Zastrzeżenia do działania stopnia alarmowego CHARLIE-CRP. Problemem braki kadrowe

We wtorek odbyła się Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, podczas której przedstawiono informację na temat „stanu przygotowania jednostek administracji publicznej i innych podmiotów zobowiązanych do realizacji zadań, wynikających ze stopni alarmowych CRP oraz dotychczasowych doświadczeń z obowiązywania stopni alarmowych”.

Informacje na ten temat przedstawił Adam Andruszkiewicz, sekretarz stanu z KPRM. Przypomnijmy, że decyzją premiera Mateusza Morawieckiego przedłużono trzeci stopień alarmowy CHARLIE-CRP w cyberprzestrzeni. Będzie on obowiązywał do końca listopada br. Ma to bezpośredni związek z wojną w Ukrainie, zagrożeniami w cyberprzestrzeni oraz cyberatakami na naszego wschodniego sąsiada, które mogą dotknąć także polskie systemy.

Adam Andruszkiewicz poinformował z czym wiąże się wprowadzenie stopnia alarmowego CHARLIE-CRP w praktyce, wobec podmiotów odpowiedzialnych za infrastrukturę krytyczną państwa.

Wymienił czynności, jakie podjęto zgodnie z obowiązującymi przepisami: poinformowano pracowników odpowiedzialnych za infrastrukturę krytyczną o konieczności wzmożonej czujności; przeprowadzano obowiązkowe szkolenia z zakresu podniesienia świadomości w zakresie występowania cyberzagrożeń; prowadzono wzmożone monitorowanie systemów teleinformatycznych oraz działania środków łączności; zweryfikowano kanały łączności z instytucjami odpowiedzialnymi za zarządzanie kryzysowe oraz cyberbezpieczeństwo; wprowadzono ograniczenie w dostępie do systemów oraz usług m.in. zgodnie z raportami CSIRT NASK; zaimplementowano w trybie pilnym wszystkie ostrzeżenia otrzymane od zespołu CSIRT GOV, dotyczące wykrytych podatności, a w szczególności zabezpieczeń infrastruktury informatycznej; monitorowano dostępność systemów i planów umożliwiających działanie po wystąpieniu potencjalnego cyberataku; zakupiono dodatkowe usługi, aby przeciwdziałać atakom DDoS.

Jak podał Andruszkiewicz, jednostki podległe pod ministra cyfryzacji wykonują powierzone zadania zgodnie z obowiązującymi procedurami, które są „na bieżąco aktualizowane i dostosowywane w zależności od potrzeb”.

Po pierwsze: problemy z raportowaniem

Jednak pierwszym problemem, jaki poruszono, ma być fakt, że znikoma liczba podmiotów potwierdziła działanie w praktyce łączności z ministrem właściwym ds. informatyzacji. Wynika to - zdaniem KPRM - z niskiej świadomości istnienia takiego obowiązku.

Dodatkowo, brak jednolitego systemu informowania o zagrożeniach w cyberprzestrzeni. „Nie zawsze następuje przekazywanie informacji przez CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa - red.) pod który podlega dany podmiot; ostrzeżeń wydanych przez inny CSIRT, co powoduje konieczność monitorowania wielu źródeł informacji, poświęcania dodatkowego czasu na ich poszukiwanie” – wskazał Andruszkiewicz.

Dodatkowo podmioty odpowiedzialne za infrasturkturę krytyczną państwa w ramach Krajowego Systemu Cyberbezpieczeństwa (KSC) zgłaszały KPRM, że długoterminowe obowiązywanie stopnia alarmowego CHARLIE-CRP negatywnie wpływa na czujność i ostrożność pracowników.

„Zachodzi efekt przyzwyczajenia, reżim alarmowy staje się codziennością – takie zgłoszenia również mieliśmy, dostajemy też informacje o niewystarczających zasobach kadrowych w kontekście permanentnego przedłużania stopni alarmowych, co w dłuższej perspektywie może mieć negatywny wpływ na przeciążenie pracowników” – wskazał sekretarz stanu w KPRM na podstawie uwag, przekazanych Kancelarii przez podległe jej podmioty.

Osoby odpowiedzialne za cyberbezpieczeństwo w jednostkach objętych stopniem alarmowym CHARLIE-CRP miały rekomendować, aby „ich dyżury były wprowadzane na podstawie indywidualnej sytuacji, posiadanych systemów oraz zasobów osobowych”.

Po drugie: stałe dyżury

Z kolei Mariusz Cichomski, dyrektor Departament Porządku Publicznego w MSWiA wskazał podczas posiedzenia Komisji, że prowadzone analizy prawne „nie wskazały na konieczność dokonywania zmian prawnych (w zakresie stopni alarmowych - red.), a wszystkie służby i podmioty potwierdziły skuteczność tych rozwiązań”.

„Te informacje, jakie wskazał minister, to rzeczywiście potwierdzenie, że długi okres obowiązywania stopni alarmowych powoduje, iż trudnością jest zapewnienie cały czas dyżurów osób odpowiedzialnych za cyberbezpieczeństwo, natomiast jest to związane z tym, że zachodzą przesłanki aby ten stopień pozostawał jako obowiązujący” – zaznaczył.

Poseł Robert Kwiatkowski dopytał o informację dotyczącą znikomej liczby podmiotów, potwierdzających łączność z ministrem ds. informatyzacji w zakresie raportowania ewentualnych incydentów i zapytał: „Co chcecie z tym zrobić?”

Zastępca dyrektora w Departamencie Cyberbezpieczeństwa Marcin Wysocki odpowiedział, że na podstawie obowiązującego prawa raportować do ministra ds. informatyzacji powinno "wiele tysięcy podmiotów" i gdyby faktycznie trzeba było realizować te postanowienia, to „de facto musiałaby działać służba dyżurna”. Wskazał, że w Departamencie politycy mieli zwracać uwagę, aby "urealnić ten obowiązek, który wynika z ustawy".

Po trzecie: nadgodziny

Dyskusja toczyła się także wokół niewystarczających zasobów kadrowych, a wraz z utrzymującym się trzecim stopniem alarmowym, jednostki infrastruktury krytycznej mają skarżyć się na "nadgodziny, albo dyżury weekendowe".

Zdaniem jednego z ekspertów trzeba ustalić pewną listę podmiotów, która podlega rygorom cyberbezpieczeństwa przez cały czas, co spowoduje, że te jednostki będą mogły zwiększyć swoje budżety na zasoby kadrowe i zatrudnić więcej osób, by mogły pełnić dyżury 24 godziny na dobę.

Mariusz Cichomski, dyrektor w MSWiA przypomniał jednak, że CHARLIE-CRP obowiązuje po raz pierwszy w historii, a tym bardziej obowiązuje tak długo i należy uznać, że "to element przejściowy".

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].