracją ( informatycy w gminach i innych instytucjach).
Stopnie zagrożenie określa ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 lipca 2016 r. No i niestety jak to zwykle bywa w tym kraju znów rzeczami technicznymi zajmował się jakiś prawnik, no i wyszło jak zwykle.
Ale żeby wszyscy wiedzieli o czym mowa :
Po wprowadzeniu pierwszego stopnia alarmowego CRP (stopień ALFA-CRP) należy wykonać w szczególności następujące zadania:
1) wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej, zwanych dalej „systemami”, w szczególności wykorzystując zalecenia Szefa Agencji Bezpieczeństwa Wewnętrznego lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością, oraz:
a) monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,
b) sprawdzać dostępność usług elektronicznych,
c) dokonywać, w razie potrzeby, zmian w dostępie do systemów;
2) poinformować personel instytucji o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów;
3) sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji;
4) dokonać przeglądu stosownych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji, oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;
5) sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń;
6) informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego do spraw informatyzacji.
2. Po wprowadzeniu drugiego stopnia alarmowego CRP (stopień BRAVO-CRP) należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP. Ponadto należy:
1) zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
2) wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji
oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.
3. Po wprowadzeniu trzeciego stopnia alarmowego CRP (stopień CHARLIE-CRP) należy wykonać zadania wymienione dla pierwszego i drugiego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP lub BRAVO-CRP. Ponadto należy wykonać w szczególności następujące zadania:
1) wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji
oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów;
2) dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku;
3) przygotować się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu
potencjalnego ataku, w tym:
a) dokonać przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,
b) przygotować się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.
4. Po wprowadzeniu czwartego stopnia alarmowego CRP (stopień DELTA-CRP) należy wykonać zadania wymienione dla pierwszego, drugiego i trzeciego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP, BRAVO-CRP lub CHARLIE CRP. Ponadto należy wykonać w szczególności następujące zadania:
1) uruchomić plany awaryjne lub plany ciągłości działania organizacji w sytuacjach awarii lub utraty ciągłości działania;
2) stosownie do sytuacji przystąpić do realizacji procedur przywracania ciągłości działania.
I co z tym jest nie ok ? Po pierwsze jest to rozmyte i całkowicie bez konkretów .
W tego typu dokumentach nie powinno być żadnego odniesienia do innych planów i zaleceń . To powinien być spójny i konkretny jeden dokument. Na ten moment odwołuje się to do planów jednostek których to dotyczy-“czyli co tam wymyśliliście sobie to zróbcie i będziemy to mieli ”. no i czasami tak trochę jakby na bakier z logiką.Zróbmy małą wredną analizę patrzą z punktu widzenia małego urzędu gdzieś w jakieś dziurze
ALFA-CRP
- wzmożone monitorowanie – jak w gminie jest jeden średnio opłacalny informatyk , który lata od zgłoszenia do zgłoszenia, to na pewno ma czas aby monitorować cokolwiek. Mało tego – jestem przekonany że małe gminy nie mają żadnych systemów monitoringu typu zabbix – bo nie ma wiedzy i kasy
- Powiadomić personel aby uważał – to akurat jest pomysł ok.
I de facto do tego się Alfa sprowadza …
A ja się pytam czy nie powinien tu być konkretny wymóg zaktualizowania wszystkiego co się da ? Firmware na routerach? WordPressa na stronie ? Aktualizacji na Serwerach ?
BETA-CRP
Tutaj dochodzą 2 nowe rzeczy
- Zapewnienie dostępu w trybie alarmowym … Ale do czego ? może bardziej konkretnie ? Może jestem pesymistą. ale jak informatyk zobaczy info poprzez zdalny dostęp że dane w um są zaszyfrowane , to to już jest po wszystkim …
- Całodobowe dyżury … to jest HIT , dobrze że nie pisze że stacjonarne , bo rozumiem że informatyk miałby siedzieć i patrzeć na serwery … a one na niego ? A że tak zapytam – kto temu informatykowi za te dyżury zapłaci ? Bo o tym nigdzie nie ma ani słowa?
CHARLIE-CRP
- Sprawdzić backupy … czyli przy ALFIE i BETA nie interesuje nas czy mamy backupy ? Nonsens… Sprawdzenie backupów jest już na etapie ALFA którego zadania też tutaj trzeba wykonać – więc ?
- Dyżury osób decyzyjnych …. no fajnie ale po co ?
I znów ja się pytam : czy na tym etapie nie powinno być ograniczenia pracy zdalnej. Wyłączenia wszystkich średnio potrzebnych usług które są wystawione na zewnątrz. Wyłączenie Wifi w jednostce. Powiem więcej tutaj powinno być (w przypadku posiadania możliwości technicznych ) blokowanie ruchu z danych krajów i odcięcie Internetu poza godzinami pracy . !!!
DELTA-CRP
Czyli guano wpadło w wentylator – mamy incydent ….
Tego w ogóle nie powinno wyjść , bo powyższe stopnie powinny być tak skonstruowane że nie dochodzimy do delty.
Ale skoro już mamy delte…
Czy nie powinno być w pierwszym kroku odcięcie infrastruktury od Internetu ( przypominam że to już jest w trakcie incydentu bądź ataku ), zawiadomienie odpowiednich organów (CERT) itp ?
Ustawodawca stworzył całość bez podania żadnego konkretu , z założeniem i naciskiem na plany w urzędach itp . Co jest oczywistym Błędem , niektóre rzeczy i jak i działania powinny być jawnie i konkretnie – bez możliwości nadinterpretacji narzucone .
Nasz sugestia co powinno być w CRP
ALFA – CRP
- Sprawdzenie czy bakupy się robią i czy są
- Sprawdzenie czy są plany działania na wypadek wtopy
- Informacja dla użytkowników aby uważali co klikają
- Aktualizacja firmware do najnowszej wersji na wszystkich urządzeniach sieciowych
- Aktualizacja wszystkich systemów operacyjnych
- Aktualizacja stron internetowych
BETA – CRP
- Sprawdzenie / przetestowanie / uruchomienie systemu monitoringu infrastruktury typu zabbix lub równoważnego.
- Inwentaryzacja wszystkich udostępnionych na zew usług i określenie które z nich są krytyczne.
CHARLIE-CRP
- Wyłączenie możliwości pracy zdalnej
- Odcięcie sieci um od internetu poza godzinami pracy
- Wyłączenie sieci wifi
- Wyłącznie nie krytycznych usług udostępnionych na zew
- Zrobienie backupu na nośniki zew nie podłączone do sieci (zimna kopia)
DELTA-CRP
- Odłączenie od sieci internet
- W ramach potrzeb wyłączenie sieci elektrycznej ( w celu ograniczenia szkód)
- Zawiadomienie odpowiednich służb
- Ocena sytuacji , zabezpieczenie dowodów
- Przywrócenie funkcjonalności
Nieśmiało sugerujemy aby informatycy / admini z urzędów wzięli sobie powyższe uwagi do serca, oraz zainstalowali i ogarnęli na tyle na ile to możliwe zabbixa ( open source i gada praktycznie ze wszystkim co się da ) lub coś podobnego , po to aby o fuckupie nie dowiedzieć sie rano przychodząc do pracy 🙂
FAQ: Stopnie alarmowe CRP – cyberbezpieczeństwo w Polsce
Stopnie alarmowe CRP (Centrum Reagowania na Incydenty Cyberbezpieczeństwa) określają poziom zagrożenia w polskiej cyberprzestrzeni. Stopień ALFA-CRP to najniższy poziom alarmowy, wprowadzany gdy istnieje ogólne zagrożenie atakami cybernetycznymi. BRAVO-CRP oznacza zwiększone i przewidywalne zagrożenie cyberatakiem. CHARLIE-CRP wprowadzany jest gdy dojdzie do potwierdzenia incydentu cyberbezpieczeństwa lub gdy informacje wskazują na prawdopodobieństwo ataku na infrastrukturę krytyczną. DELTA-CRP to najwyższy stopień oznaczający bezpośrednie zagrożenie cyberatakiem o dużej skali lub trwający atak. Każdy stopień wiąże się z konkretnymi zadaniami dla administracji publicznej, w tym informatyków w gminach, urzędach i instytucjach państwowych. Stopnie określa Prezes Rady Ministrów na wniosek ministra właściwego lub odpowiednich służb. Podstawą prawną jest Ustawa o działaniach antyterrorystycznych z 2016 roku oraz rozporządzenia wykonawcze.
Stopnie alarmowe CRP w Polsce wprowadza Prezes Rady Ministrów, działając na wniosek ministra właściwego do spraw wewnętrznych, Szefa Agencji Bezpieczeństwa Wewnętrznego (ABW) lub Szefa Agencji Wywiadu. Podstawą prawną jest Rozporządzenie Prezesa Rady Ministrów w sprawie stopni alarmowych dla zagrożeń cybernetycznych. Decyzja o wprowadzeniu danego stopnia alarmowego opiera się na analizie bieżącej sytuacji bezpieczeństwa w cyberprzestrzeni, informacjach wywiadowczych oraz ocenie ryzyka. Stopnie mogą być wprowadzane na terenie całego kraju lub w konkretnych lokalizacjach, a także dla określonych instytucji czy systemów informatycznych. W sytuacjach nagłych decyzja może być podejmowana w trybie pilnym. Po ustaniu zagrożenia stopień alarmowy jest odwoływany lub obniżany. Informacja o wprowadzeniu stopnia alarmowego jest przekazywana odpowiednim służbom i instytucjom, a także podawana do publicznej wiadomości.
Przy ogłoszeniu stopnia alarmowego CRP instytucje publiczne mają szereg konkretnych obowiązków zależnych od poziomu zagrożenia. Przy stopniu ALFA-CRP wymagane jest zwiększenie monitoringu systemów IT, sprawdzenie aktualności procedur bezpieczeństwa oraz gotowości zespołów reagowania. Administratorzy systemów muszą zweryfikować kopie zapasowe i upewnić się, że wszystkie aktualizacje bezpieczeństwa są wdrożone. Przy wyższych stopniach dochodzą dodatkowe wymogi – ograniczenie dostępu do krytycznych systemów, wzmożony monitoring ruchu sieciowego, uruchomienie dodatkowych mechanizmów ochrony. Informatycy w gminach i instytucjach muszą pozostawać w gotowości do natychmiastowego reagowania. Obowiązuje raportowanie wszelkich incydentów do odpowiednich zespołów CSIRT. W przypadku stopnia DELTA-CRP instytucje mogą być zobowiązane do ograniczenia funkcjonalności systemów lub ich czasowego wyłączenia w celu ochrony przed atakiem. Nieprzestrzeganie wymogów stopni alarmowych wiąże się z odpowiedzialnością służbową.
CSIRT (Computer Security Incident Response Team) to zespół reagowania na incydenty bezpieczeństwa komputerowego. W Polsce funkcjonują trzy główne zespoły CSIRT: CSIRT GOV (prowadzony przez ABW) odpowiedzialny za ochronę systemów administracji rządowej i infrastruktury krytycznej, CSIRT NASK odpowiedzialny za koordynację reagowania na incydenty w sieciach cywilnych, oraz CSIRT MON chroniący systemy resortu obrony narodowej. Ich główne zadania obejmują monitorowanie zagrożeń w cyberprzestrzeni, koordynację reagowania na incydenty bezpieczeństwa, analizę złośliwego oprogramowania, wydawanie ostrzeżeń i rekomendacji oraz współpracę z podobnymi zespołami na arenie międzynarodowej. CSIRT-y pełnią kluczową rolę podczas obowiązywania stopni alarmowych CRP, koordynując działania ochronne i zbierając informacje o incydentach. Każda instytucja publiczna powinna wiedzieć, do którego CSIRT zgłaszać incydenty bezpieczeństwa. Podstawą prawną działania CSIRT-ów w Polsce jest Ustawa o krajowym systemie cyberbezpieczeństwa.
W czasie podwyższonego stopnia alarmowego CRP należy podjąć szereg działań zabezpieczających systemy informatyczne. Przede wszystkim trzeba natychmiast zainstalować wszystkie dostępne aktualizacje bezpieczeństwa systemu operacyjnego i oprogramowania. Należy zweryfikować aktualność i poprawność kopii zapasowych oraz upewnić się, że są przechowywane w bezpiecznej lokalizacji, najlepiej odłączonej od sieci. Warto wzmocnić politykę haseł – zmienić hasła administracyjne, włączyć uwierzytelnianie wieloskładnikowe wszędzie gdzie to możliwe. Monitorowanie logów systemowych powinno być intensywniejsze, z uwagą na nietypowe wzorce ruchu sieciowego. Firewall powinien być skonfigurowany restrykcyjnie, a niepotrzebne usługi i porty wyłączone. Pracownicy powinni zostać poinformowani o podwyższonym zagrożeniu i przypomnieniu zasad bezpieczeństwa, szczególnie dotyczących phishingu i podejrzanych załączników. Warto rozważyć czasowe ograniczenie dostępu zdalnego do sieci firmowej oraz wdrożenie dodatkowych mechanizmów kontroli dostępu.
Najczęstsze cyberzagrożenia dla polskich firm i instytucji obejmują kilka głównych kategorii. Ransomware – złośliwe oprogramowanie szyfrujące dane i żądające okupu – stanowi jedno z najpoważniejszych zagrożeń, dotykając zarówno małe firmy jak i duże korporacje. Phishing, czyli wyłudzanie danych poprzez fałszywe wiadomości e-mail imitujące zaufane instytucje (banki, urzędy, firmy kurierskie), jest najczęstszym wektorem ataku. Ataki DDoS paraliżujące działanie serwisów internetowych są często stosowane wobec instytucji publicznych. Wycieki danych osobowych stanowią nie tylko zagrożenie bezpieczeństwa, ale też naruszenie RODO, grożące wysokimi karami finansowymi. Ataki na łańcuch dostaw, wykorzystujące zaufane oprogramowanie do dystrybucji złośliwego kodu, zyskują na popularności. Business Email Compromise (BEC) polega na podszywaniu się pod przełożonych w celu wyłudzenia przelewów. Ochrona wymaga wielowarstwowego podejścia łączącego technologię, procedury i edukację pracowników.
Ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 roku stanowi podstawowy akt prawny regulujący kwestie bezpieczeństwa cybernetycznego w Polsce. Implementuje ona dyrektywę NIS (Network and Information Security) Unii Europejskiej. Ustawa definiuje krajowy system cyberbezpieczeństwa, wyznacza obowiązki operatorów usług kluczowych (np. energetyka, transport, bankowość, ochrona zdrowia) oraz dostawców usług cyfrowych. Określa strukturę instytucjonalną systemu, w tym role CSIRT GOV, CSIRT NASK i CSIRT MON. Nakłada na operatorów usług kluczowych obowiązek wdrożenia systemu zarządzania bezpieczeństwem, zgłaszania incydentów oraz przeprowadzania regularnych audytów. Ustawa przewiduje kary za nieprzestrzeganie obowiązków. W ramach nowelizacji uwzględniane są rosnące zagrożenia i implementacja dyrektywy NIS2, która rozszerza zakres podmiotów objętych regulacją. Znajomość tej ustawy jest istotna dla każdej organizacji przetwarzającej dane i świadczącej usługi cyfrowe w Polsce.
