Podstawy prawne wprowadzenia stopni alarmowych<\/h2>\n\n\n\n
Podstaw\u0119 prawn\u0105 do ustanawiania stopni CRP, opis procedur i mechanizm\u00f3w ich wprowadzania oraz opis zada\u0144 organ\u00f3w pa\u0144stwowych stanowi\u0105 dwa dokumenty:<\/p>\n\n\n\n
- \n
- Ustawa z dnia 10 czerwca 2016 r. o dzia\u0142aniach antyterrorystycznych<\/a>,<\/li>\n\n\n\n
- Rozporz\u0105dzenie Prezesa Rady Ministr\u00f3w z dnia 25 lipca 2016 r. w sprawie zakresu przedsi\u0119wzi\u0119\u0107 wykonywanych w poszczeg\u00f3lnych stopniach alarmowych i stopniach alarmowych CRP<\/a>.<\/li>\n<\/ul>\n\n\n\n
Wyr\u00f3\u017cniamy cztery stopnie zagro\u017cenia CRP:<\/p>\n\n\n\n
- \n
- ALFA-CRP (najni\u017cszy),<\/li>\n\n\n\n
- BRAVO-CRP,<\/li>\n\n\n\n
- CHARLE-CRP,<\/li>\n\n\n\n
- DELTA-CRP (najwy\u017cszy).<\/li>\n<\/ul>\n\n\n\n
Ustanawiane s\u0105 w przypadku zagro\u017cenia o charakterze terrorystycznym dla infrastruktury teleinformatycznej organ\u00f3w administracji lub system\u00f3w zaliczanych do infrastruktury krytycznej<\/strong>.<\/p>\n\n\n\n
Stopnie s\u0105 wprowadzane, zmieniane lub odwo\u0142ywane decyzj\u0105 premiera na podstawie opinii ministra spraw wewn\u0119trznych oraz szefa Agencji Bezpiecze\u0144stwa Wewn\u0119trznego. W uzasadnionej sytuacji decyzj\u0119 mo\u017ce wyda\u0107 minister spraw wewn\u0119trznych na podstawie opinii szefa Agencji Bezpiecze\u0144stwa Wewn\u0119trznego, przedk\u0142adaj\u0105c stosown\u0105 informacj\u0119 premierowi.<\/p>\n\n\n\n
Wprowadzane stopnie CRP mog\u0105 by\u0107 ustanawiane na okre\u015blonych obszarach \u2013 nie musz\u0105 obejmowa\u0107 ca\u0142ego kraju. Dodatkowo, premier mo\u017ce wprowadzi\u0107 stopie\u0144 CRP dla pojedynczego obiektu jednostki organizacyjnej administracji, s\u0105d\u00f3w, prokuratury lub innych wskazanych element\u00f3w infrastruktury.<\/p>\n\n\n\n
Stopnie CRP poza granicami Polski<\/h2>\n\n\n\n
Stopnie CRP mog\u0105 r\u00f3wnie\u017c dotyczy\u0107 i obejmowa\u0107 sytuacje, gdy skutki zagro\u017cenia terrorystycznego wp\u0142ywaj\u0105 na Polak\u00f3w znajduj\u0105cych si\u0119 poza granicami kraju. Maj\u0105 te\u017c znaczenie w kontek\u015bcie instytucji oraz infrastruktury znajduj\u0105cej si\u0119 poza krajem, nieb\u0119d\u0105cej plac\u00f3wkami zagranicznymi RP (okre\u015blone na podstawie ustawy z dnia 27 lipca 2001 r. o s\u0142u\u017cbie zagranicznej).<\/a><\/p>\n\n\n\n
W tym przypadku decyzj\u0119 podejmuje premier, ale na podstawie opinii ministra spraw zagranicznych oraz szefa Agencji Wywiadu. Podobnie jak ju\u017c wspomina\u0142em wcze\u015bniej: w uzasadnionych sytuacjach decyzj\u0119 mo\u017ce wyda\u0107 minister spraw zagranicznych na podstawie opinii Szefa Agencji Wywiadu, przedk\u0142adaj\u0105c stosown\u0105 informacj\u0119 premierowi.<\/p>\n\n\n\n
Dzia\u0142ania dla poszczeg\u00f3lnych stopni alarmowych<\/h2>\n\n\n\n
Poni\u017cej przedstawiam bardziej szczeg\u00f3\u0142owy opis dzia\u0142a\u0144 wymaganych dla konkretnego stopnia zagro\u017cenia.<\/p>\n\n\n\n
ALFA-CRP<\/h3>\n\n\n\n
Niski poziom zagro\u017cenia. Wdro\u017cony na podstawie informacji o mo\u017cliwo\u015bci wyst\u0105pienia zdarzenia o charakterze terrorystycznym w odniesieniu do system\u00f3w teleinformatycznych organ\u00f3w administracji publicznej lub system\u00f3w teleinformatycznych wchodz\u0105cych w sk\u0142ad infrastruktury krytycznej.<\/p>\n\n\n\n
Najwa\u017cniejsze czynno\u015bci do wykonania:<\/p>\n\n\n\n
- \n
- Poinformowanie wszystkich podleg\u0142ych pracownik\u00f3w o wprowadzonym stopniu alarmowym CRP.<\/li>\n\n\n\n
- Wprowadzenie wzmo\u017conego monitorowania stanu bezpiecze\u0144stwa system\u00f3w teleinformatycznych.<\/li>\n\n\n\n
- Wprowadzenie wzmo\u017conego monitorowania stanu bezpiecze\u0144stwa system\u00f3w teleinformatycznych w jednostkach, w szczeg\u00f3lno\u015bci:\n
- \n
- monitorowanie i weryfikacja braku narusze\u0144 bezpiecze\u0144stwa,<\/li>\n\n\n\n
- komunikacji elektronicznej,<\/li>\n\n\n\n
- sprawdzenie dost\u0119pno\u015bci us\u0142ug elektronicznych,<\/li>\n\n\n\n
- w razie konieczno\u015bci dokonanie zmian w dost\u0119pie do system\u00f3w.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Sprawdzenie kana\u0142\u00f3w \u0142\u0105czno\u015bci z MI oraz podmiotami wsp\u00f3\u0142pracuj\u0105cymi w przypadkach wprowadzenia stopnia CRP.<\/li>\n\n\n\n
- Ochrona infrastruktury teleinformatycznej.<\/li>\n\n\n\n
- Sprawdzanie aktualnego stanu bezpiecze\u0144stwa system\u00f3w. Ocena wp\u0142ywu zagro\u017cenia na bezpiecze\u0144stwo teleinformatyczne na podstawie bie\u017c\u0105cych informacji (sprawdzenie log\u00f3w systemowych oraz zabezpieczenia fizycznego serwerowni).<\/li>\n\n\n\n
- Przekazywanie informacji do ZMZ (Zesp\u00f3\u0142 Monitorowania Zagro\u017ce\u0144) o efektach dzia\u0142a\u0144 zespo\u0142\u00f3w reagowania na incydenty bezpiecze\u0144stwa teleinformatycznego lub inne w\u0142a\u015bciwe struktury organizacyjne<\/li>\n<\/ul>\n\n\n\n
BRAVO-CRP<\/h3>\n\n\n\n
Umiarkowany poziom zagro\u017cenia. Wdro\u017cony na podstawie informacji o zaistnieniu zwi\u0119kszonego i przewidywalnego zagro\u017cenia wyst\u0105pieniem zdarzenia o charakterze terrorystycznym w odniesieniu do system\u00f3w teleinformatycznych organ\u00f3w administracji publicznej lub system\u00f3w teleinformatycznych wchodz\u0105cych w sk\u0142ad infrastruktury krytycznej.<\/p>\n\n\n\n
Najwa\u017cniejsze czynno\u015bci do wykonania:<\/p>\n\n\n\n
- \n
- Zapewnienie dost\u0119pno\u015bci w trybie alarmowym personelu odpowiedzialnego za bezpiecze\u0144stwo system\u00f3w.<\/li>\n\n\n\n
- Wprowadzenie ca\u0142odobowego dy\u017cury administrator\u00f3w system\u00f3w kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpiecze\u0144stwa system\u00f3w teleinformatycznych.<\/li>\n<\/ul>\n\n\n\n
CHARLIE-CRP<\/h3>\n\n\n\n
Wysoki poziom zagro\u017cenia. Zaistnia\u0142o konkretne zdarzenie potwierdzaj\u0105ce prawdopodobny cel ataku o charakterze terrorystycznym w odniesieniu do system\u00f3w teleinformatycznych organ\u00f3w administracji publicznej lub system\u00f3w teleinformatycznych wchodz\u0105cych w sk\u0142ad infrastruktury krytycznej.<\/p>\n\n\n\n
Najwa\u017cniejsze czynno\u015bci do wykonania:<\/p>\n\n\n\n
- \n
- Wprowadzenie ca\u0142odobowych dy\u017cur\u00f3w administrator\u00f3w system\u00f3w kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpiecze\u0144stwa system\u00f3w.<\/li>\n\n\n\n
- Dokonanie przegl\u0105du dost\u0119pnych zasob\u00f3w zapasowych w zakresie infrastruktury teleinformatycznej pod wzgl\u0119dem ich wykorzystania w przypadku zaistnienia ataku cyberterrorystycznego.<\/li>\n\n\n\n
- Przygotowanie si\u0119 do uruchomienia plan\u00f3w umo\u017cliwiaj\u0105cych zachowanie ci\u0105g\u0142o\u015bci dzia\u0142ania po wyst\u0105pieniu potencjalnego ataku, w tym:\n
- \n
- dokonanie przegl\u0105du i ewentualnego audytu plan\u00f3w awaryjnych oraz system\u00f3w,<\/li>\n\n\n\n
- przygotowanie si\u0119 do ograniczenia operacji na serwerach, w celu mo\u017cliwo\u015bci ich szybkiego i bezawaryjnego zamkni\u0119cia.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
DELTA-CRP<\/h3>\n\n\n\n
Bardzo wysoki poziom zagro\u017cenia. Wdro\u017cony na podstawie informacji o wyst\u0105pieniu zdarzenia o charakterze terrorystycznym lub uzyskanie informacji o zaawansowanej fazie przygotowa\u0144 do zdarzenia o charakterze terrorystycznym w odniesieniu do system\u00f3w teleinformatycznych organ\u00f3w administracji publicznej lub system\u00f3w teleinformatycznych wchodz\u0105cych w sk\u0142ad infrastruktury krytycznej.<\/p>\n\n\n\n
Najwa\u017cniejsze czynno\u015bci do wykonania<\/p>\n\n\n\n
- \n
- Uruchomienie plan\u00f3w awaryjnych lub plan\u00f3w ci\u0105g\u0142o\u015bci dzia\u0142ania organizacji w sytuacjach awarii lub utraty ci\u0105g\u0142o\u015bci dzia\u0142ania.<\/li>\n\n\n\n
- Stosownie do sytuacji przyst\u0105pienie do realizacji procedur przywracania ci\u0105g\u0142o\u015bci dzia\u0142ania.<\/li>\n<\/ul>\n\n\n\n
Procedury i dzia\u0142ania codzienne w kontek\u015bcie wprowadzenia stopni alarmowych<\/h2>\n\n\n\n
Analizuj\u0105c czynno\u015bci do wykonania zdefiniowane dla poszczeg\u00f3lnych stopni zagro\u017cenia, mo\u017cna zauwa\u017cy\u0107, \u017ce s\u0105 to aktywno\u015bci, o kt\u00f3rych organizacje powinny pomy\u015ble\u0107 zawczasu. Teoretycznie wymagania niezb\u0119dne przy ALFA-CRP nie wygl\u0105daj\u0105 na trudne do realizacji. Co wi\u0119cej, zadania takie powinny by\u0107 realizowane na co dzie\u0144, niezale\u017cnie od alarm\u00f3w. Trudno jednak sobie wyobrazi\u0107 spe\u0142nienie tych wymaga\u0144, nie posiadaj\u0105c aktywnego zespo\u0142u SOC.<\/strong><\/p>\n\n\n\n
SOC (Security Operations Center)<\/h3>\n\n\n\n
<\/strong>Do g\u0142\u00f3wnych zada\u0144 SOC-u, nazywanego inaczej CSIRT (Computer Security Incident Response Team), nale\u017cy:<\/p>\n\n\n\n
- \n
- Ci\u0105g\u0142e monitorowanie system\u00f3w i infrastruktury IT w celu wykrywania potencjalnych incydent\u00f3w bezpiecze\u0144stwa.<\/li>\n\n\n\n
- Reakcja na incydenty bezpiecze\u0144stwa \u2013 aby nie dopu\u015bci\u0107 do w\u0142amania, a w przypadku w\u0142amania, \u017ceby ograniczy\u0107 jego skutki.<\/li>\n\n\n\n
- Forensic analysis \u2013 analiza i zbieranie materia\u0142\u00f3w, kt\u00f3re mog\u0105 by\u0107 wykorzystane w s\u0105dzie.<\/li>\n\n\n\n
- Threat Hunting \u2013 aktywne poszukiwanie potencjalnych zagro\u017ce\u0144.<\/li>\n\n\n\n
- Monitorowanie i zarzadzanie podatno\u015bciami w systemach.<\/li>\n<\/ul>\n\n\n\n
Posiadanie wewn\u0119trznego zespo\u0142u SOC cz\u0119sto stanowi powa\u017cne wyzwanie dla firm. Organizacja mo\u017ce:<\/p>\n\n\n\n
- \n
- Wyznaczy\u0107 osoby zajmuj\u0105ce si\u0119 innymi zadaniami i \u201eprzy okazji\u201d obs\u0142ug\u0105 incydent\u00f3w \u2013 s\u0142aba jako\u015b\u0107 monitoringu.<\/li>\n\n\n\n
- Wyznaczy\u0107 dedykowany zesp\u00f3\u0142 \u2013 rozwi\u0105zanie niezbyt efektywne kosztowo. Szczeg\u00f3lnie dla mniejszych organizacji. Zapewnienie monitoringu 24\/7 wymaga kilkuosobowego zespo\u0142u. Natomiast cz\u0119sto bywa tak, \u017ce rzeczywistej pracy jest zdecydowanie mniej.<\/li>\n<\/ul>\n\n\n\n
<\/strong>Rozwi\u0105zaniem jest wsparcie dostawcy us\u0142ug bezpiecze\u0144stwa. Zesp\u00f3\u0142 Sii SOC realizuje powy\u017csze zadania, a nasi Analitycy SOC dbaj\u0105 o bezpiecze\u0144stwo ponad 50 000 u\u017cytkownik\u00f3w. Poni\u017cej przedstawiono typowy sk\u0142ad zespo\u0142u:<\/p>\n\n\n\n
![\"Sk\u0142ad](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2022\/04\/Ryc.-1-Sklad-zespolu-SOC.png\")
<\/a>Ryc. 1 Sk\u0142ad zespo\u0142u SOC<\/figcaption><\/figure>\n\n\n\n Inaczej sprawa ma si\u0119 przy wy\u017cszych poziomach. Wprowadzenie 24-godzinnych dy\u017cur\u00f3w administrator\u00f3w system\u00f3w, w szczeg\u00f3lno\u015bci w mniejszych organizacjach, mo\u017ce wymaga\u0107 zatrudnienia dodatkowych os\u00f3b. W przypadku CHARLIE-CRP powinni\u015bmy si\u0119 skupi\u0107 na sprawdzeniu, jak zadzia\u0142aj\u0105 nasze systemy i procedury w przypadku rzeczywistego ataku. <\/strong>Nie zrobimy takiej weryfikacji, je\u017celi wcze\u015bniej nie mieli\u015bmy np. wdro\u017conego mechanizmu do backup\u00f3w<\/strong>.<\/p>\n\n\n\n
DELTA-CRP jest ju\u017c reakcj\u0105 na atak.<\/strong> Je\u017celi organizacja nie przedsi\u0119wzi\u0119\u0142a odpowiednich \u015brodk\u00f3w wcze\u015bniej, wyj\u015bcie obronn\u0105 r\u0119k\u0105 b\u0119dzie bardzo trudne. To jest zreszt\u0105 charakterystyczne dla obszaru cyberbezpiecze\u0144stwa. O zagro\u017ceniach powinni\u015bmy my\u015ble\u0107 i im przeciwdzia\u0142a\u0107, zanim si\u0119 pojawi\u0105.<\/p>\n\n\n\n
Kilka s\u0142\u00f3w na koniec<\/h2>\n\n\n\n
Aby skutecznie ochroni\u0107 firm\u0119 przed zagro\u017ceniami, niejako przy okazji przygotowuj\u0105c na kolejne stopnie CRP, trzeba sobie przede wszystkim uzmys\u0142owi\u0107, \u017ce cyberbezpiecze\u0144stwo jest procesem, a nie jednorazowym dzia\u0142aniem.<\/p>\n\n\n\n
Firmy i organizacje powinny rozpocz\u0105\u0107 od audytu, podczas kt\u00f3rego zweryfikuj\u0105 istniej\u0105ce procedury oraz techniczne aspekty bezpiecze\u0144stwa. Kluczowym elementem jest r\u00f3wnie\u017c ocena ryzyka organizacji. To dzi\u0119ki niej dowiadujemy si\u0119, co i przed czym chcemy chroni\u0107, a nast\u0119pnie okre\u015blamy, jak nale\u017cy si\u0119 zabezpieczy\u0107.<\/p>\n\n\n\n
Tak zbudowany System Zarz\u0105dzania Bezpiecze\u0144stwem w organizacji powinien obejmowa\u0107 zar\u00f3wno aspekty technologiczne, jak i procedury. Aby zapewni\u0107 wysoki stopie\u0144 ochrony, nale\u017cy zadba\u0107 o:<\/p>\n\n\n\n
- \n
- Bezpiecze\u0144stwo infrastruktury \u2013 wykorzystywane s\u0105 mi\u0119dzy innymi rozwi\u0105zania do ochrony sieci, takie jak firewall czy IDS\/IPS.<\/li>\n\n\n\n
- Bezpiecze\u0144stwo stacji ko\u0144cowych \u2013 do ich ochrony tradycyjny antywirus ju\u017c dawno przesta\u0142 by\u0107 wystarczaj\u0105cy. Obecnie stosowane s\u0105 rozbudowane systemy, kt\u00f3re opr\u00f3cz modu\u0142\u00f3w do wykrywania malware, posiadaj\u0105 funkcje umo\u017cliwiaj\u0105ce m.in. szybkie reagowanie na zagro\u017cenie.<\/li>\n\n\n\n
- Bezpiecze\u0144stwo danych \u00ad\u2013 rozwi\u0105zania typu Data Leak Prevention (DLP)<\/strong> umo\u017cliwiaj\u0105 monitorowanie i blokowanie wycieku danych.<\/li>\n\n\n\n
- Zarz\u0105dzanie dost\u0119pami \u00ad\u2013 systemy klasy IAM oraz PAM pozwalaj\u0105 w spos\u00f3b zorganizowany zarz\u0105dza\u0107 to\u017csamo\u015bci\u0105 u\u017cytkownik\u00f3w oraz ich uprawnieniami. Stosowanie rozwi\u0105za\u0144 do uwierzytelniania wieloetapowego skutecznie zabezpiecza przed w\u0142amaniami zwi\u0105zanymi z kradzie\u017c\u0105 loginu\/has\u0142a (np. ataki phishingowe<\/a>).<\/li>\n\n\n\n
- Monitoring i reagowanie na incydenty \u2013 zadaniem SOC, wspartego przez rozwi\u0105zania klasy SIEM, jest szybkie identyfikowanie i reagowanie na incydenty bezpiecze\u0144stwa.<\/li>\n\n\n\n
- Planowanie ci\u0105g\u0142o\u015bci dzia\u0142ania \u2013 przygotowanie procedur i rozwi\u0105za\u0144 technicznych (np. do tworzenia kopii zapasowych) do odtworzenia dzia\u0142ania po awarii. Bardzo wa\u017cne jest okresowe testowanie rozwi\u0105za\u0144. W swojej pracy wielokrotnie mieli\u015bmy sytuacj\u0119, w kt\u00f3rej firma zg\u0142asza\u0142a si\u0119 z problemem, \u017ce \u015brodowisko zosta\u0142o zaszyfrowane w wyniku ataku ransomware, a odtworzenie \u015brodowiska z backupu nie dzia\u0142a\u0142o.<\/li>\n<\/ul>\n\n\n\n
Pami\u0119tajmy: lepiej zapobiega\u0107 ni\u017c leczy\u0107.<\/p>\n\n\n
- Zarz\u0105dzanie dost\u0119pami \u00ad\u2013 systemy klasy IAM oraz PAM pozwalaj\u0105 w spos\u00f3b zorganizowany zarz\u0105dza\u0107 to\u017csamo\u015bci\u0105 u\u017cytkownik\u00f3w oraz ich uprawnieniami. Stosowanie rozwi\u0105za\u0144 do uwierzytelniania wieloetapowego skutecznie zabezpiecza przed w\u0142amaniami zwi\u0105zanymi z kradzie\u017c\u0105 loginu\/has\u0142a (np. ataki phishingowe<\/a>).<\/li>\n\n\n\n
- Rozporz\u0105dzenie Prezesa Rady Ministr\u00f3w z dnia 25 lipca 2016 r. w sprawie zakresu przedsi\u0119wzi\u0119\u0107 wykonywanych w poszczeg\u00f3lnych stopniach alarmowych i stopniach alarmowych CRP<\/a>.<\/li>\n<\/ul>\n\n\n\n