Stopień alarmowy ALFA-CRP

ODPOWIEDZ
Awatar użytkownika
BowHunter
Posty: 1150
Rejestracja: pn 17 wrz 2018, 10:52
Lokalizacja: Golub-Dobrzyń (Polska) / Melhus (Norwegia)
Kontakt:

sob 04 gru 2021, 20:19

ALFA-CRP.png
www.gov.pl pisze:Premier Mateusz Morawiecki podpisał zarządzenie wprowadzające pierwszy stopień alarmowy ALFA-CRP, dotyczący cyberprzestrzeni, na obszarze całego kraju. Stopień alarmowy obowiązuje od niedzieli 5 grudnia 2021 r. (od godz. 23:59) do piątku 10 grudnia 2021 r. (do godziny 23:59). Wprowadzenie stopnia alarmowego ma charakter prewencyjny i jest związane z organizacją Szczytu Cyfrowego ONZ – IGF 2021 (the UN Internet Governance Forum), który odbywa się w Międzynarodowym Centrum Kongresowym w Katowicach.

Stopnie alarmowe CRP dotyczą zagrożenia w cyberprzestrzeni. Stopień ALFA-CRP jest najniższym z czterech stopni alarmowych określonych w ustawie o działaniach antyterrorystycznych. Jest on przede wszystkim sygnałem dla służb dbających o bezpieczeństwo i całej administracji publicznej do zachowania szczególnej czujności. Oznacza to, że administracja publiczna jest zobowiązana do prowadzenia wzmożonego monitoringu stanu bezpieczeństwa systemów teleinformatycznych. Instytucje publiczne będą m.in. monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej.

Stopnie alarmowe wprowadza, zmienia i odwołuje, w drodze zarządzenia, Prezes Rady Ministrów na podstawie przepisów ustawy z 10 czerwca 2016 r. o działaniach antyterrorystycznych.

Wszelkie niepokojące i nietypowe sytuacje oraz zagrożenia powinny być zgłaszane Policji za pośrednictwem numeru telefonu 112.

Więcej informacji o systemie antyterrorystycznym w Polsce można znaleźć na stronie: https://www.gov.pl/web/mswia/system-ant ... styczny-rp.

O co chodzi?

Stopnie alarmowe CRP dotyczą zagrożenia w cyberprzestrzeni. Wprowadzane są w przypadku możliwego zagrożenia terrorystycznego dotyczącego systemów teleinformatycznych organów administracji publicznej i / lub tych, które są niezbędne do minimalnego funkcjonowania gospodarki i państwa. Stopnie alarmowe CRP w Polsce wdraża, zmienia i odwołuje (na podstawie ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych) Prezes Rady Ministrów.

Mamy cztery stopnie alarmowe CRP:

Pierwszy: ALFA-CRP
Drugi: BRAVO-CRP
Trzeci: CHARLIE-CRP
Czwarty: DELTA- CRP

ALFA-CRP wprowadza się w przypadku uzyskania informacji o możliwości wystąpienia zdarzenia o charakterze terrorystycznym, którego rodzaj i zakres jest jednak trudny do przewidzenia.

W przypadku BRAVO-CRP - jeśli pojawi się zwiększone i przewidywalne zagrożenie wystąpienia zdarzenia o charakterze terrorystycznym, przy czym konkretny cel ataku nie jest zidentyfikowany.

Trzeci stopień alarmowy CHARLIE-CRP wprowadza się w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym, które godzi m.in. w bezpieczeństwo RP bądź też w porządek publiczny.

DELTA- CRP ogłasza się w przypadku wystąpienia zdarzenia o charakterze terrorystycznym, które może powodować zagrożenie bezpieczeństwa RP bądź też porządku publicznego.

Tak to wygląda po krótce...
Nie masz wymaganych uprawnień, aby zobaczyć pliki załączone do tego posta.
Obrazek

Tagi:
Awatar użytkownika
Buła
Posty: 326
Rejestracja: śr 10 lis 2021, 12:49
Kontakt:

sob 27 sie 2022, 23:29

Obecny stopień Charlie to w praktyce wrzod na d.... ciągle sprawdzenia systemów i zgłaszanie do ministra czy wszystko ok lub spowiadanie się co nawaliło i dlaczego.
W praktyce było więcej prób skanowania i prostych exploitow z zagranicznych sieci, poza tym nic nowego. Uważam że jako kraj nie byliśmy i do dziś nie jesteśmy celem skoordynowanej akcji niszczącej.
Nikt tylko nie liczy kosztów podwyższonego stanu... kolejna cegielka do zapaści budżetowej.
W niecałe 3 miesiące poszedł roczny limit nadgodzin i dyżurów.
Pietrow
Posty: 594
Rejestracja: pt 15 paź 2021, 06:34
Kontakt:

pn 29 sie 2022, 20:07

Tylko ze "podwyzszony stan" wprowadzany jest w celu unikniecia / zminimalizowania skutkow ataku. Trudno wiarygodnie powiedziec, ze nie jest sie celem skoordynowanego ataku zanim ten atak nie nastapi. Takowoz warto byc przygotowanym i nosic wrzoda na dupie, jesli dzieki temu mozna zachowac te dupe w biologicznie uzasadnionej odleglosci od glowy.
Zeby byc soba, trzeba wiedziec kim sie jest.
Awatar użytkownika
Buła
Posty: 326
Rejestracja: śr 10 lis 2021, 12:49
Kontakt:

wt 30 sie 2022, 03:08

Pietrow pisze:
pn 29 sie 2022, 20:07
Tylko ze "podwyzszony stan" wprowadzany jest w celu unikniecia / zminimalizowania skutkow ataku. Trudno wiarygodnie powiedziec, ze nie jest sie celem skoordynowanego ataku zanim ten atak nie nastapi. Takowoz warto byc przygotowanym i nosic wrzoda na dupie, jesli dzieki temu mozna zachowac te dupe w biologicznie uzasadnionej odleglosci od glowy.
Nie zgodzę się z wdrożoną metodą. Raportowane być powinno każde zdarzenie w wypadku wystąpienia. Raportowanie braku zdarzeń to w skali kraju ogromne koszty, w szczególności że nie widać w CERT jakiegoś szaleństwa w monitoringu. Więc sama procedura wykonawcza C-CRP jest nieprzemyślana. Bo w teorii jako wstęp do Delty i wyłączenia awaryjnego instalacji jest ok.
Większość sektora państwowego pracuje 8-16 i jeśli już to okresowe raporty o braku zdarzeń powinny być wykonywane na skraju tego przedziału. Poza nim generują olbrzymie koszty kadrowe, których nikt nie liczy jak zwykle.
Pietrow
Posty: 594
Rejestracja: pt 15 paź 2021, 06:34
Kontakt:

wt 30 sie 2022, 06:57

Raportowanie braku zdarzen ma spory sens. W systemach informatycznych nazywamy to biciem serca (heartbeat). Wyjasniam:
zalozmy, ze masz zdalny termometr, ktory ma poslac na serwer wynik pomiaru temperatury - jesli wykryje jej zmiane wzgledem ostatniego pomiaru (chodzi o zmniejszenie generowanego ruchu sieciowego do niezbednego poziomu). I teraz popatrz z punktu widzenia serwera: termometr nie odezwal sie do mnie przez ostatnie 4 dni. Czy to oznacza, ze w miejscu pomiaru panuje bardzo stabilna temperatura, czy tez moze termometr wzial i sie spierdzielil? I tu wlasnie wchodzi heartbeat. W praktyce termometr powinien sie odezwac do serwera danych przy wykryciu zmiany temperatury lub raz na ustalony przedzial czasu w przypadku braku zmian temperatury - po to zeby potwierdzic swoja dostepnosc i gotowosc do pracy. Taki algorytm sprawia, ze serwer moze byc pewien ze 1) termometr dziala i 2) ostatni zgloszony pomiar temperatury jest nadal wazny.
Widzisz analogie w zglaszaniu braku zdarzen? To taki heartbeat. W warunkach bojowych nabiera wiecej sensu niz w sytuacjach cywilnych, ale analogia pozostaje bez zmian.
Zeby byc soba, trzeba wiedziec kim sie jest.
Awatar użytkownika
mar_kow
Posty: 498
Rejestracja: wt 21 gru 2021, 08:04
Lokalizacja: Mazury
Kontakt:

wt 30 sie 2022, 12:21

Pietrow pisze:
wt 30 sie 2022, 06:57
Raportowanie braku zdarzen ma spory sens. W systemach informatycznych nazywamy to biciem serca (heartbeat). [...]
Dokładnie tak... Generuje to koszty ludzkie i materiałowe ale daje pewność (albo powinno dawać) po stronie odbiorczej o ciągłości monitoringu i analizowania danych.
Oczywiście aktywacja stopnia gotowości nie powinna być wprowadzana "na wszelki wypadek" i utrzymywana w nieskończoność bo efekt będzie mizerny... A to już leży po stronie analityków i decydentów na wyższych szczeblach...
Broń to narzędzie, to człowiek odpowiada za swoje czyny...
Awatar użytkownika
Buła
Posty: 326
Rejestracja: śr 10 lis 2021, 12:49
Kontakt:

wt 30 sie 2022, 23:47

mar_kow pisze:
wt 30 sie 2022, 12:21
Pietrow pisze:
wt 30 sie 2022, 06:57
Raportowanie braku zdarzen ma spory sens. W systemach informatycznych nazywamy to biciem serca (heartbeat). [...]
Dokładnie tak... Generuje to koszty ludzkie i materiałowe ale daje pewność (albo powinno dawać) po stronie odbiorczej o ciągłości monitoringu i analizowania danych.
Oczywiście aktywacja stopnia gotowości nie powinna być wprowadzana "na wszelki wypadek" i utrzymywana w nieskończoność bo efekt będzie mizerny... A to już leży po stronie analityków i decydentów na wyższych szczeblach...
Tu Heartbeat nie ma sensu bo nikt nie reaguje na brak sygnału. I to sprawdzone w praktyce. Pies z kulawa noga się nie zainteresował co sie stało że informacja nie spłynęła. I to nie raz. Teoria != praktyka.
Czy myślisz że jak incydent wystąpi ktoś rusza się z góry by go zbadać ? Otóż nie. A tak można tylko wykryć atak na wczesnej fazie - badając żmudnie źle sklasyfikowane anomalie i pozornie przypadkowe awarie. Czy ruszyła akcja testów prewencyjnych ? Też nie. Dodatkowe odgórne audyty i kontrole bezpieczeństwa ? Taaaa.....
A co do kosztów to wystarczyłoby zmienić jeden element - godzinę składania raportu nr 2. I znika 90% kosztów. Ale po co. Analitycy i decydenci są z mianowania politycznego wg jedynego istotnego kryterium - zasług dla partii. Którejkolwiek. Nie muszą się znać, są wierni. :(
Pietrow
Posty: 594
Rejestracja: pt 15 paź 2021, 06:34
Kontakt:

śr 31 sie 2022, 10:07

Prosze, nie mieszajmy spraw. Z hedbej strony mamy w miare rozsadna pocedure, a z drugiej - klasyczne olewanie tej procedury od strony zarzadzajacej. Jakos mnie to nie dziwi w tym kraju. Tu czesto na papierze jest "pieknie jak nigdy dotad", a w praktyce wychodzi "do dupy jak zawsze".

Takowoz - periodyczne raportowanie braku zmian ma uzasadnienie i sens, lecz wykonanie i pilnowanie procedur od gory lezy i kwili cichutko.
Zeby byc soba, trzeba wiedziec kim sie jest.
ODPOWIEDZ

Wróć do „Sieci”