Nowy rok przyniósł kolejne rozwiązania poprawiające bezpieczeństwo polskiego internetu. Jednym z nich jest Artemis – narzędzie stworzone przez zespół CERT Polska, które pomaga sprawdzać poziom zabezpieczeń stron internetowych. Weryfikacji podlegają podmioty, w przypadku których, zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, obsługa incydentów koordynowana jest przez CSIRT NASK.
Zespół CERT Polska, działający w strukturach Państwowego Instytutu Badawczego NASK, przygotował i wdrożył nowe narzędzie o nazwie Artemis. Służy ono do zautomatyzowanego badania podatności stron internetowych.
„Do zadań CERT Polska należy nie tylko monitorowanie cyberprzestrzeni i reagowanie na incydenty, dlatego z satysfakcją obserwuję rozwój narzędzi, które służą bardziej edukacji i profilaktyce. Wskazują na obszary wymagające poprawy, a tym samym zmniejszają ryzyko skutecznego ataku. Ich zastosowanie przekłada się bezpośrednio na wzrost bezpieczeństwa także u użytkowników końcowych, czyli każdego z nas” – podkreśla Adam Marczyński, Dyrektor ds. Cyberbezpieczeństwa i Innowacji w NASK.
Jak działa Artemis?
Artemis bada strony udostępnione w internecie w poszukiwaniu podatności bezpieczeństwa i błędów konfiguracyjnych. Regularne skanowanie systemów podmiotów, w przypadku których obsługa incydentów koordynowana jest przez CSIRT NASK, pozwala monitorować i podnosić ich poziom bezpieczeństwa. Ma to kluczowe znaczenie, ponieważ są to instytucje, z których – jako obywatele – korzystamy na co dzień. Uzyskane wyniki nie są w żaden sposób upubliczniane, a jedynie niezwłocznie przekazywane administratorom, dzięki czemu zyskują oni cenną wiedzę na temat wykrytych podatności i mogą wykorzystać ją w celu poprawy bezpieczeństwa systemów. Warto też dodać, że w ramach ponownych testów zespół CERT Polska sprawdza, czy zostały wdrożone niezbędne poprawki.
„Istotną cechą przygotowanego przez nas narzędzia jest to, że proces skanowania pozwala administratorom zidentyfikować obserwowane działania jako prowadzone przez CERT Polska. Pozwala to ograniczyć do minimum ewentualny stres i zagrożenia związane z pochopnym reagowaniem” – zauważa Krzysztof Zając z zespołu CERT Polska, twórca narzędzia Artemis.
Rezultaty licznych skanowań, poza podnoszeniem poziomu bezpieczeństwa danego podmiotu, pozwalają też budować szerszy obraz cyberbezpieczeństwa Polski i kierować zasoby CERT Polska tam, gdzie są one najbardziej potrzebne, np. poprzez tworzenie poradników, czy prowadzenie akcji informacyjnych i edukacyjnych.
Dlaczego potrzebny jest Artemis?
Zespół CERT Polska od wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa realizuje część zadań CSIRT NASK i jest odpowiedzialny m.in. za:
- monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym;
- przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa;
- prowadzenie zaawansowanych analiz złośliwego oprogramowania oraz analiz podatności;
- monitorowanie wskaźników zagrożeń cyberbezpieczeństwa;
- rozwijanie narzędzi i metod do wykrywania i zwalczania zagrożeń cyberbezpieczeństwa;
- prowadzenie działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa;
- tworzenie i udostępnianie narzędzi dobrowolnej współpracy i wymiany informacji o zagrożeniach cyberbezpieczeństwa i incydentach.
Artemis stanowi zatem jeszcze jeden sposób realizacji obowiązków, jakie ustawa nakłada na zespół CERT Polska, a jednocześnie daje możliwość skuteczniejszego działania na rzecz bezpieczeństwa podmiotów, które są w spektrum zainteresowania cyberprzestępców.
„Działanie Artemisa to wyraz naszej dbałości o cyberbezpieczeństwo w podmiotach leżących w kręgu działania CERT Polska, ale także wychodzenie naprzeciw zmieniającemu się krajobrazowi legislacyjnemu. Obowiązki związane z wykonywaniem oceny bezpieczeństwa i przekazywanie informacji o jej efektach administratorom systemów za chwilę trafią do polskiego porządku prawnego. Wprowadzi je dyrektywa NIS2 oraz dyskutowana obecnie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa” – podsumowuje Sebastian Kondraszuk, kierownik zespołu CERT Polska.
Kto zyska z Artemisem?
Wyznacznikiem obszaru działania Artemisa jest ustawa o krajowym systemie cyberbezpieczeństwa. Zgodnie z jej zapisami CERT Polska pomaga dbać o cyberbezpieczeństwo m.in:
- szkół,
- szpitali,
- instytutów badawczych,
- uczelni,
- jednostek samorządu terytorialnego (np. gmin – zarówno ich stron internetowych, jak i stron spółek, które obsługują np. wywóz śmieci czy kanalizację).
Podmioty skanowane z wykorzystaniem nowego narzędzia nie są wybierane przypadkowo – chodzi o to, by te działania objęły możliwie szeroki zakres wynikający z ustawy o krajowym systemie cyberbezpieczeństwa. Zespół CERT korzysta przy tym z ogólnodostępnych baz grupujących jednostki danego typu, np. samorządy.
Do prowadzonych skanowań wykorzystywany jest jeden adres IP, zaś system skanujący skonfigurowano w taki sposób, by administrator, zobaczywszy „podejrzane” połączenie, był w stanie sprawdzić, że pochodzi ono od CERT Polska. Powiadomienia o zgłoszonych podatnościach są zaś wysyłane z adresu cert@cert.pl. Wszystko to po to, by uniknąć wątpliwości dotyczących tego, skąd pochodzi dana aktywność i czy nie ma wrogiego charakteru.
Co już wykrył Artemis?
Skanowanie trwa od 2 stycznia i przyniosło już pierwsze rezultaty. Przeskanowanych zostało blisko 2000 domen gmin i powiatów wraz z subdomenami i do tej pory udało się wykryć kilkaset stron bazujących na nieaktualizowanym oprogramowaniu.
Eksperci CERT Polska mieli też do czynienia z dziesiątkami sytuacji, w których pliki konfiguracyjne z hasłami, pliki z kopią zapasową serwisu czy foldery z danymi systemu poczty (adresami e-mail, treściami wiadomości czy załącznikami) były dostępne publicznie. Udało się również znaleźć kilkadziesiąt niewłaściwe zabezpieczonych folderów zawierających kod źródłowy systemu, a czasem nawet hasła dostępowe.
