Wyślij zapytanie Dołącz do Sii

Ostatnie wydarzenia skłoniły wiele firm do większej refleksji nad bezpieczeństwem – nie tylko fizycznym, ale również tym w świecie wirtualnym. Od 21 lutego 2022 r. od godz. 21.00 na terenie Polski został wprowadzony 3 stopień alarmowy CHARLIE-CRP.

Zacznijmy od tego, że w Polsce nigdy wcześniej nie mieliśmy wprowadzonego trzeciego stopnia alarmowego. Został on ustanowiony na podstawie decyzji prezesa Rady Ministrów.

Podstawy prawne wprowadzenia stopni alarmowych

Podstawę prawną do ustanawiania stopni CRP, opis procedur i mechanizmów ich wprowadzania oraz opis zadań organów państwowych stanowią dwa dokumenty:

Wyróżniamy cztery stopnie zagrożenia CRP:

  • ALFA-CRP (najniższy),
  • BRAVO-CRP,
  • CHARLE-CRP,
  • DELTA-CRP (najwyższy).

Ustanawiane są w przypadku zagrożenia o charakterze terrorystycznym dla infrastruktury teleinformatycznej organów administracji lub systemów zaliczanych do infrastruktury krytycznej.

Stopnie są wprowadzane, zmieniane lub odwoływane decyzją premiera na podstawie opinii ministra spraw wewnętrznych oraz szefa Agencji Bezpieczeństwa Wewnętrznego. W uzasadnionej sytuacji decyzję może wydać minister spraw wewnętrznych na podstawie opinii szefa Agencji Bezpieczeństwa Wewnętrznego, przedkładając stosowną informację premierowi.

Wprowadzane stopnie CRP mogą być ustanawiane na określonych obszarach – nie muszą obejmować całego kraju. Dodatkowo, premier może wprowadzić stopień CRP dla pojedynczego obiektu jednostki organizacyjnej administracji, sądów, prokuratury lub innych wskazanych elementów infrastruktury.

Stopnie CRP poza granicami Polski

Stopnie CRP mogą również dotyczyć i obejmować sytuacje, gdy skutki zagrożenia terrorystycznego wpływają na Polaków znajdujących się poza granicami kraju. Mają też znaczenie w kontekście instytucji oraz infrastruktury znajdującej się poza krajem, niebędącej placówkami zagranicznymi RP (określone na podstawie ustawy z dnia 27 lipca 2001 r. o służbie zagranicznej).

W tym przypadku decyzję podejmuje premier, ale na podstawie opinii ministra spraw zagranicznych oraz szefa Agencji Wywiadu. Podobnie jak już wspominałem wcześniej: w uzasadnionych sytuacjach decyzję może wydać minister spraw zagranicznych na podstawie opinii Szefa Agencji Wywiadu, przedkładając stosowną informację premierowi.

Działania dla poszczególnych stopni alarmowych

Poniżej przedstawiam bardziej szczegółowy opis działań wymaganych dla konkretnego stopnia zagrożenia.

ALFA-CRP

Niski poziom zagrożenia. Wdrożony na podstawie informacji o możliwości wystąpienia zdarzenia o charakterze terrorystycznym w odniesieniu do systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.

Najważniejsze czynności do wykonania:

  • Poinformowanie wszystkich podległych pracowników o wprowadzonym stopniu alarmowym CRP.
  • Wprowadzenie wzmożonego monitorowania stanu bezpieczeństwa systemów teleinformatycznych.
  • Wprowadzenie wzmożonego monitorowania stanu bezpieczeństwa systemów teleinformatycznych w jednostkach, w szczególności:
    • monitorowanie i weryfikacja braku naruszeń bezpieczeństwa,
    • komunikacji elektronicznej,
    • sprawdzenie dostępności usług elektronicznych,
    • w razie konieczności dokonanie zmian w dostępie do systemów.
  • Sprawdzenie kanałów łączności z MI oraz podmiotami współpracującymi w przypadkach wprowadzenia stopnia CRP.
  • Ochrona infrastruktury teleinformatycznej.
  • Sprawdzanie aktualnego stanu bezpieczeństwa systemów. Ocena wpływu zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji (sprawdzenie logów systemowych oraz zabezpieczenia fizycznego serwerowni).
  • Przekazywanie informacji do ZMZ (Zespół Monitorowania Zagrożeń) o efektach działań zespołów reagowania na incydenty bezpieczeństwa teleinformatycznego lub inne właściwe struktury organizacyjne

BRAVO-CRP

Umiarkowany poziom zagrożenia. Wdrożony na podstawie informacji o zaistnieniu zwiększonego i przewidywalnego zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym w odniesieniu do systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.

Najważniejsze czynności do wykonania:

  • Zapewnienie dostępności w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów.
  • Wprowadzenie całodobowego dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

CHARLIE-CRP

Wysoki poziom zagrożenia. Zaistniało konkretne zdarzenie potwierdzające prawdopodobny cel ataku o charakterze terrorystycznym w odniesieniu do systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.

Najważniejsze czynności do wykonania:

  • Wprowadzenie całodobowych dyżurów administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów.
  • Dokonanie przeglądu dostępnych zasobów zapasowych w zakresie infrastruktury teleinformatycznej pod względem ich wykorzystania w przypadku zaistnienia ataku cyberterrorystycznego.
  • Przygotowanie się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym:
    • dokonanie przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,
    • przygotowanie się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.

DELTA-CRP

Bardzo wysoki poziom zagrożenia. Wdrożony na podstawie informacji o wystąpieniu zdarzenia o charakterze terrorystycznym lub uzyskanie informacji o zaawansowanej fazie przygotowań do zdarzenia o charakterze terrorystycznym w odniesieniu do systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.

Najważniejsze czynności do wykonania

  • Uruchomienie planów awaryjnych lub planów ciągłości działania organizacji w sytuacjach awarii lub utraty ciągłości działania.
  • Stosownie do sytuacji przystąpienie do realizacji procedur przywracania ciągłości działania.

Procedury i działania codzienne w kontekście wprowadzenia stopni alarmowych

Analizując czynności do wykonania zdefiniowane dla poszczególnych stopni zagrożenia, można zauważyć, że są to aktywności, o których organizacje powinny pomyśleć zawczasu. Teoretycznie wymagania niezbędne przy ALFA-CRP nie wyglądają na trudne do realizacji. Co więcej, zadania takie powinny być realizowane na co dzień, niezależnie od alarmów. Trudno jednak sobie wyobrazić spełnienie tych wymagań, nie posiadając aktywnego zespołu SOC.

 SOC (Security Operations Center)

 Do głównych zadań SOC-u, nazywanego inaczej CSIRT (Computer Security Incident Response Team), należy:

  • Ciągłe monitorowanie systemów i infrastruktury IT w celu wykrywania potencjalnych incydentów bezpieczeństwa.
  • Reakcja na incydenty bezpieczeństwa – aby nie dopuścić do włamania, a w przypadku włamania, żeby ograniczyć jego skutki.
  • Forensic analysis – analiza i zbieranie materiałów, które mogą być wykorzystane w sądzie.
  • Threat Hunting – aktywne poszukiwanie potencjalnych zagrożeń.
  • Monitorowanie i zarzadzanie podatnościami w systemach.

Posiadanie wewnętrznego zespołu SOC często stanowi poważne wyzwanie dla firm. Organizacja może:

  • Wyznaczyć osoby zajmujące się innymi zadaniami i „przy okazji” obsługą incydentów – słaba jakość monitoringu.
  • Wyznaczyć dedykowany zespół – rozwiązanie niezbyt efektywne kosztowo. Szczególnie dla mniejszych organizacji. Zapewnienie monitoringu 24/7 wymaga kilkuosobowego zespołu. Natomiast często bywa tak, że rzeczywistej pracy jest zdecydowanie mniej.

 Rozwiązaniem jest wsparcie dostawcy usług bezpieczeństwa. Zespół Sii SOC realizuje powyższe zadania, a nasi Analitycy SOC dbają o bezpieczeństwo ponad 50 000 użytkowników. Poniżej przedstawiono typowy skład zespołu:

Skład zespołu SOC
Ryc. 1 Skład zespołu SOC

Inaczej sprawa ma się przy wyższych poziomach. Wprowadzenie 24-godzinnych dyżurów administratorów systemów, w szczególności w mniejszych organizacjach, może wymagać zatrudnienia dodatkowych osób. W przypadku CHARLIE-CRP powinniśmy się skupić na sprawdzeniu, jak zadziałają nasze systemy i procedury w przypadku rzeczywistego ataku. Nie zrobimy takiej weryfikacji, jeżeli wcześniej nie mieliśmy np. wdrożonego mechanizmu do backupów.

DELTA-CRP jest już reakcją na atak. Jeżeli organizacja nie przedsięwzięła odpowiednich środków wcześniej, wyjście obronną ręką będzie bardzo trudne. To jest zresztą charakterystyczne dla obszaru cyberbezpieczeństwa. O zagrożeniach powinniśmy myśleć i im przeciwdziałać, zanim się pojawią.

Kilka słów na koniec

Aby skutecznie ochronić firmę przed zagrożeniami, niejako przy okazji przygotowując na kolejne stopnie CRP, trzeba sobie przede wszystkim uzmysłowić, że cyberbezpieczeństwo jest procesem, a nie jednorazowym działaniem.

Firmy i organizacje powinny rozpocząć od audytu, podczas którego zweryfikują istniejące procedury oraz techniczne aspekty bezpieczeństwa. Kluczowym elementem jest również ocena ryzyka organizacji. To dzięki niej dowiadujemy się, co i przed czym chcemy chronić, a następnie określamy, jak należy się zabezpieczyć.

Tak zbudowany System Zarządzania Bezpieczeństwem w organizacji powinien obejmować zarówno aspekty technologiczne, jak i procedury. Aby zapewnić wysoki stopień ochrony, należy zadbać o:

  • Bezpieczeństwo infrastruktury – wykorzystywane są między innymi rozwiązania do ochrony sieci, takie jak firewall czy IDS/IPS.
  • Bezpieczeństwo stacji końcowych – do ich ochrony tradycyjny antywirus już dawno przestał być wystarczający. Obecnie stosowane są rozbudowane systemy, które oprócz modułów do wykrywania malware, posiadają funkcje umożliwiające m.in. szybkie reagowanie na zagrożenie.
  • Bezpieczeństwo danych ­– rozwiązania typu Data Leak Prevention (DLP) umożliwiają monitorowanie i blokowanie wycieku danych.
  • Zarządzanie dostępami ­– systemy klasy IAM oraz PAM pozwalają w sposób zorganizowany zarządzać tożsamością użytkowników oraz ich uprawnieniami. Stosowanie rozwiązań do uwierzytelniania wieloetapowego skutecznie zabezpiecza przed włamaniami związanymi z kradzieżą loginu/hasła (np. ataki phishingowe).
  • Monitoring i reagowanie na incydenty – zadaniem SOC, wspartego przez rozwiązania klasy SIEM, jest szybkie identyfikowanie i reagowanie na incydenty bezpieczeństwa.
  • Planowanie ciągłości działania – przygotowanie procedur i rozwiązań technicznych (np. do tworzenia kopii zapasowych) do odtworzenia działania po awarii. Bardzo ważne jest okresowe testowanie rozwiązań. W swojej pracy wielokrotnie mieliśmy sytuację, w której firma zgłaszała się z problemem, że środowisko zostało zaszyfrowane w wyniku ataku ransomware, a odtworzenie środowiska z backupu nie działało.

Pamiętajmy: lepiej zapobiegać niż leczyć.

5/5 ( głosy: 2)
Ocena:
5/5 ( głosy: 2)
Autor
Avatar
Dawid Jankowski

Swoją przygodę z IT rozpoczął 15 lat temu. Przez długi czas związany był z procesem wytwarzania oprogramowania jako programista, architekt, PM. Obecnie zaangażowany w obszar cyberbezpieczeństwa. Kieruje Centrum Kompetencyjnym Cybersecurity, doradza Klientom oraz kieruje projektami z obszaru bezpieczeństwa. Prywatnie miłośnik książek.

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Może Cię również zainteresować

Pokaż więcej artykułów

Bądź na bieżąco

Zasubskrybuj naszego bloga i otrzymuj informacje o najnowszych wpisach.

Otrzymaj ofertę

Jeśli chcesz dowiedzieć się więcej na temat oferty Sii, skontaktuj się z nami.

Wyślij zapytanie Wyślij zapytanie

Natalia Competency Center Director

Get an offer

Dołącz do Sii

Znajdź idealną pracę – zapoznaj się z naszą ofertą rekrutacyjną i aplikuj.

Aplikuj Aplikuj

Paweł Process Owner

Join Sii

ZATWIERDŹ

This content is available only in one language version.
You will be redirected to home page.

Are you sure you want to leave this page?