W zeszłym miesiącu premier podpisał zarządzenie, którym podwyższył stopień alarmowy dotyczący zagrożeń w cyberprzestrzeni. To reakcja na zaogniający się konflikt rosyjsko-ukraiński. Wyższy stopień alarmowy oznacza obowiązki na administratorów systemów zarządzających infrastrukturą krytyczną - w tym całodobowe dyżury i audyt systemów.

- Oznacza to przede wszystkim, że osoby, które odpowiadają za zapewnienie bezpieczeństwa systemów, będą zobowiązane wdrożyć wyższy poziom procedur bezpieczeństwa m.in. wprowadzić całodobowe dyżury administratorów oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów. Dodatkowo niezbędne będzie wykonanie przeglądu dostępnych zasobów zapasowych pod względem możliwości ich ewentualnego wykorzystania -  tłumaczył pełnomocnik rządu ds. cyberbezpieczeństwa Janusz Cieszyński.

Szefowie samorządów powinni niezwłocznie zgłaszać incydenty cyberbezpieczeństwa>>

Cztery stopnie zagrożenia

Tę materię reguluje ustawa z 10 czerwca 2016 r. o działaniach antyterrorystycznych. Przewiduje ona, że w przypadku zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym albo w przypadku wystąpienia takiego zdarzenia można wprowadzić jeden z czterech stopni alarmowych:

1. pierwszy stopień alarmowy (stopień ALFA);
2. drugi stopień alarmowy (stopień BRAVO);
3. trzeci stopień alarmowy (stopień CHARLIE);
4. czwarty stopień alarmowy (stopień DELTA).

Do wczoraj obowiązywał stopień ALFA-CRP, co oznacza, że w przypadku przeskoczenia o dwa stopnie, trzeba wdrożyć działania dla drugiego i trzeciego stopnia, tj. jak stanowią przepisy wykonawcze:

• zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
• wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów;
• dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku.

Rozporządzenie wymaga również przygotowania do do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku. Należy:

• dokonać przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,
• przygotować się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.

Nie wiadomo, jak długo obowiązywał będzie tak wysoki stopień alarmowy, jak deklarował rzecznik rządu Piotr Muller, być może zostanie zniesiony 4 marca, ale wszystko będzie zależeć od rozwoju sytuacji na Ukrainie. Podwyższenie stopnia alarmowego na stopień Delta-CRP nakłada na instytucje dodatkowe zadania:

• uruchomić plany awaryjne lub plany ciągłości działania organizacji w sytuacjach awarii lub utraty ciągłości działania;
• stosownie do sytuacji przystąpić do realizacji procedur przywracania ciągłości działania.

Banki, elektrownie, telekomy

Chodzi o zabezpieczenie infrastruktury krytycznej przed cyberatakiem - czyli o zapewnienie ciągłości usług finansowych, zdrowotnych oraz dostaw ciepła, wody i energii elektrycznej. Przy obecnym poziomie informatyzacji, wszystkie te usługi można odciąć włamując się lub przeciążając systemy, przy pomocy których są świadczone. O konieczności wprowadzania tego typu zabezpieczeń przekonała się m.in. Estonia, która padła ofiarą zmasowanego cyberataku w 2007 roku. Konflikt wywołało usunięcie pomnika upamiętniającego poległych żołnierzy radzieckich - wybuchły zamieszki, a wskutek ataków w cyberprzestrzeni obywatele stracili dostęp do niektórych usług. Przestały działać serwisy online dwóch największych estońskich banków, obywatele przebywający za granicą nie mogli dokonywać płatności kartą. Nie działała strona największego dziennika „Postimees” oraz strony policji, partii politycznych, a nawet szkół.

Jak tłumaczy Prawo.pl dr Paweł Skorut z Instytutu Nauk o Polityce i Administracji Uniwersytetu Pedagogicznego w Krakowie, takie działania podejmuje się, gdy występuje zagrożenie dla bezpieczeństwa i porządku publicznego, bezpieczeństwa Rzeczypospolitej Polskiej, albo bezpieczeństwa innego państwa.  - Jeżeli chodzi o działania Rosji, to uznanie separatystycznych republik takim zagrożeniem jest, stąd przejście na CRP-Charlie. Dodajmy do tego wydarzenia na Białorusi, które mogą być postrzegane jako działania terrorystyczne. Prawdopodobieństwo, że Rosja przekroczy granice Polski, jest nikłe, ale możemy mieć do czynienia z działaniami przygranicznymi lub właśnie cyberatakiem - mówi dr Skorut. Przypomina, że atak w cyberprzestrzeni może być też jednym z powodów wprowadzenia stanu wojennego.

- Polska rozpoczęła proces tworzenia wojsk ochrony cyberprzestrzeni, ale to wymaga czasu. Niemniej jest to krok w dobrą stronę, zwłaszcza przy mierzeniu się z tego rodzaju zagrożeniami - tłumaczy dr Skorut. Cyberataki mogą doprowadzić do przerw w dostępie do stron internetowych, do usług bankowych i telekomunikacyjnych, a w skrajnych przypadkach nawet do blackoutu lub katastrofy lotniczej, jeżeli przedmiotem ataku staną się np. systemy kontroli powietrznej. Wprowadzenie stanu alarmowego ma nas chronić przed takimi sytuacjami stąd m.in. obowiązek całodobowych dyżurów tak, by mogli szybko zareagować na ewentualne zagrożenie.