Alfa Beta Charlie Delta – brzmi jak nowe warianty koronawirusa , niemniej jednak  to coś innego. Są to stopnie alarmowe – określające  poziom bezpieczeństwa w polskiej cyberprzestrzeni .  Z każdym stopniu wiążą się  zadania  dla  osób związanych z administracją  (  informatycy w gminach  i innych instytucjach).

Stopnie zagrożenie określa ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 lipca 2016 r.   No i niestety jak to zwykle  bywa  w tym kraju znów  rzeczami technicznymi zajmował się jakiś  prawnik,  no  i wyszło jak zwykle.  

Ale żeby  wszyscy wiedzieli o czym mowa  : 

Po wprowadzeniu pierwszego stopnia alarmowego CRP (stopień ALFA-CRP) należy wykonać w szczególności następujące zadania:

1) wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej, zwanych dalej „systemami”, w szczególności wykorzystując zalecenia Szefa Agencji Bezpieczeństwa Wewnętrznego lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością, oraz:

a) monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,

b) sprawdzać dostępność usług elektronicznych,

c) dokonywać, w razie potrzeby, zmian w dostępie do systemów;

2) poinformować personel instytucji o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów;

3) sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji;

4) dokonać przeglądu stosownych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji, oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;

5) sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń;

6) informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego do spraw informatyzacji.

2. Po wprowadzeniu drugiego stopnia alarmowego CRP (stopień BRAVO-CRP) należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP. Ponadto należy:

1) zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;

2) wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji

oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

3. Po wprowadzeniu trzeciego stopnia alarmowego CRP (stopień CHARLIE-CRP) należy wykonać zadania wymienione dla pierwszego i drugiego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP lub BRAVO-CRP. Ponadto należy wykonać w szczególności następujące zadania:

1) wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji

oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów;

2) dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku;

3) przygotować się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu

potencjalnego ataku, w tym:

a) dokonać przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,

b) przygotować się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.

4. Po wprowadzeniu czwartego stopnia alarmowego CRP (stopień DELTA-CRP) należy wykonać zadania wymienione dla pierwszego, drugiego i trzeciego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP, BRAVO-CRP lub CHARLIE CRP. Ponadto należy wykonać w szczególności następujące zadania:

1) uruchomić plany awaryjne lub plany ciągłości działania organizacji w sytuacjach awarii lub utraty ciągłości działania;

2) stosownie do sytuacji przystąpić do realizacji procedur przywracania ciągłości działania.

I co  z tym jest nie ok ?  Po  pierwsze  jest  to rozmyte  i całkowicie  bez konkretów . 

W tego typu dokumentach nie powinno być żadnego odniesienia  do  innych planów i zaleceń .  To powinien  być  spójny i konkretny  jeden dokument. Na ten moment  odwołuje się  to do planów  jednostek których to dotyczy-“czyli co tam wymyśliliście  sobie to zróbcie i będziemy to mieli ”. no i czasami tak trochę  jakby  na bakier  z logiką.Zróbmy małą  wredną analizę patrzą  z punktu  widzenia małego  urzędu  gdzieś w jakieś  dziurze

ALFA-CRP 

• wzmożone monitorowanie – jak w gminie jest jeden średnio opłacalny  informatyk , który  lata od zgłoszenia do zgłoszenia,  to na pewno ma czas aby monitorować  cokolwiek. Mało tego  – jestem przekonany że małe  gminy nie mają żadnych systemów  monitoringu  typu zabbix – bo nie ma wiedzy i kasy 
• Powiadomić  personel aby uważał –  to akurat jest  pomysł ok. 

I de facto do tego się  Alfa  sprowadza …

A ja się  pytam  czy nie powinien  tu być konkretny wymóg zaktualizowania wszystkiego co się  da ?  Firmware na routerach?  WordPressa  na   stronie ? Aktualizacji na  Serwerach ? 

BETA-CRP

Tutaj dochodzą  2  nowe rzeczy 

• Zapewnienie  dostępu w trybie alarmowym  …  Ale do czego ?  może  bardziej  konkretnie  ?  Może  jestem pesymistą. ale jak  informatyk zobaczy info  poprzez zdalny dostęp  że  dane w um  są zaszyfrowane , to to już jest po wszystkim … 
• Całodobowe dyżury …   to jest HIT ,  dobrze że nie pisze że stacjonarne ,  bo rozumiem że informatyk miałby siedzieć i patrzeć na serwery … a  one na niego ?   A  że  tak zapytam  – kto temu informatykowi  za te dyżury zapłaci ?   Bo o tym nigdzie nie ma ani słowa? 

CHARLIE-CRP

• Sprawdzić  backupy … czyli przy ALFIE i BETA nie interesuje nas czy mamy backupy ? Nonsens…  Sprawdzenie backupów jest  już na etapie ALFA  którego zadania  też  tutaj  trzeba wykonać  – więc  ? 
• Dyżury  osób  decyzyjnych …. no fajnie ale po co ? 

I znów  ja się pytam  : czy na tym etapie nie powinno być  ograniczenia pracy zdalnej.  Wyłączenia wszystkich  średnio potrzebnych  usług które są wystawione na zewnątrz.    Wyłączenie Wifi  w jednostce. Powiem więcej tutaj powinno być  (w przypadku posiadania możliwości technicznych )  blokowanie ruchu z danych krajów  i odcięcie  Internetu poza godzinami pracy . !!!

DELTA-CRP 

Czyli guano wpadło w wentylator – mamy  incydent …. 

Tego w ogóle nie powinno wyjść  , bo powyższe stopnie powinny być tak skonstruowane że nie dochodzimy do delty. 

Ale skoro  już mamy  delte…

Czy nie powinno być w pierwszym kroku odcięcie  infrastruktury  od  Internetu ( przypominam że to już jest w trakcie incydentu  bądź ataku ), zawiadomienie odpowiednich  organów (CERT) itp ? 

Ustawodawca  stworzył  całość  bez podania żadnego konkretu ,  z  założeniem  i naciskiem na plany w urzędach  itp .  Co jest oczywistym Błędem , niektóre rzeczy i jak i działania powinny być jawnie i konkretnie – bez możliwości  nadinterpretacji narzucone . 

Nasz  sugestia  co  powinno być w CRP

ALFA – CRP

• Sprawdzenie czy bakupy się robią i czy są 
• Sprawdzenie czy są plany działania na wypadek wtopy
• Informacja dla użytkowników  aby uważali co klikają
• Aktualizacja firmware do najnowszej wersji na wszystkich urządzeniach sieciowych
• Aktualizacja wszystkich  systemów operacyjnych
• Aktualizacja  stron internetowych

BETA –  CRP 

• Sprawdzenie / przetestowanie / uruchomienie systemu monitoringu infrastruktury  typu zabbix  lub równoważnego.
• Inwentaryzacja wszystkich udostępnionych na zew usług i określenie które  z nich są  krytyczne.

CHARLIE-CRP

• Wyłączenie możliwości  pracy zdalnej
• Odcięcie sieci um  od internetu  poza  godzinami  pracy 
• Wyłączenie  sieci  wifi 
• Wyłącznie nie krytycznych usług udostępnionych na zew
• Zrobienie backupu na nośniki zew nie podłączone do sieci  (zimna kopia)

DELTA-CRP

• Odłączenie  od sieci internet 
• W ramach potrzeb wyłączenie sieci elektrycznej ( w celu ograniczenia szkód) 
• Zawiadomienie odpowiednich służb
• Ocena sytuacji , zabezpieczenie dowodów
• Przywrócenie  funkcjonalności

Nieśmiało sugerujemy aby informatycy / admini z urzędów wzięli sobie powyższe uwagi do serca, oraz zainstalowali i ogarnęli na tyle na ile to możliwe zabbixa ( open source i gada praktycznie ze wszystkim co się da ) lub coś podobnego , po to aby o fuckupie nie dowiedzieć sie rano przychodząc do pracy

Artykuł ALFA/BETA/CHARLIE/DELTA – CRP pochodzi z serwisu Z IT Wzięte.