CHARLIE-CRP – trzeci stopień alarmowy. Co to znaczy?

21 lutego po raz pierwszy w historii Polski wprowadzono stopień alarmowy CHARLIE-CRP. Co to znaczy dla zwykłego obywatela? Sprawdź, jakie rekomendacje w związku z tym przygotowała dla obywateli i firm CERT Polska.

Jakie mamy stopnie alarmowe

W Polsce mamy 4 możliwe stopnie alarmowe:

• ALFA-CRP,
• BRAVO-CRP,
• CHARLIE-CRP
• DELTA-CRP.

Wprowadza je premier, kiedy zachodzi ryzyko cyberataków na kluczową dla bezpieczeństwa naszego Państwa infrastrukturę, np. na banki, elektrownie czy firmy telekomunikacyjne.Wprowadzenie alarmu CHARLIE-CRP jest istotne dla pracowników niektórych instytucji administracji publicznej i firm odpowiedzialnych za kluczową z punktu widzenia państwa infrastrukturę. Z chwilą jego wprowadzenia muszą m.in. pracować w trybie całodobowym, zweryfikować procedury awaryjne i przygotować serwery na wypadek konieczności natychmiastowego wyłączenia. Zakres przedsięwzięć wymaganych w poszczególnych stopniach alarmowych precyzuje rozporządzenie Prezesa Rady Ministrów z 25 lipca 2016 r.

CERT Polska w związku z ogłoszeniem stopnia alarmowego CHARLIE-CRP przygotowało rekomendacje dla obywateli i firm, których wdrożenie uważa za konieczne.

Rekomendacje CERT Polska dla obywateli w związku z CHARLIE-CRP

• Zapoznaj się z poradnikiem dotyczącym bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych oraz zastosuj się do jego rekomendacji.
• Bądź wyczulony na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania. Weryfikuj informacje w kilku źródłach. Upewnij się, że informacja jest prawdziwa przed podaniem jej dalej w mediach społecznościowych. Jeśli masz jakieś wątpliwości, wstrzymaj się.
• Uważaj na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie. Obserwowaliśmy w przeszłości tego typu celowane ataki na prywatne konta, gdzie celem było zdobycie informacji zawodowych.
• Upewnij się, że posiadasz kopię zapasową wszystkich ważnych dla siebie plików i potrafisz je przywrócić w przypadku takiej potrzeby.
• Śledź ostrzeżenia o nowych scenariuszach ataków na naszych mediach społecznościowych: Twitter, Facebook.
• Zgłaszaj każdą podejrzaną aktywność przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084. Rekomendujemy zapisanie go w kontaktach.

Rekomendacje CERT Polska dla firm w związku z CHARLIE-CRP

Należy:

• Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.
• Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.
• Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.
• Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.
• Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.
• Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.
• Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez nas listy ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.
• Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.
• Zapoznać się z naszym poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.
• Zapoznać się z naszymi materiałami dotyczącymi bezpieczeństwa haseł.
• Zapoznać się z naszym artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.
• W przypadku posiadania własnego zakresu adresów IP zalecamy dołączenie do platformy N6. Za jej pośrednictwem udostępniamy na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez nas w podanym zakresie adresowym.
• Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.
• Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.
• Zgłosić do nas osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu będziemy w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.
• Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.:
  • CSIRT NASK
  • CSIRT GOV
  • CSIRT MON

Rekomendacje CERT Polska w związku z CHARLIE-CRP dla firm współpracujących z firmami na Ukrainie lub mających tam oddziały

Jeśli Twoja firma współpracuje z podmiotami na Ukrainie lub ma tam oddziały, dodatkowo:

• Sprawdź reguły dla dostępu sieciowego, ogranicz dozwolony ruch do minimum.
• Monitoruj ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami.
• Obejmij szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie.
• Ostrzeż pracowników, aby byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.

Powyższe rekomendacje związane z wprowadzeniem z CHARLIE-CRP opracował Zespół CERT Polska działający w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej).

Przeczytaj też:

• Dezinformacja w internecie – jak sobie z nią radzić [PODCAST]
• Rosyjskie produkty w Polsce – sprawdź, czego nie kupować, by nie wspierać Rosji
• Jakie sankcje dostała Rosja
• Atak na Ukrainę 2022 – sprawdź jak możesz pomóc [LISTA ZBIÓREK]
• Siepomaga Ukraina – zbiórka na pomoc ofiarom rosyjskiej agresji
• Wyspa Węży [Ukraina] – historia bohaterskich ukraińskich obrońców [Posłuchaj nagrania]
• Dlaczego Rosja zaatakowała Ukrainę?
• Atak Rosji na Ukrainę 2022: dzień po dniu
• Art. 4 NATO – co to jest i kiedy ma zastosowanie? [WYJAŚNIAMY]