Stopień alarmowy ALFA-CRP

[BowHunter]

ALFA-CRP.png

Premier Mateusz Morawiecki podpisał zarządzenie wprowadzające pierwszy stopień alarmowy ALFA-CRP, dotyczący cyberprzestrzeni, na obszarze całego kraju. Stopień alarmowy obowiązuje od niedzieli 5 grudnia 2021 r. (od godz. 23:59) do piątku 10 grudnia 2021 r. (do godziny 23:59). Wprowadzenie stopnia alarmowego ma charakter prewencyjny i jest związane z organizacją Szczytu Cyfrowego ONZ – IGF 2021 (the UN Internet Governance Forum), który odbywa się w Międzynarodowym Centrum Kongresowym w Katowicach.

Stopnie alarmowe CRP dotyczą zagrożenia w cyberprzestrzeni. Stopień ALFA-CRP jest najniższym z czterech stopni alarmowych określonych w ustawie o działaniach antyterrorystycznych. Jest on przede wszystkim sygnałem dla służb dbających o bezpieczeństwo i całej administracji publicznej do zachowania szczególnej czujności. Oznacza to, że administracja publiczna jest zobowiązana do prowadzenia wzmożonego monitoringu stanu bezpieczeństwa systemów teleinformatycznych. Instytucje publiczne będą m.in. monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej.

Stopnie alarmowe wprowadza, zmienia i odwołuje, w drodze zarządzenia, Prezes Rady Ministrów na podstawie przepisów ustawy z 10 czerwca 2016 r. o działaniach antyterrorystycznych.

Wszelkie niepokojące i nietypowe sytuacje oraz zagrożenia powinny być zgłaszane Policji za pośrednictwem numeru telefonu 112.

Więcej informacji o systemie antyterrorystycznym w Polsce można znaleźć na stronie: https://www.gov.pl/web/mswia/system-ant ... styczny-rp.

O co chodzi?

Stopnie alarmowe CRP dotyczą zagrożenia w cyberprzestrzeni. Wprowadzane są w przypadku możliwego zagrożenia terrorystycznego dotyczącego systemów teleinformatycznych organów administracji publicznej i / lub tych, które są niezbędne do minimalnego funkcjonowania gospodarki i państwa. Stopnie alarmowe CRP w Polsce wdraża, zmienia i odwołuje (na podstawie ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych) Prezes Rady Ministrów.

Mamy cztery stopnie alarmowe CRP:

Pierwszy: ALFA-CRP
Drugi: BRAVO-CRP
Trzeci: CHARLIE-CRP
Czwarty: DELTA- CRP

ALFA-CRP wprowadza się w przypadku uzyskania informacji o możliwości wystąpienia zdarzenia o charakterze terrorystycznym, którego rodzaj i zakres jest jednak trudny do przewidzenia.

W przypadku BRAVO-CRP - jeśli pojawi się zwiększone i przewidywalne zagrożenie wystąpienia zdarzenia o charakterze terrorystycznym, przy czym konkretny cel ataku nie jest zidentyfikowany.

Trzeci stopień alarmowy CHARLIE-CRP wprowadza się w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym, które godzi m.in. w bezpieczeństwo RP bądź też w porządek publiczny.

DELTA- CRP ogłasza się w przypadku wystąpienia zdarzenia o charakterze terrorystycznym, które może powodować zagrożenie bezpieczeństwa RP bądź też porządku publicznego.

Tak to wygląda po krótce...

[Buła]

Obecny stopień Charlie to w praktyce wrzod na d.... ciągle sprawdzenia systemów i zgłaszanie do ministra czy wszystko ok lub spowiadanie się co nawaliło i dlaczego.
W praktyce było więcej prób skanowania i prostych exploitow z zagranicznych sieci, poza tym nic nowego. Uważam że jako kraj nie byliśmy i do dziś nie jesteśmy celem skoordynowanej akcji niszczącej.
Nikt tylko nie liczy kosztów podwyższonego stanu... kolejna cegielka do zapaści budżetowej.
W niecałe 3 miesiące poszedł roczny limit nadgodzin i dyżurów.

[Pietrow]

Tylko ze "podwyzszony stan" wprowadzany jest w celu unikniecia / zminimalizowania skutkow ataku. Trudno wiarygodnie powiedziec, ze nie jest sie celem skoordynowanego ataku zanim ten atak nie nastapi. Takowoz warto byc przygotowanym i nosic wrzoda na dupie, jesli dzieki temu mozna zachowac te dupe w biologicznie uzasadnionej odleglosci od glowy.

[Buła]

Tylko ze "podwyzszony stan" wprowadzany jest w celu unikniecia / zminimalizowania skutkow ataku. Trudno wiarygodnie powiedziec, ze nie jest sie celem skoordynowanego ataku zanim ten atak nie nastapi. Takowoz warto byc przygotowanym i nosic wrzoda na dupie, jesli dzieki temu mozna zachowac te dupe w biologicznie uzasadnionej odleglosci od glowy.

Nie zgodzę się z wdrożoną metodą. Raportowane być powinno każde zdarzenie w wypadku wystąpienia. Raportowanie braku zdarzeń to w skali kraju ogromne koszty, w szczególności że nie widać w CERT jakiegoś szaleństwa w monitoringu. Więc sama procedura wykonawcza C-CRP jest nieprzemyślana. Bo w teorii jako wstęp do Delty i wyłączenia awaryjnego instalacji jest ok.
Większość sektora państwowego pracuje 8-16 i jeśli już to okresowe raporty o braku zdarzeń powinny być wykonywane na skraju tego przedziału. Poza nim generują olbrzymie koszty kadrowe, których nikt nie liczy jak zwykle.

[Pietrow]

Raportowanie braku zdarzen ma spory sens. W systemach informatycznych nazywamy to biciem serca (heartbeat). Wyjasniam:
zalozmy, ze masz zdalny termometr, ktory ma poslac na serwer wynik pomiaru temperatury - jesli wykryje jej zmiane wzgledem ostatniego pomiaru (chodzi o zmniejszenie generowanego ruchu sieciowego do niezbednego poziomu). I teraz popatrz z punktu widzenia serwera: termometr nie odezwal sie do mnie przez ostatnie 4 dni. Czy to oznacza, ze w miejscu pomiaru panuje bardzo stabilna temperatura, czy tez moze termometr wzial i sie spierdzielil? I tu wlasnie wchodzi heartbeat. W praktyce termometr powinien sie odezwac do serwera danych przy wykryciu zmiany temperatury lub raz na ustalony przedzial czasu w przypadku braku zmian temperatury - po to zeby potwierdzic swoja dostepnosc i gotowosc do pracy. Taki algorytm sprawia, ze serwer moze byc pewien ze 1) termometr dziala i 2) ostatni zgloszony pomiar temperatury jest nadal wazny.
Widzisz analogie w zglaszaniu braku zdarzen? To taki heartbeat. W warunkach bojowych nabiera wiecej sensu niz w sytuacjach cywilnych, ale analogia pozostaje bez zmian.

[mar_kow]

Raportowanie braku zdarzen ma spory sens. W systemach informatycznych nazywamy to biciem serca (heartbeat). [...]

Dokładnie tak... Generuje to koszty ludzkie i materiałowe ale daje pewność (albo powinno dawać) po stronie odbiorczej o ciągłości monitoringu i analizowania danych.
Oczywiście aktywacja stopnia gotowości nie powinna być wprowadzana "na wszelki wypadek" i utrzymywana w nieskończoność bo efekt będzie mizerny... A to już leży po stronie analityków i decydentów na wyższych szczeblach...

[Buła]

Raportowanie braku zdarzen ma spory sens. W systemach informatycznych nazywamy to biciem serca (heartbeat). [...]

Dokładnie tak... Generuje to koszty ludzkie i materiałowe ale daje pewność (albo powinno dawać) po stronie odbiorczej o ciągłości monitoringu i analizowania danych.
Oczywiście aktywacja stopnia gotowości nie powinna być wprowadzana "na wszelki wypadek" i utrzymywana w nieskończoność bo efekt będzie mizerny... A to już leży po stronie analityków i decydentów na wyższych szczeblach...

Tu Heartbeat nie ma sensu bo nikt nie reaguje na brak sygnału. I to sprawdzone w praktyce. Pies z kulawa noga się nie zainteresował co sie stało że informacja nie spłynęła. I to nie raz. Teoria != praktyka.
Czy myślisz że jak incydent wystąpi ktoś rusza się z góry by go zbadać ? Otóż nie. A tak można tylko wykryć atak na wczesnej fazie - badając żmudnie źle sklasyfikowane anomalie i pozornie przypadkowe awarie. Czy ruszyła akcja testów prewencyjnych ? Też nie. Dodatkowe odgórne audyty i kontrole bezpieczeństwa ? Taaaa.....
A co do kosztów to wystarczyłoby zmienić jeden element - godzinę składania raportu nr 2. I znika 90% kosztów. Ale po co. Analitycy i decydenci są z mianowania politycznego wg jedynego istotnego kryterium - zasług dla partii. Którejkolwiek. Nie muszą się znać, są wierni.

[Pietrow]

Prosze, nie mieszajmy spraw. Z hedbej strony mamy w miare rozsadna pocedure, a z drugiej - klasyczne olewanie tej procedury od strony zarzadzajacej. Jakos mnie to nie dziwi w tym kraju. Tu czesto na papierze jest "pieknie jak nigdy dotad", a w praktyce wychodzi "do dupy jak zawsze".

Takowoz - periodyczne raportowanie braku zmian ma uzasadnienie i sens, lecz wykonanie i pilnowanie procedur od gory lezy i kwili cichutko.