W dniu 21 lutego 2022r. Prezes Rady Ministrów wprowadził stopień alarmowy CHARLIE-CRP. Jest to trzeci spośród czterech stopni alarmowych, które przewiduje ustawa z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U. z 2016 r. poz. 904). Jego celem jest zwiększenie poziomu ochrony infrastruktury teleinformatycznej administracji publicznej oraz infrastruktury krytycznej.
W związku z powyższym zalecamy Państwu podjęcie w swoich jednostkach stosownych działań mających na celu zminimalizowanie potencjalnych skutków wynikających z materializacji zagrożenia ataku cybernetycznego. Sugerujemy posiłkowanie się przepisami obowiązującymi jednostki administracji publicznej oraz kierowników służb i instytucji właściwych w sprawach bezpieczeństwa i zarządzania kryzysowego, określonymi w Rozporządzeniu Prezesa Rady Ministrów z dnia 25 lipca 2016 r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP (Dz.U. z 2016 r. poz. 1101):
„Po wprowadzeniu pierwszego stopnia alarmowego CRP (stopień ALFA-CRP) należy wykonać w szczególności następujące zadania:
– wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych” m.in. poprzez „zachowanie zwiększonej czujności w stosunku do stanów odbiegających od normy […]
– dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji, oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;
– sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń”
„Po wprowadzeniu drugiego stopnia alarmowego CRP (stopień BRAVO-CRP) należy wykonać […]:
– zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów”
„Po wprowadzeniu trzeciego stopnia alarmowego CRP (stopień CHARLIE-CRP) […] należy wykonać […]:
– wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów;
– dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku;
– przygotować się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym:
a) dokonać przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,
b) przygotować się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.”