CROPT – NASK i Polska Policja przeciwko cyberprzestępcom

Skuteczna walka z cyberprzestępcami to właściwe reagowanie na ataki – ten obszar wymaga umiejętności technicznych, wiedzy o odzyskiwaniu danych i zabezpieczaniu cyfrowych śladów. Ale to nie wszystko. Kluczowe jest także zgłaszanie ataków do uprawnionych organów, bo to pozwala zatrzymać nielegalne działania. Dlatego CBZC (Centralne Biuro Zwalczania Cyberprzestępczości) i NASK łączą siły.  

Na początku był pomysł, jak usprawnić walkę z cyberprzestępczością, a teraz czas na jego realizację i stworzenie wspólnego systemu do wsparcia analizy incydentów i wymiany wiedzy o nich. Nie tylko usprawni to proces reagowania na zagrożenia, ale także spowoduje, że samo ich wyjaśnianie będzie dużo bardziej wygodne, zarówno dla służb jak i poszkodowanych podmiotów. 

Każdy atak cyberprzestępców wymaga wnikliwej analizy incydentu. Ustalenie każdego nawet najmniejszego szczegółu może pomóc w ustaleniu sprawców. Jednocześnie potrzeba też koordynowanych działań podczas wyjaśniania okoliczności ataku, by sprawnie przywrócić dostępność systemów informatycznych zaatakowanego podmiotu. 

Połączenie możliwości operacyjnych Policji i doświadczenia działającego w ramach NASK zespołu CERT Polska zaowocuje ewolucyjnymi zmianami, w tym utworzeniem dedykowanego systemu teleinformatycznego, który usprawni komunikację pomiędzy CSIRT NASK, Policją i podmiotami dotkniętymi incydentem. 

– To praca na ulotnych danych, dlatego konieczna jest szybka i precyzyjna reakcja. Analitycy CSIRT i funkcjonariusze organów ścigania muszą ściśle współpracować w oparciu o precyzyjne i skuteczne wytyczne – tłumaczy Sebastian Kondraszuk, kierownik Zespołu Rozwoju Współpracy Krajowej i Międzynarodowej w CERT Polska.  

Właśnie dlatego NASK stworzy specjalny system do wsparcia obsługi najbardziej złożonych incydentów. Wyspecjalizowane biuro Policji do walki z cyberprzestępczością będzie jednym z jego głównych beneficjentów. Obie instytucje dołożą wszelkich starań, żeby zaatakowane podmioty rozumiały i widziały korzyści wynikające ze współpracy podczas prowadzenia analizy.  

Po co CROPT? 

Postępująca cyfryzacja to proces nieuchronny, ale digitalizacja usług ma też swoje konsekwencje. Awarie, prace serwisowe lub cyberataki dają dziś poważne skutki społeczne i ekonomiczne.  

Tylko w ubiegłym roku zespół CERT Polska odnotował ponad 100 tysięcy incydentów. Wśród nich były te najbardziej zaawansowane i najbardziej groźne dla firm i instytucji. Chodzi o ataki ransomware. Są one przeprowadzane przez wyspecjalizowane grupy przestępcze, które są nastawione na często wielomilionowe okupy za odzyskanie danych lub zaniechanie ich publikacji w sieci.  

Jeżeli weźmiemy pod uwagę tylko podmioty publiczne, to latach 2022-2024 raportowały one do CSIRT NASK ataki ransomware na swoje środowiska przetwarzania danych blisko 100 razy. Takie zdarzenia stanowią dziś globalny trend, który będzie się tylko nasilał, dlatego to tak ważne, by chronić państwo i obywateli przed takimi atakami.  

Wspólne działania NASK i Polskiej Policji są w tym obszarze podejmowane już od 2018 roku. I choć działania operacyjne przynoszą dobre efekty, to wciąż brakuje specjalistycznych narzędzi ułatwiających analizę tego typu incydentów. Niestety przekłada się to na niepełny obraz danych i wydłużony czas reakcji. Szereg działań usprawniających tę współpracę przewidziano w ramach projektu CROPT.  

Czym jest CROPT? 

CROPT zakłada modernizację zespołów Policji, które będą wspierać zaatakowane podmioty krajowego systemu cyberbezpieczeństwa w obsłudze incydentów i odzyskiwaniu danych. Zespoły te będą składać się z przedstawicieli Policji oraz funkcjonariuszy Centralnego Biura Zwalczania Cyberprzestępczości, a współpracować z nimi będą właśnie przedstawiciele CSIRT NASK oraz Prokuratury.  

Wśród działań projektowych, oprócz stworzenia systemu teleinformatycznego, znalazł się także zakup sprzętu i oprogramowania dla potrzeb prowadzenia działań operacyjnych. To także przeprowadzenie szkoleń specjalistycznych podnoszących kompetencje jednostek realizujących projekt. Jak podkreślają eksperci NASK sukcesem będzie zmiana sposobu myślenia i schematów postępowania. Podmioty krajowego systemu cyberbezpieczeństwa muszą mieć świadomość, że właściwa obsługa incydentu obejmuje nie tylko analizę sytuacji, ale to także proces przywrócenia zakłóconej usługi i otwartą postawę wobec działań prowadzonych przez krajowy system ścigania sprawców.  

Fundusze unijne dla cyberbezpieczeństwa 

Projekt jest realizowany przez NASK-PIB we współpracy z Komendą Główną Policji i finansowany z Krajowego Planu Odbudowy. NASK-PIB otrzyma na ten cel blisko 37,5 mln PLN. Zakończenie przedsięwzięcia przewidziane jest na czerwiec 2026 roku.