21 lutego 2022 roku doszło do bezprecedensowej sytuacji w historii Polski. Na terenie całego kraju wprowadzono CHARLIE-CRP, czyli trzeci stopień alarmowy. Czym są stopnie alarmowe CRP? Kiedy i dlaczego się je stosuje? Jakie obowiązki nakładają na organy państwowe? Jakie mają znaczenie dla cyberbezpieczeństwa zwykłego obywatela? Jakie zagrożenia niosą dla ciągłości działania biznesu? Jak powinna się do nich przygotować kadra zarządzająca? Między innymi tego dowiesz się z poniższego artykułu.
Czym są stopnie alarmowe CRP?
Stopnie alarmowe CRP są wprowadzane, gdy pojawi się zagrożenie wystąpienia jakiegoś zdarzenia o charakterze terrorystycznym w cyberprzestrzeni – albo gdy to zdarzenie już nastąpi. Chodzi głównie o incydenty uderzające w systemy teleinformatyczne organów administracji publicznej, jak również systemy teleinformatyczne związane z infrastrukturą krytyczną.
Stopnie alarmowe mogą obowiązywać na terenie całej Polski, ale mogą też na przykład dotyczyć jednego województwa, miasta czy obiektu. W szczególnych przypadkach skupiają się również na polskich placówkach za granicą.
Jakie stopnie alarmowe CRP wyróżniamy?
Mamy cztery takie stopnie:
- ALFA-CRP, czyli poziom pierwszy (niski);
- BRAVO-CRP, czyli poziom drugi (umiarkowany);
- CHARLIE-CRP, czyli poziom trzeci (wysoki);
- DELTA-CRP, czyli poziom czwarty (bardzo wysoki).
Co ważne, stopnie te nie muszą być wprowadzane po kolei. Możliwe jest na przykład przeskoczenie z poziomu pierwszego od razu na trzeci, z czym spotkaliśmy się w lutym 2022 roku.
Co oznacza stopień alarmowy ALFA-CRP?
Stopień alarmowy ALFA-CRP to najniższy stopień alarmowy ze wszystkich czterech. Stosuje się go, kiedy pojawią się podejrzenia, że może nastąpić jakieś zdarzenie o charakterze terrorystycznym. Jednak w takim przypadku trudno przewidzieć zarówno rodzaj, jak i zakres takiego zdarzenia.
Jakie są zadania organów państwowych podczas stopnia alarmowego ALFA-CRP?
Służby, administracja publiczna oraz instytucje właściwe w sprawach bezpieczeństwa i zarządzania kryzysowego powinny zachować szczególną czujność.
Czym jest stopień alarmowy BRAVO-CRP?
Stopień alarmowy BRAVO-CRP wprowadza się, gdy zaistnieje zwiększone i przewidywalne zagrożenie wystąpienia jakiegoś zdarzenia o charakterze terrorystycznym, jednak nie udało się zidentyfikować konkretnego celu ataku.
Jakie są zadania organów państwowych podczas BRAVO-CRP?
Organy państwowe powinny między innymi:
- weryfikować, czy doszło do naruszenia bezpieczeństwa komunikacji elektronicznej;
- sprawdzać, czy usługi elektroniczne pozostały dostępne;
- wprowadzać konieczne zmiany w dostępie do systemów;
- poinstruować pracowników instytucji o konieczności zachowania zwiększonej czujności;
- sprawdzić kanały łączności z innymi podmiotami biorącymi udział w reagowaniu kryzysowym;
- dokonać przeglądu stosownych procedur i zadań;
- określić aktualny stan bezpieczeństwa systemów i ocenić, jaki wpływ będzie na nie miało zagrożenie;
- zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
- wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji, a także personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów IT.
Kiedy wprowadza się stopień alarmowy CHARLIE-CRP?
Ten poziom alarmowy wprowadza się w przypadku trzech sytuacji:
Po pierwsze, gdy wystąpi zdarzenie, które potwierdza prawdopodobny cel ataku o charakterze terrorystycznym. Takie zdarzenie musi uderzać w bezpieczeństwo lub porządek publiczny, bezpieczeństwo RP albo bezpieczeństwo innego państwa czy organizacji międzynarodowej, jednocześnie stwarzające zagrożenie dla Polski.
Po drugie, gdy pojawią się wiarygodne, rzetelne i potwierdzone informacje o planowanym zdarzeniu terrorystycznym, które ma nastąpić na terenie RP.
Po trzecie, gdy pojawią się wiarygodne, rzetelne i potwierdzone informacje o planowanym zdarzeniu o charakterze terrorystycznym, dotyczącym obywateli polskich, instytucji polskich lub polskiej infrastruktury poza granicami RP.
Jakie są zadania organów państwowych podczas CHARLIE-CRP?
Do głównych zadań organów państwowych należą:
- całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji, jak również personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa tych systemów;
- odpowiedni przegląd zasobów pod kątem możliwości ich wykorzystania na wypadek zaistnienia ataku;
- przygotowanie się do ewentualnego uruchomienia planów, które umożliwiają zachowanie ciągłości działania po wystąpieniu potencjalnego ataku. Wlicza się tu też szybkie i bezawaryjne zamknięcie serwerów.
Czym jest stopień alarmowy DELTA-CRP?
DELTA-CRP to czwarty, najgroźniejszy stopień alarmowy. Może być wprowadzony w trzech następujących sytuacjach:
Po pierwsze, gdy wystąpi zdarzenie o charakterze terrorystycznym, które spowoduje zagrożenie bezpieczeństwa lub porządku publicznego, bezpieczeństwa RP albo bezpieczeństwa innego państwa czy organizacji międzynarodowej, jednocześnie stwarzającego zagrożenie dla Polski.
Po drugie, gdy uda się uzyskać informacje wskazujące, że zdarzenie terrorystyczne na terytorium Polski znajduje się w zaawansowanej fazie przygotowań.
Po trzecie, gdy uda się uzyskać informacje wskazujące, że zdarzenie terrorystyczne uderzające w polskich obywateli, instytucje czy infrastrukturę poza granicami kraju znajduje się w zaawansowanej fazie przygotowań i jest nieuchronne.
Jakie są zadania organów państwowych podczas DELTA-CRP?
W przypadku czwartego stopnia alarmowego obowiązują zadania poprzednich poziomów. Dodatkowo warto również:
- w uzasadnionych przypadkach wprowadzić ograniczenia komunikacyjne;
- zidentyfikować pojazdy znajdujące się na terenie zagrożonych obiektów i w razie potrzeby przetransportować je gdzie indziej;
- wprowadzić kontrole pojazdów wjeżdżających na teren zagrożonych obiektów, a także kontrole wnoszonych paczek czy toreb;
- przeprowadzać kontrole otoczenia zagrożonych obiektów;
- ograniczyć liczbę podróży służbowych pracowników zagrożonych obiektów;
- być gotowym na konieczność zapewnienia ciągłości funkcjonowania w sytuacji braku możliwości skorzystania z dotychczasowego miejsca pracy.
Kto wprowadza stopnie alarmowe CRP?
Za wprowadzanie, zmianę i odwoływanie stopni alarmowych jest odpowiedzialny Prezes Rady Ministrów. Działa w drodze zarządzenia. Podczas decyzji o ogłoszeniu danego alarmu posiłkuje się przepisami ustawy o działaniach antyterrorystycznych, a także zasięga opinii ministra właściwego do spraw wewnętrznych i Szefa ABW.
Jeśli zaistnieją sytuacje niecierpiące zwłoki, stopień alarmowy może też wprowadzić minister właściwy do spraw wewnętrznych, po zasięgnięciu opinii Szefa ABW. Musi niezwłocznie poinformować o tym premiera.
Kiedy wprowadzano stopnie alarmowe CRP w Polsce?
Najniższy stopień alarmowy ALFA-CRP wprowadzano do tej pory przy następujących wydarzeniach:
- Szczyt NATO w Warszawie (2016, na obszarze stolicy);
- 31. Światowe Dni Młodzieży w Krakowie (2016, na terytorium całego kraju);
- 24. Sesja Konferencji Stron Ramowej Konwencji ONZ w sprawie zmian klimatu (COP24) w Katowicach (2018, na obszarze województwa śląskiego oraz Krakowa);
- Spotkanie ministerialne dotyczące bezpieczeństwa na Bliskim Wschodzie w Warszawie (2019, na obszarze stolicy);
- Obchody 80. rocznicy wybuchu II Wojny Światowej (2019, na terytorium całego kraju);
- Uroczystości upamiętniające 75. rocznicę wyzwolenia obozu Auschwitz-Birkenau (2020, na terytorium całego kraju);
- Szczyt Cyfrowy ONZ – IGF 2021 w Katowicach (2021, na terytorium całego kraju);
- Wystąpienie potencjalnego ryzyka dla bezpieczeństwa systemów teleinformatycznych w związku z zagrożeniami wynikającymi z napiętej sytuacji w regionie (8-23 stycznia 2022 oraz 15-21 lutego 2022, na terytorium całego kraju).
Stopień BRAVO-CRP funkcjonował przy poniższych okazjach:
- 31. Światowe Dni Młodzieży w Krakowie (2016, na terytorium całego kraju);
- Spotkanie ministerialne dotyczące bezpieczeństwa na Bliskim Wschodzie w Warszawie (2019, na obszarze stolicy);
- Wybory do Parlamentu Europejskiego (2019, na terytorium całego kraju);
- Wybory do Sejmu i Senatu (2019, na terytorium całego kraju);
- Uroczystości upamiętniające 75. rocznicę wyzwolenia obozu Auschwitz-Birkenau (2020, na obszarze województwa małopolskiego);
- Wybory Prezydenta RP (2020, na terytorium całego kraju).
21 lutego 2022 roku premier Morawiecki po raz pierwszy w historii Polski wprowadził stopień alarmowy CHARLIE-CRP, znosząc tym samym obowiązujący wcześniej ALFA-CRP. Alarm ma trwać do 4 marca włącznie.
Z kolei stopień DELTA-CRP jeszcze nigdy nie wystąpił.
Dlaczego po raz pierwszy wprowadzono CHARLIE-CRP?
Premier nie ujawnił konkretów stojących za decyzją o wprowadzeniu CHARLIE-CRP. Jednak wiadome jest, że ma to związek z sytuacją na Ukrainie i wpływem tej sytuacji na działania w cyberprzestrzeni.
Jak stopnie alarmowe wpływają na pracę organów państwowych?
Organy administracji publicznej, a także służby zajmujące się bezpieczeństwem muszą pozostać w stanie gotowości i przygotować się do utrzymania ciągłości funkcjonowania podczas stanu alarmowego na czas nieokreślony. Trzeba jednak pamiętać, że dłuższe utrzymywanie wyższych stopni może spowodować dodatkowe utrudnienia podczas pracy.
Czy sytuacja alarmowa może wpłynąć na bezpieczeństwo biznesu?
Jak najbardziej. Wprowadzenie stopnia alarmowego CHARLIE-CRP to sytuacja bezprecedensowa, niespotykana do tej pory w naszym kraju. Z tego powodu wiele firm nie jest na nią przygotowanych. Istnieje zwiększone ryzyko incydentów w cyberprzestrzeni, które mogą wpłynąć nie tylko na pracę administracji państwowej, ale również na ciągłość działania biznesu. Zagrożeniami mniej oczywistymi a które szczególnie warto wziąć pod rozwagę są te z kategorii zagrożeń środowiskowych jak na przykład brak zasilania prądem w wyniku skutecznego ataku na elektrownie.
Wyobraźmy sobie taki scenariusz: dochodzi do ataku hakerskiego na elektrownię lub inny strategicznie ważny dla infrastruktury punkt. W ten sposób dochodzi do braku prądu nie w pojedynczym budynku, ale w całym regionie. Brak prądu nie pozwala na utrzymanie systemów IT.
Czy wiesz, jak postąpić w takiej sytuacji?
Czy podczas alarmu CRP organizacja powinna zachować czujność?
Ogłoszenie stopnia alarmowego to moment, w którym organizacja powinna zmobilizować siły i skupić się na planie działania na wypadek incydentu, który staje się prawdopodobny. Czy jesteście przygotowani na różne możliwe opcje? Czy personel został odpowiednio przeszkolony na temat phishingu czy innych zagrożeń? Czy wszyscy w Twojej firmie wiedzą, jak reagować na potencjalnie groźne sytuacje i komu je zgłaszać? Kto jest odpowiedzialny za zareagowanie w przypadku awarii systemów? Czy robicie kopie zapasowe ważnych danych? Czy wiecie, jakie działania podjąć w sytuacji dłuższej utraty zasilania?
Jak w trakcie trwania alarmu powinna zachować się moja organizacja?
Oczywiście warto przygotować się na cyberatak i wzmocnić bezpieczeństwo IT. Przyda się konkretny i sensowny plan działania na wypadek zaistniałego incydentu, uwzględniający możliwe zasoby firmy.
Jednak sam cyberatak to nie wszystko, co grozi ciągłości biznesu. Jak wspominaliśmy powyżej, nagle może dojść do awarii zasilania. Pamiętaj, by zadbać o regularne robienie kopii zapasowych ważnych danych, na przykład w chmurze, lub na nośnikach fizycznych jeśli będzie to stosowne. Jeśli incydent nastąpi, nie utracisz całej niezbędnej dokumentacji i informacji kluczowych dla działania firmy.
Czy w razie potrzeby masz możliwość szybkiego skierowania pracowników na pracę zdalną albo do innej siedziby? Jeśli tak, jakie środki bezpieczeństwa zostaną zapewnione? Jeżeli personel będzie korzystać z własnego sprzętu oraz domowego internetu, pomyśl o dodatkowych zabezpieczeniach komputerów oraz koniecznie przeszkol ludzi pod kątem phishingu. Błąd ludzki to główna przyczyna udanego cyberataku.
Chcesz dowiedzieć się, jak chronić firmę przed cyberprzestępcami?
Umów się na bezpłatną konsultację z naszym ekspertem.
Czy alarm nakłada jakieś obowiązki na zwykłych ludzi?
Stopnie alarmowe nie wprowadzają żadnych dodatkowych obowiązków na zwykłego obywatela. Warto jednak zachować czujność i zwracać uwagę na niepokojące sygnały. Jeśli zaistnieją jakieś trudne czy nietypowe sytuacje albo pojawi się konkretne zagrożenie, konieczne jest zgłoszenie tego faktu za pomocą telefonu alarmowego 112. Nie zaszkodzi też mieć przy sobie trochę gotówki na wypadek awarii kart czy systemów płatniczych podczas cyberataku.
Czy są szanse na DELTA-CRP?
W obecnej sytuacji warto rozważyć czarny scenariusz i przygotować się na ewentualność zaistnienia czwartego poziomu alarmowego. Sytuacji nie poprawiła agresja Rosji na Ukrainę, która nastąpiła 24 lutego. Najbliższe tygodnie na pewno będą stanowiły utrudnienie dla pracy organów państwowych. Znacznie wzrasta też ryzyko różnorodnych zagrożeń w cyberprzestrzeni.
Jeżeli interesują Cię artykuły dotyczące cyberbezpieczeństwa, zachęcamy do zaglądania na naszego bloga. Możesz również śledzić nasz fanpage lub profil LinkedIn.
Do usłyszenia!
Zespół Sagenso
.png)
.png)
