Ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 roku powołała kilka podmiotów mających wpływ na poziom bezpieczeństwa informatycznego w Polsce. Warto wiedzieć jakie to zespoły, jakie mają kompetencje oraz zadania, a także jakimi incydentami i zagrożeniami się zajmują.
Podmioty te przyjęły nazwy od innych podobnych zespołów powołanych przez rządy i duże instytucje na całym świecie. Chodzi oczywiście o skrót CSIRT, czyli Computer Security Incident Response Team, a po polsku: Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. Ustanowione zostały trzy takie zespoły: CSIRT NASK, CSIRT GOV oraz CSIRT MON. Każdy z nich odpowiedzialny jest różne incydenty zgłaszane przez przyporządkowane według ustawy podmioty. Zespoły te współpracują ze sobą oraz z podobnymi zespołami na całym świecie w celu zapewnienia bezpieczeństwa sieci wewnętrznych oraz wykrywaniu zagrożeń w sieci publicznej.
CSIRT NASK
Najstarszy z zespołów reagowania na incydenty bezpieczeństwa w Polsce. Działa w strukturach NASK, czyli Naukowej i Akademickiej Sieci Komputerowej – państwowego instytutu badawczego. Istnieje od 1996 roku, pod nazwą CERT Polska, i na przestrzeni kolejnych lat wchodził w szeregi międzynarodowych i europejskich grup zajmujących się bezpiecznym użytkowaniem Internetu.
Do głównych zadań zespołu CSIRT NASK należy:
- rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci,
- aktywne reagowanie w przypadku wystąpienia bezpośrednich zagrożeń dla użytkowników,
- działalność badawcza z zakresu metod wykrywania incydentów bezpieczeństwa,
- analiza wykrywanego i znanego złośliwego oprogramowania,
- rozwijanie własnych narzędzi do wykrywania, monitorowania, analizy i korelacji zagrożeń,
- regularne publikowanie Raportu CERT Polska o bezpieczeństwie polskich zasobów Internetu,
- współpraca z innymi zespołami CERT/CSIRT w Polsce i na świecie,
- działania informacyjno-edukacyjne, zmierzające do wzrostu świadomości w zakresie bezpieczeństwa informatycznego.
Dodatkowo NASK jako jednostka badawcza prowadzi szereg różnych projektów. Jednym z najistotniejszych jest projekt o nazwie „Secure Information Sharing Sensor Delivery Event Network”, w skrócie SiSSDeN. Realizowany jest on przez kilka europejskich instytucji w ramach programu Unii Europejskiej Horizon 2020, którego celem jest poprawa stanu cyberbezpieczeństwa instytucji i użytkowników końcowych poprzez rozwój świadomości oraz współdzielenie użytecznych informacji o zagrożeniach. Projekt ten zapewni nieodpłatne usługi powiadamiania ofiar o ataku oraz bliską współpracę dostawców usług internetowych z właścicielami sieci i organami ścigania.
CSIRT NASK zgodnie z ustawą jest odpowiedzialne za koordynację incydentów zgłaszanych przez następujące podmioty:
- jednostki samorządu terytorialnego,
- jednostki budżetowe, samorządowe zakłady budżetowe,
- agencje wykonawcze, instytucje gospodarki budżetowej,
- uczelnie publiczne i Polską Akademię Nauk,
- Urząd Dozoru Technicznego, Polską Agencję Żeglugi Powietrznej, Polskie Centrum Akredytacji,
- Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej,
- spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej,
- obywateli.
CSIRT GOV
Zespół prowadzony przez Agencję Bezpieczeństwa Wewnętrznego i nadzorowany przez ministerstwo Cyfryzacji. Do jego głównych zadań należy dbanie o bezpieczeństwo informatyczne usług, obiektów i właścicieli wchodzących w skład infrastruktury krytycznej. Bardziej szczegółowo można zaznaczyć, że CSIRT GOV ma rozpoznawać i zapobiegać zagrożeniom cybernetycznym skierowanym na istotne z punktu widzenia ciągłości funkcjonowania państwa systemy teleinformatyczne.
Zespół ten jest zobowiązany do koordynacji incydentów zgłaszanych przez następujące podmioty:
- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
- ZUS, KRUS, NFZ;
- Narodowy Bank Polski, Bank Gospodarstwa Krajowego.
CSIRT MON
Jest to zespół prowadzony przez Ministerstwo Obrony Narodowej. Realizuje podobne zadania do zespołu CSIRT GOV, ale dla podmiotów podległych bezpośrednio Ministrowi Obrony Narodowej. Obowiązkiem zespołu jest podejmowanie i rozwiązywanie incydentów bezpieczeństwa zgłaszanych przez organy wojskowe oraz przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym.
System ARAKIS-GOV
Warto wspomnieć o dużym zrealizowanym projekcie przez CERT Polska razem z CSIRT GOV, systemie wczesnego ostrzegania o zagrożeniach w sieci Internet – ARAKIS-GOV. Nie jest to typowy system do bezpieczeństwa i nie zastępuje on funkcjonalności standardowych systemów ochrony takich jak firewall, antywirus czy IDS/IPS. Jego działanie opiera się na sieci sensorów (obecnie około 60) zainstalowanych w urzędach szczebla centralnego i jednostkach samorządu terytorialnego. Unikalną cechą systemu jest to, że nie monitoruje on w żaden sposób treści informacji wymienianych przez chronioną instytucje z siecią Internet, ponieważ sondy instalowane są poza siecią wewnętrzna instytucji, po stronie sieci Internet.
Zaimplementowane w systemie narzędzia pozwalają na porównywanie statystyk ruchu sieciowego widzianego z poziomu chronionej lokalizacji z globalnym obrazem pochodzącym od wszystkich zainstalowanych sensorów. Dzięki temu system ten ma być stosowany jako narzędzie do „przewidywania” zagrożeń i nowych typów ataków, obserwowanych z poziomu dużej liczby lokalizacji. Dodatkowe funkcjonalności dotyczą sprawdzania lokalnych zabezpieczeń w chronionych lokalizacjach takich jak aktualne szczepionki antywirusowe, zainfekowane hosty w wewnętrznej sieci, nieszczelna konfiguracja urządzeń brzegowych czy próby skanowania z sieci Internet.