Atak Rosji na Ukrainę, który nastąpił wczesnym rankiem 24 lutego nie ma dodatkowego bezpośredniego przełożenia na działania małych i średnich operatorów telekomunikacyjnych w Polsce. Znacznie zwiększyła się jednak liczba cyberataków, obowiązuje stopień alarmowy CHARLIE–CRP, są też działania, które ISP mogą natychmiast podjąć by lepiej chronić swoją sieć.
– Odnotowujemy obecnie dziesięć razy więcej cyberataków niż wcześniej – mówi Marcin Zemła ze spółki Projekt MdS, należącej do Grupy MiŚOT. – Atakowane są serwery pocztowe, dochodzi do brutalnego łamania haseł. Na poziomie administracyjnym został już podniesiony poziom kryptografii i to samo doradzałbym operatorom. Ponadto, zgodnie z wymogami aktualnego stopnia alarmowego, należy raportować policji wszelkie niepokojące i nietypowe sytuacje. Proszę pamiętać, że tylko agregując informacje w jednym miejscu możemy mieć realny obraz sytuacji.
Zgłaszaj cyberataki
Przypomnijmy, że zgodnie z rozporządzeniem premiera Mateusza Morawieckiego, stopień alarmowy CHARLIE–CRP obowiązuje od 21 lutego 2022 r. od godz. 21.00 do 4 marca 2022 r. do godz. 23.59. CHARLIE–CRP. Najprawdopodobniej zostanie też przedłużony.
Zgodnie z przepisami ten stopień alarmowy wprowadzany jest w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym w cyberprzestrzeni albo uzyskania wiarygodnych informacji o planowanym zdarzeniu. Zagrożenia te wynikają oczywiście z sytuacji na Ukrainie, a potwierdzają je zintensyfikowane działania hakerów. Wyższy stopień alarmu może zostać wprowadzony jedynie w przypadku bezpośredniego ataku lub zagrożenia wojną.
Zgłaszanie epizodów związanych z cyberbezpieczeństwem można dokonać niezwykle prosto – za pośrednictwem numeru 112.
Zalecamy stały nadzór
– Skoro administracja państwowa sprowadza na stałe, stacjonarne dyżury administratorów odpowiedzialnych za kluczowe systemy, podobne działania zalecałbym obecnie w każdej firmie telekomunikacyjnej – radzi Marcin Zemła. – Ponadto warto sprawdzić i przećwiczyć wszelkie procedury i dokonać przeglądu planów awaryjnych. Można też, stosunkowo łatwo, wyłączyć geolokalizację z Rosji i Białorusi, co utrudni (choć nie uniemożliwi) prowadzenie ataków.
Szczególne obowiązki związane z raportowaniem incydentów związanych z cyberbezpieczeństwem mają też operatorzy usług kluczowych. Choć operatorzy lokalni nie mają takiego statusu, posiada go EPIX, będący obecnie jedynym polskim i zarazem największym w kraju węzłem wymiany ruchu internetowego. W związku z tym przedstawiciel stowarzyszenia e-Południe stale przekazuje służbom informacje na temat poważnych incydentów, czyli takich, które powodują lub mogłyby spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi.
Tak mówi prawo
Zgodnie z zapisami zawartymi w Rozporządzeniu Prezesa Rady Ministrów z dnia 25 lipca 2016 r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP, organy administracji publicznej oraz służby i instytucje zajmujące się bezpieczeństwem i zarządzaniem kryzysowym są obecnie zobowiązane między innymi do:
- prowadzenia całodobowych dyżurów administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa tych systemów,
- przeglądu zasobów pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku,
- przygotowania się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym szybkiego i bezawaryjnego zamknięcia serwerów.
Ponadto należy podkreślić, że operatorzy telekomunikacyjni, którzy świadczą usługi dla podmiotów administracji (także samorządowej) powinni być przygotowani do szybkiego zamknięcia serwerów bez utraty danych (zgodnie z przygotowaną uprzednio instrukcją). W przypadku szyfrowania transmisji zalecane jest dla nich także bezzwłoczne przejście na kodowanie SHA 256 (lub wyższe).
