alert crp

Stopnie alarmowe CRP

Incydenty bezpieczeństwa, Zarządzanie bezpieczeństwem

W grudniu 2021 roku większość administratorów systemów informatycznych pracujących dla organów administracji publicznej oraz właścicieli obiektów infrastruktury administracji publicznej lub infrastruktury krytycznej współpracujących z organami, służbami i instytucjami właściwymi w sprawach bezpieczeństwa i zarządzania kryzysowego przy realizacji działań antyterrorystycznych otrzymała zarządzenie  Prezesa Rady Ministrów w sprawie wprowadzenia stopnia alarmowego CRP.

Zgodnie z ustawą z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U.2021.2234) przez działania antyterrorystyczne należy rozumieć działania organów administracji publicznej polegające na zapobieganiu zdarzeniom o charakterze terrorystycznym, przygotowaniu do przejmowania nad nimi kontroli w drodze zaplanowanych przedsięwzięć, reagowaniu w przypadku wystąpienia takich zdarzeń oraz usuwaniu ich skutków, w tym odtwarzaniu zasobów przeznaczonych do reagowania na nie.

Stopień ALFA CRP i co dalej?

Od 5 grudnia 2021 od godz. 23:59 do 10 grudnia 2021 r. do godz. 23:59 na terytorium Rzeczypospolitej Polskiej obowiązywał pierwszy stopień alarmowy CRP (stopień ALFA-CRP). Dla większości z nas zaczął się wzmożony wysiłek związany z weryfikacją naszej infrastruktury i posiadanej wiedzy. Nie byliśmy do tego przygotowani, nikt wcześniej nas nie szkolił w tym zakresie. Zostaliśmy praktycznie sami na polu walki, bez większego zrozumienia ze strony przełożonych i bez wsparcia finansowego, które przełożyłoby się na modernizacje sprzętu i oprogramowania wymaganego do skutecznej realizacji zadań wynikających z wprowadzonego stanu.

Czym są owe stopnie alarmowe?  Mówiąc krótko to poziomy, które określają zakresy i zadania stosowne do przewidywanych i występujących działań terrorystycznych.  W niniejszym artykule skupimy się głównie na zakresie dotyczącym zdarzeń o charakterze cyber terrorystycznym. W przypadku wystąpienia takiego zdarzenia można wprowadzić jeden z czterech stopni alarmowych CRP.

Stopnie alarmowe CRP

W jakich sytuacjach wprowadzane są poszczególne stopnie alarmowe CRP? Definiują to opisane poniżej kryteria.

Pierwszy stopień alarmowy CRP (stopień ALFA-CRP) – wprowadza się gdy uzyskano informację o możliwości wystąpienia zdarzenia o charakterze terrorystycznym, którego rodzaj i zakres jest trudny do przewidzenia;

Drugi stopień alarmowy CRP (stopień BRAVO-CRP) – wprowadza się gdy zaistniały zwiększone i przewidywalne zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym, jednak konkretny cel ataku nie został zidentyfikowany;

Trzeci stopień alarmowy CRP (stopień CHARLIE-CRP) – wprowadza się gdy wystąpiły zdarzenia potwierdzające prawdopodobny cel ataku o charakterze terrorystycznym, godzącego w:

  1. Bezpieczeństwo lub porządek publiczny albo
  2. Bezpieczeństwo Rzeczypospolitej Polskiej, albo
  3. Bezpieczeństwo innego państwa lub organizacji międzynarodowej oraz stwarzającego potencjalne zagrożenie dla Rzeczypospolitej Polskiej lub
    • uzyskania wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym na terytorium Rzeczypospolitej Polskiej lub
    • uzyskania wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym, którego skutki mogą dotyczyć obywateli polskich przebywających za granicą lub instytucji polskich albo polskiej infrastruktury mieszczących się poza granicami Rzeczypospolitej Polskiej. 

Czwarty stopień alarmowy CRP (stopień DELTA-CRP) – wprowadza się w przypadku wystąpienia zdarzenia o charakterze terrorystycznym powodującego zagrożenie dla:

  1. Bezpieczeństwa lub porządku publicznego albo
  2. Bezpieczeństwa Rzeczypospolitej Polskiej, albo
  3. Bezpieczeństwa innego państwa lub organizacji międzynarodowej oraz stwarzającego zagrożenie dla Rzeczypospolitej Polskiej lub
    • gdy uzyskane informacje wskazują na zaawansowaną fazę przygotowań do zdarzenia o charakterze terrorystycznym na terytorium Rzeczypospolitej Polskiej, lub
    • gdy uzyskane informacje wskazują na zaawansowaną fazę przygotowań do zdarzenia o charakterze terrorystycznym, które ma być wymierzone w obywateli polskich przebywających za granicą lub w instytucje polskie albo polską infrastrukturę mieszczące się poza granicami Rzeczypospolitej Polskiej, a zebrane informacje wskazują jednocześnie na nieuchronność takiego zdarzenia.

Kolejność wprowadzania stopni alarmowych CRP

Wyższy albo niższy stopień alarmowy i stopień alarmowy CRP mogą być wprowadzone z pominięciem stopni pośrednich, tak jak to miało miejsce w kolejnych terminach tj.

  • Stopień 1 Alfa-CRP – obowiązujący od dnia 15 lutego 2022 roku od godz. 23.59, do dnia 28 lutego 2022 roku do godz. 23.59 (Zarządzenie nr 32 PRM z dnia 15 lutego 2022 roku w sprawie wprowadzenia stopnia alarmowego CRP). W trakcie tego stopnia  nastąpiła zmiana terminu obowiązywania i stopnia alarmowego, pominięto 2. stopień Bravo-CRP (z wyjątkiem województwa lubelskiego i podkarpackiego).
  • Stopień 3 Charlie-CRP – obowiązujący od dnia 21 lutego 2022 roku, od godz. 21:00, do dnia 4 marca 2022 roku do godz. 23:59, wprowadzony w miejsce 1. stopnia alarmowego ALFA-CRP – na całym terytorium Rzeczypospolitej Polskiej (Zarządzenie nr 40 z dnia 21 lutego 2022 roku w sprawie zmiany stopnia alarmowego CRP).
  • Obecnie ten termin na mocy nowych zarządzeń Prezesa Rady Ministrów (52, 61 i 62)  jest przesunięty do końca kwietnia tj. do 30.04.2022 r. do godz.23:59

Stopnie CRP mogą być wprowadzane rozdzielnie lub łącznie. W przypadku wprowadzenia różnych stopni alarmowych i różnych stopni alarmowych CRP należy wykonać zadania przewidziane dla stopnia wyższego. Stopnie alarmowe i stopnie alarmowe CRP odwołuje się niezwłocznie po minimalizacji zagrożenia lub skutków zdarzenia będącego przesłanką do ich wprowadzenia.

Zalecenia dla poszczególnych stopni alarmowych CRP

Ministerstwo Spraw Wewnętrznych i Administracji na podstawie Rozporządzenia Prezesa Rady Ministrów z dnia 25 lipca 2016 r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP http://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20160001101/O/D20161101.pdf
przygotowało pomoc w zakresie wybranych działań cybernetycznych w zależności od wprowadzonego stopnia alarmowego.

Pierwszy stopień alarmowy CRP – stopień ALFA CRP

Po wprowadzeniu pierwszego stopnia alarmowego CRP (stopień ALFA-CRP) należy wykonać w szczególności następujące zadania:

  • Wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej, zwanych dalej „systemami”, w szczególności wykorzystując zalecenia Szefa Agencji Bezpieczeństwa Wewnętrznego lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością, oraz: 
    1. Monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej.
    2. Sprawdzać dostępność usług elektronicznych.
    3. Dokonywać, w razie potrzeby, zmian w dostępie do systemów. 
  • Poinformować personel instytucji o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów.
  • Sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji. 
  • Dokonać przeglądu stosownych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji, oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu.
  • Sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń.
  • Informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego do spraw informatyzacji. 

Drugi stopień alarmowy – stopień BRAVO–CRP

Po wprowadzeniu drugiego stopnia alarmowego CRP (stopień BRAVO-CRP) należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP. Ponadto należy: 

  • Zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów; 
  • Wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych. 

Trzeci stopień alarmowy – stopień CHARLIE–CRP

Po wprowadzeniu trzeciego stopnia alarmowego CRP (stopień CHARLIE-CRP) należy wykonać zadania wymienione dla pierwszego i drugiego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP lub BRAVO-CRP. Ponadto należy wykonać w szczególności następujące zadania: 

  • Wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów; 
  • Dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku; 
  • Przygotować się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym: 
    1. Dokonać przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,
    2. Przygotować się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia. 

Czwarty stopień alarmowy – stopień DELTA–CRP

Po wprowadzeniu czwartego stopnia alarmowego CRP (stopień DELTA-CRP) należy wykonać zadania wymienione dla pierwszego, drugiego i trzeciego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP, BRAVO-CRP lub CHARLIE CRP. Ponadto należy wykonać w szczególności następujące zadania: 

  • Uruchomić plany awaryjne lub plany ciągłości działania organizacji w sytuacjach awarii lub utraty ciągłości działania;
  • Stosownie do sytuacji przystąpić do realizacji procedur przywracania ciągłości działania.

Raportowanie

W momencie wprowadzenia stopni alarmowych jednostki nadrzędne, zwłaszcza te odpowiadające za zarządzanie kryzysowe wymagają przesyłania raportów – w dniu wprowadzenia i zakończenia alarmu oraz w momencie wystąpienia zdarzenia klasyfikującego się do takiego zgłoszenia. Dokładne instrukcje są podane w mailach od tych jednostek. Wzór wymaganego raportu może wyglądać tak:

Stopnie alarmowe CRP - raport z działań realizowanych podczas wprowadzenia stopnia alarmowego CRP
Raport z działań realizowanych podczas wprowadzenia stopnia alarmowego ALFA-CRP

Do przesłania raportu mogą być zobowiązane jednostki takie jak np.: Powiatowe Stacje Sanitarno-Epidemiologiczne, szkoły, gminne i powiatowe JST (jednostki samorządu terytorialnego) czy Ośrodki Pomocy Społecznej.

Zdarza się, że raporty te wypełniają sekretarki, księgowe czy dyrektorzy tych jednostek bez konsultacji  z osobami odpowiedzialnymi za obsługę IT. Nie są to niestety przypadki odosobnione. Wynika to z konieczności realizacji zadań, na które dana jednostka nie jest przygotowana ze względu na brak środków finansowych. Postępowanie takie to lekceważący stosunek do wagi problemu, a z prawnego punktu widzenia może zostać zinterpretowane jako poświadczanie nieprawdy.

Aby ułatwić Wam postępowanie w przypadku ogłoszenia stopni alarmowych CRP w kolejnym artykule przygotujemy zestawienie zadań do wykonania przez służby IT na wypadek wprowadzenia każdego z czterech stopni alarmowych.

Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

facebookObserwuj
TwitterObserwuj

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

This site uses Akismet to reduce spam. Learn how your comment data is processed.