Menu

Fundacja Instytut Bezpieczeństwa i Strategii

Fundacja Instytut Bezpieczeństwa i Strategii jest unikatowym w polskich warunkach think tankiem skoncentrowanym na identyfikacji, analizie i rekomendowaniu optymalnych rozwiązań najważniejszych problemów o charakterze strategicznym dla współczesnej Polski i przyszłych pokoleń Polaków. Obszarem działalności Instytutu są kluczowe systemy funkcjonowania państwa polskiego decydujące o jego bezpieczeństwie narodowym w ujęciu perspektywicznym i długofalowym.

Autor

Adam Wygodny

Ekspert Fundacji Instytutu Bezpieczeństwa i Strategii

Od kilku dni mamy w kraju stan epidemii, związany z rozprzestrzenianiem się wirusa COVID-19. Zamknięte zostały szkoły, galerie handlowe, restauracje i placówki kulturalne. Ograniczony został ruch międzynarodowy, zarówno lotniczy, jak i drogowy. Większość firm wprowadziło pracę zdalną. Przedsiębiorstwa borykają się z brakiem kadrowym spowodowanym kwarantanną i chorobą pracowników. W tym samym czasie wzrosła ilość cyber ataków i kampanii dezinformacyjnych. Do końca stycznia 2020 r. zarejestrowano ponad 4 000 domen, związanych z koronawirusem. Szacuje się, że ok 8% z tych domen będzie wykorzystywanych do ataków phishingowych. Przestępcy wykorzystują powszechny strach przed koronawirusem, istniejącą niepewność, co dalej, próbując wyłudzić pieniądze. Łatwiejsze i skuteczniejsze stało się wykorzystywanie socjotechnik. Pojawiają się sytuacje podszywania się pod informacje z banków, ministerstw i organizacji rządowych. W mediach społecznościowych nastąpił wzrost publikacji fałszywych informacji i fake news’ów związanych z koronawirusem. Potęgują one budowanie poczucia niepewności wśród społeczeństwa, które może być wykorzystywane przez obce służby i wywiady. Pojawia się więc pytanie, w jaki sposób uchwalona prawie 2 lata temu Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) pomaga i wspiera walkę z zagrożeniami w czasie kryzysu, którego jesteśmy świadkami.

Celem ustawy KSC było opracowanie uregulowań prawnych, umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym. Stworzony akt prawnych był raczej opisem zaistniałego stanu, niż tworzeniem optymalnych struktur systemowych. W ustawie określono zadania istniejących już ośrodków reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Zadania podzielono sektorowo na: CSIRT MON, CSIRT GOV i CSIRT NASK. W Europie tylko Austria posiada aż tak rozproszoną strukturę systemu cyberbezpieczeństwa z trzema zespołami CSIRT. W większości pozostałych krajów europejskich występuje jeden centralny ośrodek CSIRT. Rozproszona struktura ośrodków reagowania na incydenty utrudnia efektywną komunikację. Każdy z zespołów ma własną infrastrukturę, własny system do obsługi incydentów, własne polityki i procedury. Często zasoby technologiczne i pracownicze są zdublowane. Ustawa o KSC narzuca na CSIRT MON obowiązek koordynacji zadań CSIRT GOV i CSIRT NASK w czasie stanu wojennego. Niestety w ustawie nie zostało sprecyzowane, kto ma pełnić rolę koordynatora zadań reagowania na incydenty bezpieczeństwa w czasie stanu epidemii. Pojawia się więc pytanie, czy resortowe CSIRT’y mają wdrożone polityki i procedury na czas stanu epidemii i czy zostały zdefiniowane matryce odpowiedzialności za realizację tych zadań? W chwili obecnej większość przedsiębiorstw przechodzi na pracę zdalną. Często firmy i instytucje są zmuszone do takich decyzji, na przykład w wyniku konieczności odbycia kwarantanny epidemiologicznej przez pracowników, wracających z zagranicznych podróży. Praca zdalna niesie jednak nowe zagrożenia, związane z bezpieczeństwem sieci domowych i wykorzystaniem służbowego sprzętu do celów prywatnych. Ważne jest, aby CSIRT posiadał zdolność operacyjną realizacji zadań również w sposób zdalny oraz minimalizował zagrożenia związane z osłabieniem zasobów osobowych.

Sektor publiczny cierpi na brak specjalistów cyberbezpieczeństwa nie tylko w czasie kryzysu. Krajowe ośrodki CSIRT również zmagają się z brakami kadrowymi, które szczególnie mogą być odczuwalne podczas stanu epidemii. Wydaje się, że źródłem uzupełnień mogą być rezerwy Wojskowych Komend Uzupełnień (WKU). I znów pojawia się pytanie, czy WKU posiada wystarczającą ilość rezerwistów o specjalizacji w cyberbezpieczeństwie i czy te zasoby są przygotowane do uzupełnienia zespołów CSIRT. Rozsądne wydaje się wykorzystanie potencjału kadrowego Wojsk Obrony Terytorialnej (WOT), w strukturach których mogą znajdować się cywilni specjaliści z sektora bezpieczeństwa teleinformatycznego. Paradoksalnie, istnienie w Polsce trzech ośrodków CSIRT może również pomóc w zaadresowaniu braków kadrowych i przekształceniu ośrodków reagowania na incydenty bezpieczeństwa w jeden kryzysowy organizm. Ważne, aby ustawa KSC wspierała taki schemat działania, a zespoły CSIRT posiadały operacyjną zdolność jej realizacji. Wydaje się, że rozproszony system CSIRT, będący słabością w czasie bezkryzysowym, może być przewagą w czasie kryzysu i walki z koronawirusem. Zasadna wydaje się również operacyjna gotowość jednostki CSIRT do realizacji zadań w trybie zdalnym i mobilnym. Kluczowe jest, aby wszystkie CSIRT’y: GOV, MON i NASK ściśle ze sobą współpracowały, były częścią jednego, wspólnego systemu i chętnie wymieniały się informacjami, doświadczeniami, a nawet kadrą.

Krajowy system cyberbezpieczeństwa definiuje również zadania operatorów usług kluczowych, które są szczególnie istotne w czasach kryzysu epidemicznego. W aspekcie walki z koronawirusem jednym z najważniejszych aspektów jest, aby operatorzy usług kluczowych posiadali wdrożone strategie zapewniające ciągłość ich działania (BCP). Ważne jest również, aby plany BCP nie istniały tylko na papierze, ale były praktycznie testowane w ramach ćwiczeń i regularnie audytowane. Ustawa o KSC narzuca na operatorów usług kluczowych obowiązek przeprowadzanie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia ich usług. Pierwszy audyt powinni oni przeprowadzić w terminie 12 miesięcy od momentu otrzymania decyzji administracyjnej, uznającej ich za operatora usługi kluczowej. Kolejne powinny odbywać się nie rzadziej, niż co 2 lata. Niestety, organy właściwe do wydawania decyzji o uznaniu za operatora usługi kluczowej często zwlekają z wydawaniem tych decyzji. Powoduje to, że w chwili obecnej mamy wydane decyzje na poziomie 25% potencjalnych wszystkich operatorów usług kluczowych. Opóźnia to realizację zadań i obowiązków wynikających z ustawy KSC, a także zwiększa ryzyko dostępności infrastruktury krytycznej. Przesuwana w czasie jest realizacja audytów bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług kluczowych. Wyniki audytów pomogłyby określić stopień gotowości operatorów usług kluczowych do realizacji swoich usług w czasach kryzysu, również w czasach stanu epidemiologicznego. W ubiegłym tygodniu amerykańska agencja cyberbezpieczeństwa i bezpieczeństwa infrastruktury (CISA) zarekomendowała firmom z sektora infrastruktury krytycznej, by przygotowały scenariusze pracy zdalnej dla swoich pracowników w związku z epidemią koronawirusa. Wśród czynności, których przeprowadzenie zalecono, było m.in. sprawdzenie aktualizacji bezpieczeństwa wirtualnych sieci prywatnych, wdrożenie uwierzytelniania wieloskładnikowego oraz testy scenariuszy zdalnego dostępu do sieci. Podobne działania wydają się zasadne w przypadku naszego Krajowego Systemu Cyberbezpieczeństwa. Kluczowe jest przeprowadzenie szczegółowej analizy ryzyka, mającej na celu zmniejszenie zagrożeń związanych z podatnością zespołów operatorów usług kluczowych, które pracują przy najbardziej krytycznych zadaniach. Wyniki analizy powinny prowadzić do wdrożenie konkretnych działań, które zmniejszą ryzyko braków kadrowych.

Stan epidemii związany z rozprzestrzenianiem się wirusa COVID-19 jest całkowicie nowym doświadczeniem, czymś, co mogło nie być brane pod uwagę przy tworzeniu ustawy o KSC. Ostatnia podobna sytuacja zdarzyła się bowiem w Polsce dokładnie 100 lat temu, w czasie pandemii grypy hiszpanki, a mniejsze epidemie innych chorób, na przykład tyfusu, zostały w naszym kraju dawno wyeliminowane. Aktualna sytuacja jest swojego rodzaju poligonem doświadczalnym dla Krajowego Systemu Cyberbezpieczeństwa. Ważne jest, aby zdobyte doświadczenia wykorzystać nie tylko na poziomie poszczególnych jednostek operacyjnych wchodzących w jego skład, ale również na poziomie prawnym ustawy o KSC. Doświadczenia powinny zostać wykorzystane do nowelizacji ustawy KSC i wydawania szczegółowych rozporządzeń. Po pierwsze ważne jest, aby ustawa KSC jasno definiowała sposób działania krajowego systemu cyberbezpieczeństwa podczas stanu zagrożenia epidemicznego i stanu epidemii. Ustawa powinna jednoznacznie określać, która jednostka CSIRT staje się na ten czas jednostką wiodącą i koordynującą. Zasadne jest przeprowadzenie wcześniejszego audytu sprawdzającego zdolności operacyjne na czas epidemii wszystkich trzech obecnie funkcjonujących ośrodków CSIRT i na tej podstawie wyznaczenie i wpisanie do ustawy głównej jednostki CSIRT koordynującej realizację zadań. Może to być, tak jak jest już określone na czas wojny – CSIRT MON. Po drugie, ustawa KSC powinna definiować zasoby pracownicze, które miałyby zostać oddelegowane do wiodącego CSIRT przez pozostałe ośrodki reagowania na incydenty. Po trzecie, rozporządzenie wykonawcze do ustawy KSC powinno precyzyjnie definiować kanały komunikacji CSIRT i zakres odpowiedzialności za realizację zadań w czasie stanu epidemii. I to nie tylko na poziomie ich wzajemnej współpracy, ale również na poziomie komunikacji z jednostkami sektorowymi, których ich działalność dotyczy. Po czwarte, ustawa KSC powinna jednoznacznie określać obowiązek przeprowadzania ćwiczeń działań operacyjnych ośrodków CSIRT podczas stanu zagrożenia epidemicznego i stanu epidemii. Może to być częstotliwość podobna, jak wpisany w ustawie audyt bezpieczeństwa, to jest raz na 2 lata. Takie działania ćwiczebne są zdecydowanie łatwiejsze do przeprowadzenia w porównaniu do ćwiczeń wynikających z ustawy o zarządzaniu kryzysowym. Regularne ćwiczenia na poziomie trzech jednostek CSIRT skutecznie przygotowałyby je do współpracy i realizacji zadań w czasie stanu zagrożenia epidemicznego oraz stanu epidemii.

Facebook Twitter LinkedIn