Stopnie alarmowe CRP. Na czym polegają?

W poniedziałek na podstawie decyzji premiera Mateusza Morawieckiego nastąpiła zmiana obowiązującego od 15 lutego (godz. 23:59) drugiego stopnia alarmowego ALFA-CRP na trzeci w czterostopniowej skali - CHARLIE-CRP. Rządowe Centrum Bezpieczeństwa (RCB) poinformowało, że taki stan będzie trwał do 4 marca br. (do godz. 23:59) na terenie całego kraju. 

Minister Janusz Cieszyński, sekretarz stanu i pełnomocnik rządu ds. cyberbezpieczeństwa, wyjaśnił, że decyzja szefa rządu jest związana z sytuacją na Ukrainie oraz działaniami, jakie zaobserwowano w polskiej cyberprzestrzeni. 

Kluczowe zapisy dotyczące stopni alarmowych znajdują się w „Ustawie z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych” oraz „Rozporządzeniu Prezesa Rady Ministrów z dnia 25 lipca 2016 r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP”. To tam opisano podstawy ich wprowadzenia, wskazano na zadania organów państwowych oraz inne informacje, dotyczące procedur i mechanizmów. 

Cztery stopnie wprowadzane przez premiera

W przypadku zagrożeń o charakterze terrorystycznym dla infrastruktury teleinformatycznej organów administracji lub systemów zaliczanych do infrastruktury krytycznej mogą zostać wprowadzone (w zależności od skali i powagi sytuacji) stopnie: ALFA-CRP (najniższy), BRAVO-CRP, CHARLIE-CRP oraz DELTA-CRP.

Wprowadza, zmienia lub też odwołuje je premier po uzyskaniu opinii ministra właściwego do spraw wewnętrznych i szefa Agencji Bezpieczeństwa Wewnętrznego. Jeśli sytuacja wymaga natychmiastowej reakcji, może to zrobić ministe właściwy do spraw wewnętrznych, po zasięgnięciu opinii szefa ABW, przekazując stosowną informację premierowi. 

Stopnie alarmowe nie muszą być wprowadzone na terenie całego kraju. Mogą obowiązywać na określonym obszarze, takim jak np. jedna lub kilka jednostek podziału terytorialnego (województwa, powiaty, gminy). Ponadto, premier może zadecydować, że dany stopnień zostanie wdrożony dla konkretnego obiektu jednostki organizacyjnej administracji, prokuratury, sądów lub też innych wskazanych elementów infrastruktury.

Nawet za granicą

Warto również zaznaczyć, że wdrożenie stopni alarmowych dotyczy także sytuacji, gdy efekty zdarzenia o charakterze terrorystycznym mogą obejmować Polaków będących poza granicami kraju, bądź krajowych instytucji lub infrastruktury, znajdujących się poza RP, lecz innych niż placówki zagraniczne RP (definiowanych na podstawie ustawy z dnia 27 lipca 2001 r. o służbie zagranicznej). 

W przypadku placówek zagranicznych RP i systemów teleinformatycznych, za które odpowiedzialny jest szef MSZ procedura wygląda nieco odmiennie. To znaczy, decyzję o wprowadzeniu, zmianie lub odwołaniu stopnia alarmowego podejmuje premier, lecz po zasięgnięciu opinii ministra właściwego do spraw zagranicznych i Szefa Agencji Wywiadu. Jeśli sytuacja wymaga natychmiastowego działania, decyzję podejmuje minister właściwy do spraw zagranicznych, po zasięgnięciu opinii Szefa Agencji Wywiadu, przekazując informację premierowi. 

Nie później niż 12 godzin

Rozporządzenie premiera wskazuje, że organy administracji publicznej, służby i instytucje odpowiedzialne za bezpieczeństwo oraz zarządzanie kryzysowe (dalej zwane „organami państwowymi i podmiotami odpowiedzialnymi za bezpieczeństwo”) są zobowiązane do określenia procedury realizacji zadań, wynikających z poszczególnych stopni alarmowych. Po otrzymaniu informacji o wprowadzeniu określonego stopnia, muszą bezzwłocznie potwierdzić to RCB, a także przekazać raport o stanie realizacji zadań, nie później niż 12 godzin od otrzymania stosownego komunikatu.

I stopień: ALFA-CRP

Najniższy ze stopni alarmowych można wprowadzić w momencie posiadania informacji o ryzyku wystąpienia zagrożenia o charakterze terrorystycznym, którego rodzaj i skalę ciężko przewidzieć.

Wówczas organy państwowe i podmioty odpowiedzialne za bezpieczeństwo są zobowiązane do wdrożenia „wzmożonego monitorowania stanu bezpieczeństwa systemów teleinformatycznych” należących do administracji publicznej lub zaliczanych do infrastruktury krytycznej (zwane dalej „systemami”), a także monitorować i weryfikować sytuację pod kątem bezpieczeństwa komunikacji elektronicznej, sprawdzać dostęp do usług elektronicznych oraz dokonywać zmian w zakresie dostępu do systemów, jeśli zajdzie taka potrzeba.

Ponadto, zgodnie z rozporządzeniem, wspomniane organy i podmioty muszą poinformować personel o „konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy” (zwłaszcza jeśli chodzi o specjalistów zajmujących się bezpieczeństwem systemów), a także sprawdzić łączność z innymi instytucjami, zaangażowanymi w reagowanie na kryzys. W tym kontekście należy skontrolować wyznaczone punkty kontaktowez zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego oraz ministrem właściwym ds. informatyzacji.

Rozporządzenie mówi również o dokonaniu przeglądu stosowanych procedur oraz zadań dotyczących stopni alarmowych CRP (np. zweryfikowaniu kopii zapasowej systemów), sprawdzeniu bieżącego stanu bezpieczeństwasystemów, ocenie wpływu zagrożenia na bazie aktualnych informacji i prognoz, a także informowaniu na bieżącozespołów ds. reagowania na incydenty bezpieczeństwa teleinformatycznego i zaangażowane centra zarządzania kryzysowego o efektach realizowanych zadań. Wiadomości należy przekazywać również ministrowi właściwemu ds. informatyzacji. 

II stopień: BRAVO-CRP

Można go wprowadzić, gdy pojawi się zwiększone i przewidywalne zagrożenie, dotyczące wystąpienia zdarzenia o charakterze terrorystycznym, lecz bez wskazania konkretnego celu ataku, którego nie udało się zidentyfikować.

W przypadku drugiego stopnia, organy państwowe i podmioty odpowiedzialne za bezpieczeństwo wykonują zadania wyszczególnione w przypadku ALFA-CRP. Poza tym mają zapewnić dostępność w trybie alarmowym personeluodpowiedzialnego za bezpieczeństwo systemów, a także wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów. 

III stopień: CHARLIE-CRP

W przypadku trzeciego stopnia, podstawy do jego wprowadzenia są bardziej złożone niż w dwóch poprzednich. Z przepisów wynika, że można go wdrożyć, jeśli dojdzie do zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym, godzącego w porządek publiczny lub bezpieczeństwo, w tym Polski lub innego państwa albo też organizacji międzynarodowej. 

Ponadto, premier może zadecydować o wprowadzeniu CHARLIE-CRP w przypadku pozyskania „wiarygodnych i potwierdzonych" informacji, dotyczących planowanego zdarzenia o charakterze terrorystycznym na obszarze państwa lub którego skutki mogą uderzać w Polaków albo instytucje poza granicami kraju.

W odniesieniu do zobowiązań, które są przypisane do trzeciego stopnia alarmowego, rozporządzenie mówi o wykonywaniu zadań wskazanych w przypadku ALFA-CRP i BRAVO-CRP. Poza tym organy publiczne i podmioty bezpieczeństwa mają wprowadzić całodobowy dyżur administratorów systemów i personelu za nie odpowiedzialnego, dokonać przeglądu dostępnych zasobów zapasowych (aby można było je wykorzystać, jeśli zajdzie taka potrzeba) oraz być gotowym do wdrożenia planów, pozwalających na utrzymanie ciągłości działania po wystąpieniu ataku. W ostatnim punkcie wyróżniono przegląd i audyt planów awaryjnych i systemów, a także przygotowanie do ograniczenia operacji na serwerach (aby można było je szybko i bezpiecznie zamknąć). 

IV stopień: DELTA-CRP

Najwyższy stopień alarmowy można wprowadzić, gdy pojawi się zdarzenie o charakterze terrorystycznym, które przyczynia się do powstania zagrożenia dla porządku publicznego lub bezpieczeństwa, w tym Polski bądź innego państwa, albo też organizacji międzynarodowej. 

Co więcej, przesłanką do wdrożenia DELTA-CRP jest posiadanie informacji, mówiących o zaawansowanych fazach przygotowań do działań o charakterze terrorystycznym, których celem mają być obywatele, instytucje lub infrastruktura, znajdujące się także poza granicami Polski. Przy czym ważne jest tutaj, że przewidywane zdarzenie ma być skategoryzowane jako „nieuchronne”. 

Analogicznie do poprzednich przypadków, w związku ze stopnień DELTA-CRP, rozporządzenie mówi jednoznacznie, że organy państwowe i podmioty odpowiedzialne za bezpieczeństwo mają wykonywać zadania właściwe dla ALFA-CRP, BRAVO-CRP i CHARLIE-CRP. Do tego dochodzą również zadania polegające na uruchomieniu planów awaryjnych lub ciągłości działania organizacji w przypadku wystąpienia awarii lub zakłóceń w funkcjonowaniu infrastruktury, a także w razie takiej potrzeby podjęcie wysiłków na rzecz utrzymania operacyjności.  

Perspektywa obywatela

Analizując poszczególne stopnie ustawowe, może pojawić się pytanie: „A co z obywatelami? Czy są zobowiązani do podjęcia szczególnych czynności?”. Odpowiedź brzmi: NIE.

Wprowadzenie określonego stopnia alarmowego nakłada zadania jedynie na organy publiczne i podmioty odpowiedzialne za bezpieczeństwo, o których mówią przepisy prawa.

Poza „CRP”

W tym miejscu warto zaznaczyć, że powyżej omówione zostały stopnie alarmowe dotyczące sytuacji związanej z zagrożeniami dla systemów teleinformatycznych. Są one oznaczane dopiskiem „CRP” w nazwie.

Poza nimi funkcjonują jeszcze: ALFA, BRAVO, CHARLIE i DELTA. Odnoszą się one do zagrożeń niewymierzonych bezpośrednio w infrastrukturę teleinformatyczną.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.