Co stopnie alarmowe CRP mają wspólnego z wodą w kranie i prądem w gniazdku?

Fot. Żródło: Adobe Stock

Pojęcie działań hybrydowych na stałe zagościło w słownikach specjalistów od bezpieczeństwa, pojawia się w publicystyce i w monografiach pokonferencyjnych. W dyskursie publicznym funkcjonuje zdecydowanie za rzadko. Szkoda, bo może gdyby częściej mówiło się o cyberatakach jako elemencie działań hybrydowych i bezpieczeństwie teleinformatycznym pojęcie stopni alarmowych CRP nie wywoływałoby zdziwienia i pytających spojrzeń.

Działania hybrydowe sytuują się poniżej progu konfliktu zbrojnego, podejmują je państwa i podmioty niepaństwowe. Ich celem jest zdestabilizowanie obiektu ataku poprzez wykorzystanie środków jawnych i niejawnych, militarnych i pozamilitarnych. Działania hybrydowe mają na celu erozję zaufania do państwa i jego instytucji, do społeczeństwa obywatelskiego i systemu demokratycznego, a przede wszystkim mają powodować chaos i destabilizację. Działania hybrydowe najczęściej są kombinacją dezinformacji, cyberataków na IK i sabotowania działań tych systemów, ponadto, presji ekonomicznej oraz użycia nieregularnych formacji zbrojnych. Bazują na lękach i niepokojach społecznych oraz słabości struktur państwa i gospodarki. Pozwalają osłabić państwo, skłócić społeczeństwo, doprowadzić do strat wizerunkowych na arenie międzynarodowej. Prowadzenie wojny hybrydowej odbywa się bez formalnego jej wypowiedzenia, po cichu i niedostrzegalnie. Wszak o to w tym chodzi, żeby atakowany podmiot nie wiedział od razu, że jest atakowany, że nagromadzenie problemów, niskie morale i awarie w kluczowych zakładach przemysłowych to zbieg okoliczności, dowód na to, że nieszczęścia chodzą stadami, a nie jakieś zmasowane, planowane i realizowane latami działanie. Wojna hybrydowa jest tańsza niż konwencjonalna, a działania hybrydowe potrafią zadać straty równie dotkliwe jak ostrzał artyleryjski. Nie trzeba jej też formalnie wypowiadać, a skoro działań oficjalnie nie ma, to nie dosięgnie sprawców żaden międzynarodowy trybunał. Dlatego do ataku przyznają się „grupy hakerów”, dezinformacje rozprzestrzeniają bezimienne trolle, a zielone ludziki noszą mundury, które można kupić w każdym sklepie z mundurami.

Ataki na infrastrukturę krytyczną (IK) idealnie wpisują się w działania hybrydowe, ponieważ zakłócenia w funkcjonowaniu IK mogą powodować poważne skutki i prowadzić do start materialnych, ale mogą też wywołać tzw. efekty miękkie – strach, poczucie zagrożenia, brak zaufania do instytucji itp. Ustawa o zarządzaniu kryzysowym definiuje, że infrastruktura krytyczna (IK) to „systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania administracji publicznej, a także instytucji i przedsiębiorców”. W skład IK wchodzą systemy zaopatrzenia w energię, surowce energetyczne i paliwa, systemy łączności, sieci teleinformatycznych, systemy finansowe, zaopatrzenia w żywność, zaopatrzenia w wodę, ochrony zdrowia, transportowe, ratownicze, zapewniające ciągłość działania administracji publicznej, a także produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych. Podsumowując, bez pewnych kluczowych zakładów i przedsiębiorstw funkcjonowanie nowoczesnego społeczeństwa i jego instytucji byłoby po prostu niemożliwe, bo infrastruktura krytyczna jest niezbędna do prawidłowego funkcjonowania społeczeństwa i instytucji państwowych. Niestety, jest podatna na awarie, różne formy sabotażu, a także katastrofy naturalne. Ponadto, jest system naczyń połączonych – awaria jednego elementu powoduje zakłócenia w działaniu innych. To powoduje konieczność wieloaspektowej ochrony takich obiektów, w której w przypadku RP uczestniczą z jednej strony operatorzy IK, z drugiej – ministrowie odpowiedzialni za systemy infrastruktury krytycznej, Rada Ministrów, wojewodowie, służby specjalne (przede wszystkim Agencja Bezpieczeństwa Wewnętrznego) oraz starostowie, wójtowie, burmistrzowie i prezydenci miast. Najważniejsza rola przypada Rządowemu Centrum Bezpieczeństwa.

Przeczytaj także: Pracownik ochrony – zawód wysokich kompetencji i nowoczesnych technologii >>

Postęp technologiczny, globalizacji i postępująca informatyzacja procesów przemysłowych spowodowały, że wiele procesów produkcyjnych odbywa się dzięki systemom sterowania przemysłowego typu SCADA, co, jak wszystko, ma złe i dobre strony. Najczęściej podkreśla się, że daje szerokie pole do popisu hakerom, którzy poczynają sobie coraz śmielej. Wyłączają elektrownie, majstrują przy wodociągach, czy blokują działanie naftociągu. W bagnistych okolicach Internetu pojawiają się wyspecjalizowane grupy, działające jak firmy, oferujące autorskie oprogramowanie do przeprowadzania różnych typów cyberataków. Są jak zły brat bliźniak start-upów z Doliny Krzemowej. Ktoś wymyśla fajsbuka, a ktoś inny tworzy grupę hakerów do wynajęcia. „Jesteśmy apolityczni, nie bierzemy udziału w geopolityce, nie ma potrzeby wiązać nas z określonym rządem i szukać motywów” – czytamy w oświadczeniu zamieszczonym przez grupę DarkSide w Darknecie. „Naszym celem jest zarabianie pieniędzy, a nie stwarzanie problemów społeczeństwu. Od dziś wprowadzamy moderację i sprawdzamy każdą firmę, którą nasi partnerzy chcą zaatakować, aby uniknąć konsekwencji społecznych w przyszłości”. DarkSide utrzymuje również, że przekaże część swoich zysków na cele charytatywne, chociaż niektóre organizacje charytatywne odrzuciły datki. „Bez względu na to, jak zła jest według Ciebie nasza praca, cieszymy się, że pomogliśmy zmienić czyjeś życie” – napisali hakerzy. „Dzisiaj wysłaliśmy pierwsze darowizny” [sic!]. Nowe wcielenie Robina Hooda to grupa, najprawdopodobniej o rosyjskim rodowodzie, odpowiedzialna za cyberatak, który doprowadził do wyłączenia naftociągu Colonial w USA. W maju 2021 r. w 19 stanach wprowadzono stan wyjątkowy, ponieważ naftociąg zaopatrujący prawie cale wschodnie wybrzeże USA stanął na 5 dni. Ceny paliwa skoczyły w górę, przy stacjach benzynowych utworzyły się gigantyczne kolejki, dochodziło do rękoczynów przy dystrybutorach, a Komisja ds. Bezpieczeństwa Produktów Konsumenckich wystosowała apel, by nie tankować paliwa do plastikowych reklamówek. W Internecie można jeszcze znaleźć filmy pokazujące, że nie wszyscy się zastosowali.

Cyberataki, zwłaszcza na infrastrukturę krytyczną, stały się więc elementem wojny hybrydowej oraz skutecznym narzędziem realizowania celów politycznych. Hasła takie jak: Stuxnet, BlackEnergy, Industroyer, WannaCry, czy NotPetya na trwale zapisały się nie tylko w raportach dotyczących cyberbezpieczeństwa, ale przypominają dobitnie, że można zniszczyć ważny element infrastruktury jakiegoś kraju nie atakując go fizycznie. Ponadto, warto podkreślić, że inwazję zbrojną na Ukrainę poprzedziły lata zintensyfikowanych działań hybrydowych sytuujących się poniżej progu wojny konwencjonalnej, ale służących osłabieniu państwa, dezorganizacji społeczeństwa, spadku zaufania do władz, czy pogorszenia jakości usług publicznych. Jedną z najczęściej stosowanych form były właśnie cyberataki na infrastrukturę krytyczną, w przypadku Ukrainy – przede wszystkim sektor energetyczny, który zresztą najczęściej pada ofiarą cyberataków.

Można zapytać, co z tego dla nas wynika oraz jak poważna jest sytuacja? Wraz z zaostrzeniem sytuacji na wschodzie, na terytorium RP wprowadzono 21 lutego 2022 r. trzeci (CHARLIE-CRP) w czterostopniowej skali poziom zagrożenia CRP i jest on systematycznie przedłużany.

Stopnie alarmowe wprowadza, zmienia i odwołuje, w drodze zarządzenia, w zależności od rodzaju zagrożenia zdarzeniem o charakterze terrorystycznym, Prezes Rady Ministrów, po zasięgnięciu opinii ministra właściwego do spraw wewnętrznych i Szefa ABW, a w przypadkach niecierpiących zwłoki – minister właściwy do spraw wewnętrznych, po zasięgnięciu opinii Szefa ABW, informując o tym niezwłocznie Prezesa Rady Ministrów.

W przypadku zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym dotyczącego systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej albo w przypadku wystąpienia takiego zdarzenia można wprowadzić jeden z czterech stopni alarmowych CRP:

1) pierwszy stopień alarmowy CRP (stopień ALFA–CRP);

2) drugi stopień alarmowy CRP (stopień BRAVO–CRP);

3) trzeci stopień alarmowy CRP (stopień CHARLIE–CRP);

4) czwarty stopień alarmowy CRP (stopień DELTA–CRP)

Pierwszy stopień CRP można wprowadzić w przypadku uzyskania informacji o możliwości wystąpienia zdarzenia o charakterze terrorystycznym, którego rodzaj i zakres jest trudny do przewidzenia.

Drugi stopień CRP można wprowadzić w przypadku zaistnienia zwiększonego i przewidywalnego zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym, jednak konkretny cel ataku nie został zidentyfikowany. Trzeci stopień CRP można wprowadzić w przypadku:

1) wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym, godzącego w: a) bezpieczeństwo lub porządek publiczny albo b) bezpieczeństwo Rzeczypospolitej Polskiej, albo c) bezpieczeństwo innego państwa lub organizacji międzynarodowej oraz stwarzającego potencjalne zagrożenie dla Rzeczypospolitej Polskiej lub

2) uzyskania wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym na terytorium Rzeczypospolitej Polskiej, lub

3) uzyskania wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym, którego skutki mogą dotyczyć obywateli polskich przebywających za granicą lub instytucji polskich albo polskiej infrastruktury mieszczących się poza granicami Rzeczypospolitej Polskiej

Czwarty stopień CRP można wprowadzić w przypadku:

1) wystąpienia zdarzenia o charakterze terrorystycznym powodującego zagrożenie: a) bezpieczeństwa lub porządku publicznego albo b) bezpieczeństwa Rzeczypospolitej Polskiej, albo c) bezpieczeństwa innego państwa lub organizacji międzynarodowej oraz stwarzającego zagrożenie dla Rzeczypospolitej Polskiej, lub

2) gdy uzyskane informacje wskazują na zaawansowaną fazę przygotowań do zdarzenia o charakterze terrorystycznym na terytorium Rzeczypospolitej Polskiej, lub

3) gdy uzyskane informacje wskazują na zaawansowaną fazę przygotowań do zdarzenia o charakterze terrorystycznym, które ma być wymierzone w obywateli polskich przebywających za granicą lub w instytucje polskie albo polską infrastrukturę mieszczące się poza granicami Rzeczypospolitej Polskiej, a zebrane informacje wskazują jednocześnie na nieuchronność takiego zdarzenia.

W przypadku wprowadzenia stopnia alarmowego CRP organy administracji publicznej oraz kierownicy służb i instytucji właściwych w sprawach bezpieczeństwa i zarządzania kryzysowego, na podstawie art. 16 ust. 1 pkt 4 ustawy, wykonują przedsięwzięcia, w ramach poszczególnych stopni alarmowych, we współpracy z właścicielami, posiadaczami samoistnymi i posiadaczami zależnymi obiektów infrastruktury krytycznej w zakresie ochrony tych obiektów. Organy administracji publicznej oraz kierownicy służb i instytucji właściwych w sprawach bezpieczeństwa i zarządzania kryzysowego określają procedury realizacji przedsięwzięć w ramach poszczególnych stopni alarmowych CRP, w tym moduły zadaniowe dla każdego stopnia, zawierające w szczególności wykaz zadań do wykonania.

Działanie wielu kluczowych przedsiębiorstw opiera się na systemach teleinformatycznych, które są zagrożone różnymi formami cyberataków. Bez trudu można sobie wyobrazić, jaki chaos by nastał w Krakowie czy Warszawie, gdy ktoś się włamał do systemów sterujących procesami technologicznymi w zakładach uzdatniania wody albo w przepompowni ścieków i uniemożliwił ich sprawne działanie. Co by było, gdyby metropolia została pozbawiona wody? Dlatego przewiduje się stopnie alarmowe CRP, które nakładają na administrację publiczną oraz operatorów IK obowiązki, które mają na celu wzmocnić ochronę kluczowych podmiotów, żeby zminimalizować ryzyko jakieś ingerencji w systemy teleinformatyczne.

Zadania organów państwa związane z wprowadzeniem stopni alarmowych CRP zostały określone w rozporządzeniu Prezesa Rady Ministrów z 25 lipca 2016 r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP. Do zadań tych należą m.in.: całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa tych systemów; przegląd zasobów pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku; przygotowanie się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym szybkiego i bezawaryjnego zamknięcia serwerów.

Pytanie, które bardzo często przewija się w internetowych dyskusjach, dotyczy tego, co tzw. zwykły obywatel może albo powinien zrobić w związku z obowiązywaniem stopnia CHARLIE-CRP? Najprostsza odpowiedź brzmi: żyć jak dotychczas, ale także wykazać się ostrożnością w przypadku podejrzanej korespondencji elektronicznej, nietypowych załączników czy SMS-ów sugerujących konieczność kliknięcia w link bądź potwierdzenia hasła do konta. To dobry czas na edukowanie społeczeństwa w zakresie cyberbezpieczeństwa i przeciwdziałania dezinformacji, zwłaszcza tej dotyczącej infrastruktury krytycznej i jej bezpieczeństwa, zwłaszcza że praktyka pokazuje, iż najsłabszym elementem każdego systemu jest człowiek. Warto kojarzyć stopnie alarmowe z czujnością, a nie z niebezpieczeństwem. Paradoksalnie, wprowadza się je po to, żeby było bezpieczniej. I może to jest dobry moment, by zmienić hasło123 na jakieś mocniejsze. Tak na wszelki wypadek…