Audytel dostrzegł pierwszy absurd w działaniu CSIRT-ów

W ubiegłym roku w życie weszła ustawa o Krajowym Systemu Cyberbezpieczeństwa (KSC), której jednym z celów było usprawnienie działań na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo RP. Jednak już można dojrzeć pewne absurdy przy jej wdrażaniu, na które zwraca uwagę firma Audytel.

Firma doradcza wskazuje na pierwsze niespójności w działaniach trzech Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci KomputerowejPaństwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON) dotyczące zgłaszania przez operatorów usług kluczowych tzw. incydentów, tj. niepożądanych wydarzeń w ich systemach teleinformatycznych, np. uszkodzenia czy utraty danych.

KSC nakłada bowiem określone obowiązki na wyznaczonych operatorów usług kluczowych i dostawców usług cyfrowych, których będzie około 500. Są to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej, zależne od systemów informatycznych. Ustawa wskazuje sektory, w których mają zostać zidentyfikowani operatorzy usług kluczowych: energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej.

Taki operator w ciągu 24 godzin od momentu wykrycia i skwalifikowania incydentu musi go zgłosić do właściwego CSIRT , tj. CSIRT MON, CSIRT NASK lub CSIRT GOV, które są odpowiedzialne za przeciwdziałanie zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także koordynację obsługi poważnych, istotnych i krytycznych incydentów.

Jak się jednak okazuje każdy z tych CSIRT-ów opracował jednak oddzielnie procedurę zgłaszania takich incydentów i w przypadku CSIRT MON, aby to zrobić – zaatakowany przez hakerów operator musi wydrukować specjalny druk pdf., wypełnić go i przesłać go potem mailem na podany adres używając przy tym szyfrowania przesyłek. CSIRT GOV daje już natomiast szansę wypełnić plik .pdf na komputerze.

Jedynie CSIRT NASK przygotował formularz online na stronie https://incydent.cert.pl, który krok po kroku podpowiada jakie informacje zawrzeć w zgłoszeniu.

W ocenie Audytora sposób, w jaki CSIRT MON i CSIRT GOV żądają zgłaszania incydentów od operatorów usług kluczowych, którzy w tym czasie – co całkiem prawdopodobne – mogą się zmagać ze skutkami cyberataku,  nie jest dobrym rozwiązaniem.