Czyli Cyber-bezpieczeństwo w Wykonaniu Polski
Alfa Beta Charlie Delta – brzmi jak nowe warianty koronawirusa , niemniej jednak to coś innego. Są to stopnie alarmowe – określające poziom bezpieczeństwa w polskiej cyberprzestrzeni . Z każdym stopniu wiążą się zadania dla osób związanych z administracją ( informatycy w gminach i innych instytucjach).
Stopnie zagrożenie określa ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 lipca 2016 r. No i niestety jak to zwykle bywa w tym kraju znów rzeczami technicznymi zajmował się jakiś prawnik, no i wyszło jak zwykle.
Ale żeby wszyscy wiedzieli o czym mowa :
Po wprowadzeniu pierwszego stopnia alarmowego CRP (stopień ALFA-CRP) należy wykonać w szczególności następujące zadania:
1) wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej, zwanych dalej „systemami”, w szczególności wykorzystując zalecenia Szefa Agencji Bezpieczeństwa Wewnętrznego lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością, oraz:
a) monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,
b) sprawdzać dostępność usług elektronicznych,
c) dokonywać, w razie potrzeby, zmian w dostępie do systemów;
2) poinformować personel instytucji o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów;
3) sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji;
4) dokonać przeglądu stosownych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji, oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;
5) sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń;
6) informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego do spraw informatyzacji.
2. Po wprowadzeniu drugiego stopnia alarmowego CRP (stopień BRAVO-CRP) należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP. Ponadto należy:
1) zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
2) wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji
oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.
3. Po wprowadzeniu trzeciego stopnia alarmowego CRP (stopień CHARLIE-CRP) należy wykonać zadania wymienione dla pierwszego i drugiego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP lub BRAVO-CRP. Ponadto należy wykonać w szczególności następujące zadania:
1) wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji
oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów;
2) dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku;
3) przygotować się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu
potencjalnego ataku, w tym:
a) dokonać przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,
b) przygotować się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.
4. Po wprowadzeniu czwartego stopnia alarmowego CRP (stopień DELTA-CRP) należy wykonać zadania wymienione dla pierwszego, drugiego i trzeciego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP, BRAVO-CRP lub CHARLIE CRP. Ponadto należy wykonać w szczególności następujące zadania:
1) uruchomić plany awaryjne lub plany ciągłości działania organizacji w sytuacjach awarii lub utraty ciągłości działania;
2) stosownie do sytuacji przystąpić do realizacji procedur przywracania ciągłości działania.
I co z tym jest nie ok ? Po pierwsze jest to rozmyte i całkowicie bez konkretów .
W tego typu dokumentach nie powinno być żadnego odniesienia do innych planów i zaleceń . To powinien być spójny i konkretny jeden dokument. Na ten moment odwołuje się to do planów jednostek których to dotyczy-“czyli co tam wymyśliliście sobie to zróbcie i będziemy to mieli ”. no i czasami tak trochę jakby na bakier z logiką.Zróbmy małą wredną analizę patrzą z punktu widzenia małego urzędu gdzieś w jakieś dziurze
ALFA-CRP
- wzmożone monitorowanie – jak w gminie jest jeden średnio opłacalny informatyk , który lata od zgłoszenia do zgłoszenia, to na pewno ma czas aby monitorować cokolwiek. Mało tego – jestem przekonany że małe gminy nie mają żadnych systemów monitoringu typu zabbix – bo nie ma wiedzy i kasy
- Powiadomić personel aby uważał – to akurat jest pomysł ok.
I de facto do tego się Alfa sprowadza …
A ja się pytam czy nie powinien tu być konkretny wymóg zaktualizowania wszystkiego co się da ? Firmware na routerach? WordPressa na stronie ? Aktualizacji na Serwerach ?
BETA-CRP
Tutaj dochodzą 2 nowe rzeczy
- Zapewnienie dostępu w trybie alarmowym … Ale do czego ? może bardziej konkretnie ? Może jestem pesymistą. ale jak informatyk zobaczy info poprzez zdalny dostęp że dane w um są zaszyfrowane , to to już jest po wszystkim …
- Całodobowe dyżury … to jest HIT , dobrze że nie pisze że stacjonarne , bo rozumiem że informatyk miałby siedzieć i patrzeć na serwery … a one na niego ? A że tak zapytam – kto temu informatykowi za te dyżury zapłaci ? Bo o tym nigdzie nie ma ani słowa?
CHARLIE-CRP
- Sprawdzić backupy … czyli przy ALFIE i BETA nie interesuje nas czy mamy backupy ? Nonsens… Sprawdzenie backupów jest już na etapie ALFA którego zadania też tutaj trzeba wykonać – więc ?
- Dyżury osób decyzyjnych …. no fajnie ale po co ?
I znów ja się pytam : czy na tym etapie nie powinno być ograniczenia pracy zdalnej. Wyłączenia wszystkich średnio potrzebnych usług które są wystawione na zewnątrz. Wyłączenie Wifi w jednostce. Powiem więcej tutaj powinno być (w przypadku posiadania możliwości technicznych ) blokowanie ruchu z danych krajów i odcięcie Internetu poza godzinami pracy . !!!
DELTA-CRP
Czyli guano wpadło w wentylator – mamy incydent ….
Tego w ogóle nie powinno wyjść , bo powyższe stopnie powinny być tak skonstruowane że nie dochodzimy do delty.
Ale skoro już mamy delte…
Czy nie powinno być w pierwszym kroku odcięcie infrastruktury od Internetu ( przypominam że to już jest w trakcie incydentu bądź ataku ), zawiadomienie odpowiednich organów (CERT) itp ?
Ustawodawca stworzył całość bez podania żadnego konkretu , z założeniem i naciskiem na plany w urzędach itp . Co jest oczywistym Błędem , niektóre rzeczy i jak i działania powinny być jawnie i konkretnie – bez możliwości nadinterpretacji narzucone .
Nasz sugestia co powinno być w CRP
ALFA – CRP
- Sprawdzenie czy bakupy się robią i czy są
- Sprawdzenie czy są plany działania na wypadek wtopy
- Informacja dla użytkowników aby uważali co klikają
- Aktualizacja firmware do najnowszej wersji na wszystkich urządzeniach sieciowych
- Aktualizacja wszystkich systemów operacyjnych
- Aktualizacja stron internetowych
BETA – CRP
- Sprawdzenie / przetestowanie / uruchomienie systemu monitoringu infrastruktury typu zabbix lub równoważnego.
- Inwentaryzacja wszystkich udostępnionych na zew usług i określenie które z nich są krytyczne.
CHARLIE-CRP
- Wyłączenie możliwości pracy zdalnej
- Odcięcie sieci um od internetu poza godzinami pracy
- Wyłączenie sieci wifi
- Wyłącznie nie krytycznych usług udostępnionych na zew
- Zrobienie backupu na nośniki zew nie podłączone do sieci (zimna kopia)
DELTA-CRP
- Odłączenie od sieci internet
- W ramach potrzeb wyłączenie sieci elektrycznej ( w celu ograniczenia szkód)
- Zawiadomienie odpowiednich służb
- Ocena sytuacji , zabezpieczenie dowodów
- Przywrócenie funkcjonalności
Nieśmiało sugerujemy aby informatycy / admini z urzędów wzięli sobie powyższe uwagi do serca, oraz zainstalowali i ogarnęli na tyle na ile to możliwe zabbixa ( open source i gada praktycznie ze wszystkim co się da ) lub coś podobnego , po to aby o fuckupie nie dowiedzieć sie rano przychodząc do pracy 🙂
