31 maja premier Mateusz Morawiecki przedłużył okres obowiązywania drugiego stopnia alarmowego (BRAVO) i trzeciego stopnia alarmowego CRP (CHARLIE–CRP) na terytorium Polski oraz drugiego stopnia alarmowego (BRAVO) wobec polskiej infrastruktury energetycznej, znajdującej się poza granicami państwa – podało Rządowe Centrum Bezpieczeństwa. Stopnie obowiązują do 31 sierpnia, do godz. 23:59. Niedługo później, 13 czerwca, minister cyfryzacji Janusz Cieszyński podał informację o ataku DDoS na platformę ePUAP, służącą do załatwiania spraw urzędowych. Cyberatak nie sparaliżował jej całkowicie, ale doprowadził do utrudnień w świadczeniu usług.
Warto się dozbroić i doszkolić
Stopień CHARLIE-CRP zobowiązuje pracowników administracji IT do przeglądu zasobów w przypadku obrony i wdrożenia planów ciągłości po wystąpieniu ataku. Oprócz tego obowiązują ich także zadania z dwóch poprzednich stopni (ALFA i BRAVO-CRP), wśród których znajduje się m.in. monitoring systemów, procedur i zadań, zwiększona czujność i dyspozycyjność personelu, a także całodobowe dyżury administratorów systemów kluczowych. Warto także dodać, że w dalszej perspektywie wzmocnieniu cyberbezpieczeństwa w Polsce służyć będą przepisy, które są już implikowane do krajowego prawodawstwa z unijnej dyrektywy NIS 2. Wśród podmiotów, których będą one dotyczyć, znajdują się także duże organizacje komercyjne z rozmaitych obszarów biznesu. Jednak o wzmocnienie bezpieczeństwa IT powinny zadbać również mniejsze firmy.
Stopnie alarmowe i niedawne incydenty
Stopień BRAVO dotyczy zagrożenia terroryzmem. To drugi w czterostopniowej skali, stopień alarmowy. Wprowadza się go, jeśli istnieje zwiększone i przewidywalne zagrożenie zdarzeniem o charakterze terrorystycznym. MSWiA podkreśla, że stopień ma charakter prewencyjny i ma związek z aktualną sytuacją geopolityczną w regionie, czyli ataki hybrydowe prowadzone przez Rosję i Białoruś, wymierzone także w Polskę i inne kraje UE. Z kolei CHARLIE-CRP dotyczy cyberzagrożeń. Trzeci z czterostopniowej skali oznacza wysoki poziom zagrożenia w cyberprzestrzeni. Stopień alarmowy CHARLIE-CRP zobowiązuje instytucje publiczne do zachowania szczególnej czujności oraz intensywniejszego niż dotychczas monitorowania bezpieczeństwa systemów IT. Po raz pierwszy został wprowadzony 21 lutego 2022 roku i był już przedłużany. Przez ten czas odnotowano przynajmniej kilka incydentów – ich ofiarami były instytucje państwowe. Wśród nich warto wymienić ataki DDoS na serwery Senatu RP (27 października 2022 roku), ransomware na Centrum Zdrowia Matki Polki w Łodzi (3 listopada 2022 r.) oraz DDoS na Platformę eZamówienia (7 listopada 2022 roku). Z kolei w 2023 roku, na początku lutego, doszło do ataku credential stuffing na Profil Zaufany, a teraz hakerzy znów zaatakowali i tym razem ofiarą padł ePUAP. W tym roku podobne incydenty odnotowały także firmy, o czym informowano również w kontekście ataków na instytucje publiczne. Szczęśliwie, każde z tych zdarzeń nie wywołało poważniejszych skutków poza czasowym paraliżem, choć zagrożenie zazwyczaj było wysokie.