System S46

Jednym z podstawowych obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa jest zgłaszanie incydentów do Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli do zespołów CSIRT.

• Operatorzy usług kluczowych zgłaszają incydenty poważne do właściwego zespołu CSIRT poziomu krajowego, a jeżeli taki istnieje, to również do sektorowego zespołu cyberbezpieczeństwa (CSIRT sektorowy). Więcej informacji tutaj.
• Dostawcy usług cyfrowych zgłaszają incydenty istotne do właściwego zespołu CSIRT poziomu krajowego. Więcej informacji tutaj.
• Podmioty publiczne realizujące zadania publiczne zależne od systemu informacyjnego zgłaszają incydenty w podmiocie publicznym do właściwego zespołu CSIRT poziomu krajowego. Więcej informacji tutaj.

Faktycznie do zespołów CSIRT możesz zgłaszać również inne incydenty niż te kwalifikowane jako poważne, istotne lub incydenty w podmiocie publicznym. Jeżeli jesteś użytkownikiem Systemu S46, możesz zgłaszać incydenty za jego pomocą. Ponieważ nie jest to w tej chwili kanał obowiązkowy, możesz nadal korzystać z innych kanałów udostępnianych przez zespoły CSIRT.

W menu bocznym Systemu S46 wybierz zakładkę Incydenty, a następnie Lista incydentów. Jeżeli wcześniej twój podmiot zgłaszał incydenty za pomocą systemu, to na głównym ekranie wyświetli się lista zgłoszeń. System S46 nie zawiera zgłoszeń dokonanych przez podmiot innymi kanałami kontaktu z zespołami CSIRT.

Listę tę możesz filtrować, grupować, eksportować do pliku JSON. Możesz również zdefiniować widoczne kolumny zawierające metadane zgłoszeń. Jedną z ważnych metadanych jest Status, który może znajdować się w stanach:

• Nowy – wypełniony formularz zgłoszenia, widoczny tylko dla podmiotu, możliwy do dalszej edycji przed zgłoszeniem do zespołu CSIRT. Na tym etapie formularz zgłoszenia można jeszcze usunąć z listy.
• Zgłoszony – zgłoszenie zostało przekazane do zespołu CSIRT.
• Obsługiwany – zgłoszenie zostało przyjęte do obsługi przez zespół CSIRT.
• Odrzucony – zgłoszenie zostało odrzucone przez zespół CSIRT. W sekcji Wiadomości w szczegółach zgłoszenia zobaczysz komentarz do odrzucenia. Odrzucenie zgłoszenia oznacza, że zespół CSIRT nie będzie się nim zajmował np. ze względu na zgłoszenie zdarzenia nie stanowiącego incydentu cyberbezpieczeństwa.
• Niekompletny – zgłoszenie zostało ci odesłane przez zespół CSIRT w celu uzupełnienia informacji. W sekcji Wiadomości zobaczysz treść żądania. Uzupełnij informacje w formularzu zgłoszenia, zgodnie z dyspozycją zespołu CSIRT. Następnie zapisz i ponownie wyślij uzupełnione zgłoszenie.
• Rozwiązany – obsługa zgłoszenia została zamknięta po stronie zespołu CSIRT.

Formularz zgłoszenia możesz edytować w statusach Nowy, Zgłoszony, Obsługiwany lub Niekompletny. Pozwala ci to na uzupełnienie informacji, zarówno przed, jak i po zgłoszeniu incydentu do zespołu CSIRT. W statusie Nowy po prostu edytuj formularz, a następnie kliknij przycisk Zapisz. W statusach Zgłoszony, Obsługiwany i Niekompletny użyj najpierw przycisku Uzupełnij dane a następnie Wyślij uzupełnione.

Jeżeli na liście incydentów znajdują się już wcześniejsze zgłoszenia, to ich szczegóły możesz zobaczyć klikając w Tytuł zgłoszenia.

Na ekranie widoczne są sekcje:

• Dane podstawowe – pola wypełniane w formularzu zgłoszenia np. kluczowe daty, klasyfikacja incydentu.
• Dane kontaktowe – dane osoby, która dokonała zgłoszenia, oraz osoby wskazanej zespołowi CSIRT do kontaktu.
• Opis – pola wypełniane w formularzu opisujące przedmiot zgłoszenia.
• Historia obsługi – zapis kolejnych czynności wykonywanych na zgłoszeniu przez ciebie lub pracownika zespołu CSIRT.
• Załączniki – zbiór załączników do formularza.
• Wiadomości – zapis komunikacji pomiędzy tobą i zespołem CSIRT w kontekście zgłoszenia.
• Dokumenty.
• Metadane – m.in. ID zgłoszenia, Status.
• Relacje z innymi obiektami.
• Odnośniki.
• Historia zmian formularza.

W górnej części ekranu po prawej stronie mogą znajdować się przyciski akcji np. Usuń, Zapisz, Uzupełnij dane lub Wyślij uzupełnione (dostosowane do statusu w jakim znajduje się zgłoszenie). Znajduje się tam również przycisk Eksportuj, przy pomocy którego możesz zapisać szczegóły zgłoszenia incydentu w pliku DOCX. Z kolei przycisk +Napisz wiadomość służy jako kanał komunikacji z zespołem CSIRT w kontekście zgłoszenia. We wszystkich statusach po zgłoszeniu incydentu, czyli z wyłączeniem statusu Nowy, możesz wymieniać się wiadomościami z zespołem CSIRT.

W widoku prezentującym listę incydentów naciśnij przycisk Zgłoś incydent znajdujący się u góry ekranu po prawej stronie. Otworzy się pusty formularz zgłoszenia incydentu, który wypełnij informacjami.

Zakres informacji podawanych w formularzu odpowiada wymaganiom dla zgłoszenia incydentu poważnego określonym w ustawie o krajowym systemie cyberbezpieczeństwa. Część pól oznaczona gwiazdką jest obowiązkowa.

1. W polu „Podmiot zgłaszający” znajduje się nazwa podmiotu w którego przestrzeni jesteś zalogowany.
2. Wybierz Klasyfikację incydentu z opcji Poważny, Istotny, Zwykły. Jeżeli wybierasz opcję Poważny, będziesz musiał w późniejszych krokach wskazać w formularzu usługę, której dotyczy incydent. Incydenty poważne są zgłaszane wyłącznie przez podmioty posiadające status operatora usług kluczowych, a incydent kwalifikuje się jako poważny po spełnieniu ustalonych progów istotności. Incydenty istotne są z kolei zgłaszane wyłącznie przez podmioty posiadające status dostawców usług cyfrowych, po spełnieniu ustalonych progów istotności. W każdym innym przypadku w klasyfikacji incydentu powinna być wybrana opcja Zwykły.
3. Określ priorytet jako Niski, Normalny lub Wysoki według własnej oceny.
4. Wybierz rodzaj incydentu w polu Taksonomia.
5. Wskaż datę wystąpienia incydentu i datę jego wykrycia.
6. Jeżeli w momencie dokonywania zgłoszenia obsługa incydentu po stronie podmiotu została zakończona, wskaż datę zakończenia. Jeżeli obsługa jest w trakcie, pozostaw pole "Data zakończenia" do późniejszego uzupełnienia.
7. Wskaż osobę kontaktową dla zespołu CSIRT, z którą będzie można komunikować się w sprawie zgłaszanego incydentu. Na rozwijanej liście znajdziesz użytkowników posiadających konta w Systemie S46, ale możesz tam też podać dane innej osoby.
8. Wprowadź "Tytuł" jako własny krótki opis incydentu.
9. Uzupełnij informacje o obszarze działalności twojego podmiotu, na który wpływ ma incydent. W formularzu jest wyświetlona informacja o działalności podmiotu w zakresie sektora, podsektora i rodzaju podmiotu. Informacja ta pochodzi z konfiguracji przestrzeni podmiotu. Wykorzystywana jest w tym miejscu klasyfikacja z projektowanej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, wdrażającej Dyrektywę NIS2. W przypadku zgłoszenia incydentu poważnego musisz, a w każdym innym przypadku możesz, zaznaczyć rodzaj działalności, którego dotyczy zgłaszany incydent. Po wybraniu rodzaju działalności, kliknij w pole + Dodaj usługę oraz opis wpływu. W wyświetlonym formularzu wprowadź informacje o usłudze i opisie wpływu incydentu na nią. Możesz wybrać usługę z predefiniowanego katalogu (rozwiń pole wyboru) lub wpisać własną nazwę usługi nie ujętą w katalogu. Po wprowadzeniu informacji zamknij okienko przyciskiem Dodaj. W ten sposób możesz wprowadzić kilka odnośników do różnych usług, za każdym razem wybierając + Dodaj usługę oraz opis wpływu. Każdy wpis o usłudze możesz w późniejszym czasie edytować lub usunąć.
10. Podaj informację, czy incydent został wywołany działaniem bezprawnym lub działaniem w złej wierze? Wybierz z listy rozwijanej odpowiedź "Tak" lub "Nie".
11. Podaj informację, czy incydent dotyczy innych państw członkowskich Unii Europejskiej? Jeżeli tak, zaznacz checkbox „Transgraniczny” i wprowadzadź informację o tych państwach.
12. Podaj liczbę użytkowników usług/usługi, na które incydent miał wpływ.
13. W formularzu zgłoszenia możesz określić obszar geograficzny, na który oddziałuje incydent. Oddziaływanie to odnosi się do obszaru, na którym niedostępne lub zakłócone zostały usługi świadczone przez twój podmiot. Aby dodać tę informację kliknij pole + Dodaj obszar geograficzny lub miejsce, a następnie wypełnij wyświetlony formularz.
14. Uzupełnij wymienione dalej pola opisowe. Jeżeli w momencie dokonywania zgłoszenia nie posiadasz pełnych informacji w powyższym zakresie, napisz, że uzupełnisz te informacje później. W każdym polu opisowym, korzystając z opcji edytora możesz dołączyć plik z dodatkowymi informacjami np. zrzuty z ekranu lub logi. Możesz też dodać takie pliki w zakładce „Załączniki” u góry formularza.

• Wpływ incydentu poważnego/krytycznego na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawców usług cyfrowych (pole wyświetla się tylko po wybraniu w klasyfikacji incydentu poważnego)
• Skutki oddziaływania incydentu na systemy informacyjne lub świadczone usługi
• Opis przebiegu incydentu
• Przyczyna zaistnienia incydentu
• Podjęte działania naprawcze
• Podjęte działania zapobiegawcze
• Inne istotne informacje

15. Podaj szacowany czas do usunięcia skutku incydentu zakłócającego działanie usługi.
16. Podaj informację czy poinformowałeś swoich użytkowników o incydencie poważnym, jeżeli ma on niekorzystny wpływ na świadczenie usług? (pole wyświetla się tylko po wybraniu w klasyfikacji incydentu poważnego)
17. Po wypełnieniu formularza u góry ekranu po prawej stronie kliknij przycisk Zapisz. Przycisk jest aktywny pod warunkiem wypełnienia wszystkich wymaganych pól oznaczonych gwiazdką. Formularz będzie już widoczny dla użytkowników w twoim podmiocie. Na tym etapie możesz jeszcze usunąć formularz.
18. Jeżeli jesteś zdecydowany wysłać zgłoszenie do zespołu CSIRT, kliknij przycisk Wyślij zgłoszenie. Otworzy się okienko adresatów. Domyślnie jako adresat jest wybrany zespół CSIRT poziomu krajowego (CSIRT NASK, CSIRT GOV lub CSIRT MON), który został przypisany do twojego podmiotu na etapie konfiguracji przestrzeni. Dodatkowo możesz wybrać z listy innych adresatów, którym chcesz lub powinieneś wysłać zgłoszenie incydentu. W szczególności może to być sektorowy zespół CSIRT. Na koniec kliknij przycisk Wyślij. Incydent zmienił status na Zgłoszony i jest już widoczny dla adresatów.

W trakcie obsługi zgłoszenia incydentu możesz komunikować się z zespołem CSIRT przy użyciu funkcji +Napisz wiadomość. Jeżeli zespół CSIRT przyśle ci wiadomość, odrzuci lub zwróci do uzupełnienia zgłoszenie, otrzymasz o tym systemowe powiadomienie. Zapis komunikacji znajdziesz w sekcji Wiadomości w widoku szczegółów incydentu.

Po zgłoszeniu incydentu możesz uzupełniać zawarte w nim informacje korzystając z przycisku Uzupełnij dane. Adresaci zgłoszenia zostaną poinformowani o takim uzupełnieniu.