W ubiegłym roku prowadzony przez ABW zespół CSIRT GOV przyjął ponad 762 tysiące zgłoszeń. Prawie 27 tysięcy z nich dotyczyło faktycznych incydentów, a to wzrost o ponad 15 procent w porównaniu z rokiem poprzednim.

W ubiegłym roku eksperci ABW otrzymali w sumie 762 175 zgłoszeń o potencjalnym wystąpieniu incydentu teleinformatycznego w obszarze kompetencyjnym wchodzącym w zakres właściwości zespołu CSIRT GOV. Jest to duży wzrost w stosunku do roku poprzedniego, gdzie w sumie zarejestrowano 246 107 zgłoszeń. Powodem tendencji rosnącej jest zwiększająca się liczba alarmów systemu wczesnego ostrzegania, które bazują na sygnaturach ataków oraz danych dotyczących zagrożeń w cyberprzestrzeni. Wynika to także ze zwiększającej się liczby podmiotów wdrożonych do systemu wczesnego ostrzegania o zagrożeniach pochodzących z Internetu. Jeśli chodzi o zarejestrowane incydenty faktyczne, to w 2021 roku odnotowano ich 26 899. Stanowi to wzrost o około 15 procent w porównaniu do poprzedniego roku, gdzie zarejestrowano 23 309 incydentów faktycznych.

W ubiegłym roku najwięcej incydentów sklasyfikowano jako wirus, podatność oraz socjotechnika. Tak, jak i w roku poprzednim, najliczniejszą kategorią jest wirus, to 24 171 incydentów faktycznych. Są to incydenty związane z wykryciem przepływów przez system wczesnego ostrzegania ARAKIS 3.0 GOV, które mogą świadczyć o infekcji stacji roboczej w instytucji administracji państwowej lub u operatora infrastruktury krytycznej. 

Drugą najliczniejszą kategorią są podatności w zasobach IT, tutaj odnotowano 1 148 incydentów, rozumiane jako słabość systemu teleinformatycznego, błędy konfiguracyjne oraz brak odpowiedniej polityki bezpieczeństwa, związanej z aktualizacją oraz weryfikacją poprawnie wdrożonych rozwiązań teleinformatycznych.

Trzecią najliczniejszą kategorią jest socjotechnika – 904 incydenty. Zalicza się do niej zagrożenia, które dotyczą kampanii phishingowych, podszywania się oraz ataków z zakresu inżynierii społecznej wymierzonych przeciwko użytkownikom systemów teleinformatycznych, które mają na celu wyłudzenie poufnych informacji, zainfekowanie komputera złośliwym oprogramowaniem, bądź nakłonienie użytkownika do określonych działań.

310 zarejestrowanych incydentów dotyczyło niedostępności. W skład tej kategorii wchodzą zdarzenia dotyczące niedostępności witryn internetowych, ewentualnych awarii oraz prac technicznych. W kategorii publikacja, stanowiącej 158 incydentów, znajdują się zgłoszenia dotyczące tzw. wycieków, tj. publikacji w sieci wykradzionych informacji czy innych treści. Incydenty oznaczone jako skanowanie, których zarejestrowano 118, dotyczyły rekonesansu infrastruktury teleinformatycznej administracji rządowej oraz infrastruktury krytycznej. Kolejną kategorią są incydenty sklasyfikowane jako atak, czyli 74 incydenty, związane z wszelkiego rodzaju przeprowadzanymi atakami na systemy teleinformatyczne, np. DDoS, DoS, czy przełamanie zabezpieczeń. Ostatnią kategorią jest botnet, czyli zagrożenia dotyczące identyfikacji komputerów należących do sieci przejętych komputerów.

Zespół CSIRT GOV rozsyła też wiadomości ostrzegające do podmiotów będących w swojej właściwości, które zawierają informacje o podatnościach w systemach, o wskaźnikach kompromitacji czy kampaniach phishingowych. W ubiegłym roku rozesłano 115 takich wiadomości, gdzie największą ilość stanowiły wiadomości zawierające wskaźniki kompromitacji (IoC) dot. wykrytych zagrożeń.  Kolejną kategorią były informacje o różnego rodzaju podatnościach. Rozdysponowano także 14 ostrzeżeń o zidentyfikowanych kampaniach phishingowych, a także 5 innych ostrzeżeń, które informowały, np. o wprowadzeniu stopnia alarmowego ALFA-CRP oraz ostrzeżenie o podszyciu.

Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego

Podpisana 1 sierpnia 2018 roku przez Przezydenta RP ustawa o krajowym systemie cyberbezpieczeństwa ustanowiła trzy Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego: CSIRT NASK, CSIRT GOV oraz CSIRT MON. Każdy z CSIRT odpowiedzialny jest za koordynację incydentów zgłaszanych przez przyporządkowane zgodnie z ustawą podmioty.

CSIRT NASK

CSIRT NASK – prowadzony jest przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy.

Do głównych zadań zespołu CSIRT NASK należy:

• rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci;
• aktywne reagowanie w przypadku wystąpienia bezpośrednich zagrożeń dla użytkowników;
• współpraca z innymi zespołami CERT/CSIRT w Polsce i na świecie;
• udział w krajowych i międzynarodowych projektach związanych z tematyką bezpieczeństwa teleinformatycznego;
• działalność badawcza z zakresu metod wykrywania incydentów bezpieczeństwa,
• analizy złośliwego oprogramowania i systemów wymiany informacji o zagrożeniach;
• rozwijanie własnych narzędzi do wykrywania, monitorowania, analizy i korelacji zagrożeń;
• regularne publikowanie Raportu CSIRT NASK o bezpieczeństwie polskich zasobów Internetu;
• działania informacyjno-edukacyjne, zmierzające do wzrostu świadomości w zakresie bezpieczeństwa teleinformatycznego.

Jednocześnie NASK jako jednostka badawcza prowadzi szereg różnych projektów. Jednym z najistotniejszych projektów prowadzonych przez instytucję w chwili obecnej jest projekt SiSSDeN w ramach europejskich programów badawczych Horizon 2020, którego celem jest poprawa stanu cyberbezpieczeństwa europejskich instytucji i użytkowników końcowych poprzez rozwój świadomości sytuacyjnej oraz współdzielenie użytecznych informacji o zagrożeniach. Projekt zapewni nieodpłatne usługi powiadamiania ofiar o ataku oraz bliską współpracę ze CSIRT-ami krajowymi, dostawcami usług internetowych, właścicielami sieci i organami ścigania.

CSIRT NASK zobowiązany jest do koordynacji incydentów zgłaszanych przez następujące podmioty:

• jednostki samorządu terytorialnego,
• jednostki budżetowe, samorządowe zakłady budżetowe,
• agencje wykonawcze, instytucje gospodarki budżetowej,
• uczelnie publiczne i Polską Akademię Nauk,
• Urząd Dozoru Technicznego, Polskie Centrum Akredytacji,
• Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej,
• spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej.

Jednocześnie informujemy, że CSIRT NASK przyjmuje zgłoszenia incydentów od obywateli, do czego serdecznie zachęcamy gdyż informacje te przyczyniają się do zwiększenia bezpieczeństwa cyberprzestrzeni RP.

CSIRT GOV

CSIRT GOV – prowadzony jest przez Agencję Bezpieczeństwa Wewnętrznego.

Główne zadania CSIRT GOV to:

Rozpoznawanie, zapobieganie i wykrywanie zagrożeń godzących w bezpieczeństwo, istotnych z punktu widzenia ciągłości funkcjonowania państwa systemów teleinformatycznych organów administracji publicznej lub systemu sieci teleinformatycznych objętych jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej, a także systemów teleinformatycznych właścicieli i posiadaczy obiektów, instalacji lub urządzeń infrastruktury krytycznej.

CSIRT GOV zobowiązany jest do koordynacji incydentów zgłaszanych przez następujące podmioty:

• organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
• ZUS, KRUS, NFZ, Polską Agencję Żeglugi Powietrznej;
• Narodowy Bank Polski, Bank Gospodarstwa Krajowego.

CSIRT GOV wraz z CSIRT NASK obsługują system ARAKIS-GOV będący systemem wczesnego ostrzegania o zagrożeniach w sieci Internet. System ten jest efektem współpracy Departamentu Bezpieczeństwa Teleinformatycznego ABW oraz działającego w ramach NASK zespołu CSIRT. ARAKIS-GOV powstał na potrzeby wsparcia ochrony zasobów teleinformatycznych administracji państwowej w wyniku rozszerzenie stworzonego przez CSIRT NASK systemu ARAKIS o dodatkową funkcjonalność.

CSIRT MON

CSIRT MON – prowadzony przez Ministerstwo Obrony Narodowej.

CSIRT MON zobowiązany jest do koordynacji incydentów zgłaszanych przez następujące podmioty:

• podmioty podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane, w tym podmioty, których systemy teleinformatyczne lub sieci teleinformatyczne objęte są jednolitym wykazem obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej;
• przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym, w stosunku do których organem organizującym i nadzorującym wykonywanie zadań na rzecz obronności państwa jest Minister Obrony Narodowej.

Inne uprawnienia CSIRT-ów

Poza wymienionymi wyżej zadaniami CSIRT-ów ustawa o krajowym systemie cyberbezpieczeństwa umożliwia skoordynowane działania wszystkich CSIRT-ów w Polsce. Mogą one współpracować ze sobą wspólnie opracowując główne elementy procedur postępowania w przypadku incydentu, którego koordynacja wymaga współpracy. Określają we współpracy z sektorowymi zespołami cyberbezpieczeństwa sposób współdziałania z tymi zespołami, w tym sposób koordynacji obsługi incydentu.

Jednocześnie zespoły CSIRT w drodze porozumienia mogą powierzać sobie wzajemnie wykonywanie zadań w stosunku do niektórych rodzajów podmiotów.

Kolejnym ważnym elementem, który wprowadza ustawa w zakresie cyberbezpieczeństwa jest możliwość wykonywania przez zespoły CSIRT badań urządzeń lub oprogramowania w celu identyfikacji podatności, które wykorzystywane mogą być w celu zagrożenia integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa. Na podstawie ww. badań CSIRT mogą składać rekomendacje w celu usunięcia podatności urządzeń lub oprogramowania stosowane przez podmioty krajowego systemu cyberbezpieczeństwa.

źródło: GOV

{loadmoduleid 1123}