Raport ENISA – współpraca CSIRT-ów z organami ścigania za 2021 rok

8 marca 2022 roku ENISA opublikowała „2021 Report on CSIRT – Law Enforcement Cooperation”. W raporcie tym zbadana została współpraca CSIRT-ów, jednostek organów ścigania i wymiaru sprawiedliwości w 16 krajach Unii Europejskiej i Europejskiego Obszaru Gospodarczego, w tym w Polsce.

Tło, cele i zakres raportu

Na początku marca 2022 roku ENISA opublikowała raport dotyczący współpracy CSIRT-ów (zespołów reagowania na incydenty bezpieczeństwa komputerowego), w szczególności państwowych i rządowych, z organami ścigania i ich interakcji z wymiarem sprawiedliwości (t.j. sędziami i prokuratorami) w 2021 roku. Raport powstał jako kontynuacja wcześniejszych prac w tym zakresie. Autorzy opracowania zwrócili uwagę na takie zagadnienia jak ramy prawne i organizacyjne, role i obowiązki CSIRT–ów, organów ścigania oraz wymiaru sprawiedliwości, ich wymagane kompetencje oraz różne aspekty współpracy w zakresie, reagowania na incydenty bezpieczeństwa komputerowego i walki z cyberprzestępczością.

Celem raportu jest wspomaganie współpracy CSIRT-ów i organów ścigania, a także dodatkowych instytucji, jakie może angażować ta współpraca, w szczególności wymiaru sprawiedliwości. Chociaż skupia się on na działalności CSIRT-ów rządowych, to większość zawartych w nim analiz może znaleźć zastosowanie również do pozostałych CSIRT-ów.

Raport dotyczy szesnastu państw Unii Europejskiej i Europejskiego Obszaru Gospodarczego. Osiem z nich było również objęte raportem za 2020 rok, zaś wśród ośmiu dodatkowych znalazła się także Polska. Pozostałe kraje objęte analizą to: Belgia, Czechy, Estonia, Finlandia, Francja, Niemcy, Irlandia, Włochy, Luksemburg, Norwegia, Portugalia, Rumunia, Słowenia, Hiszpania i Szwecja.

Wnioski raportu

  1. Wszystkie państwa, które zostały poddane analizie, są sygnatariuszami Konwencji Rady Europy w sprawie cyberprzestępczości, sporządzonej w Budapeszcie 23 listopada 2001 roku i prawie wszystkie z nich ratyfikowały zarówno konwencję, jak również Protokół dodatkowy, dotyczący penalizacji czynów o charakterze rasistowskim lub ksenofobicznym popełnionych przy użyciu systemów komputerowych.
  2. Wszystkie analizowane państwa wdrożyły krajowe strategie cyberbezpieczeństwa, które wprowadzają ramy koordynacji i współpracy między organami, definiując ich role i obowiązki.
  3. Wszystkie analizowane państwa, w zgodzie z dyrektywą NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii), ustanowiły krajowe CSIRT-y, jednak mimo tego, że podobieństwa między tymi ciałami istnieją, to sposób ich organizacji i pozycja w hierarchii państwowej różnią się w zależności od państwa.
  4. Sposób organizacji działań organów ścigania w zakresie cyberprzestępczości pomiędzy poszczególnymi państwami również się różni: w niektórych krajach do realizacji tych zadań powołano wyspecjalizowane jednostki scentralizowane, podczas gdy w innych funkcjonują jednostki zdecentralizowane lub zarówno scentralizowane jak i zdecentralizowane.
  5. Ponadto inna jest struktura i organizacja wymiarów sprawiedliwości: w niektórych krajach postępowania z zakresu cyberprzestępstw prowadzą wyspecjalizowani prokuratorzy lub struktury wewnątrz prokuratury zajmujące się cyberprzestępczością, podczas gdy w innych państwach odpowiedzialność za te przestępstwa de facto spoczywa na prokuratorach i sędziach, którzy odbyli szkolenie w tym zakresie lub mają doświadczenie na tym polu.
  6. W zakresie trzech analizowanych grup – CSIRT-ów, organów ścigania i wymiaru sprawiedliwości – w analizowanych państwach istnieją różne podejścia do współpracy i inny jej poziom. Podczas gdy współpraca operacyjna, w szczególności codzienna interakcja i komunikacja nieformalna, wydaje się być ustabilizowana na zadowalającym poziomie, to jednak wydaje się, że bardziej sformalizowana forma komunikacji mogłaby pomóc uzyskać pełniejszy przepływ informacji pomiędzy tymi społecznościami. Ponadto istnieje większa przepaść komunikacyjna między CSIRT-ami a wymiarem sprawiedliwości, niż między wymiarem sprawiedliwości a organami ścigania i organami ścigania a CSIRT-ami.
  7. Zwykle organy ścigania nie są jedynymi zaangażowanymi w wykrywanie i prowadzenie śledztw z zakresu cyberprzestępczości. Duża część ich roli to zapobieganie cyberprzestępstwom i to już na tym etapie bardzo ważna jest współpraca zwłaszcza z CSIRT-ami, w celu zapewnienia wsparcia dla strategii prewencyjnych wdrażanych przez te organy. W szczególności, że odpowiedzialność za zapobieganie cyberprzestępstwom organy ścigania dzielą z CSIRT-ami, ponieważ często to właśnie CSIRT-y pierwsze wykrywają incydenty związane z cyberbezpieczeństwem mające przestępczy charakter.
  8. CSIRT-y i organy ścigania muszą współpracować, aby zmniejszyć ryzyko kompromitacji lub zniszczenia dowodów.
  9. CSIRT-y i organy ścigania mogą również współpracować podczas procesu analizy dowodowej.
  10. CSIRT-y odgrywają istotną rolę w informowaniu potencjalnych ofiar cyberprzestępców i dostarczaniu im informacji o sposobie raportowania tych incydentów do Policji oraz o tym, jak wzmocnić zabezpieczenia przed cyberprzestępczością.
  11. W większości państw poddanych analizie przedstawiciele CSIRT-ów mogą być wzywani w charakterze świadków do sądu. Często jednak kiedy takie wezwanie ma miejsce, CSIRT-y przedstawiają pisemny raport, a ich przedstawiciele rzadko stawiają się fizycznie w sądzie.
  12. W celu obsługi incydentów i prowadzenia postępowań związanych z cyberprzestępczością, wymagane są różne kompetencje; ponieważ każda z analizowanych grup wykształca własny zestaw umiejętności i wiedzy, każda mogłaby skorzystać z kompetencji pozostałych.
  13. Podejmuje się inicjatywy mające na celu ułatwienie doskonalenia zawodowego wewnątrz każdej z analizowanych społeczności. Większość wspólnych zajęć w tym zakresie obejmuje dwie grupy (np. CSIRT-y i organy ścigania albo organy ścigania i wymiar sprawiedliwości); jednakże istnieje potrzeba dalszego doskonalenia zawodowego, ćwiczeń i szkoleń, które obejmowałyby wszystkie trzy grupy łącznie.
  14. Delegacje pracowników między CSIRT-ami a organami ścigania należą do rzadkości. Przyczyny tego stanu rzeczy różnią się w zależności od państwa (np. brak środków, kwestie organizacyjne lub poziom dojrzałości CSIRT-u).
  15. Pandemia COVID-19 zmieniła sposób współpracy i interakcji między CSIRT-ami, organami ścigania i wymiarem sprawiedliwości. Miała największy wpływ na doskonalenie zawodowe i wydarzenia o charakterze warsztatowym, podobnie jak na spotkania stacjonarne, które były odwoływane we wczesnej fazie pandemii i prowadzone później online. W miarę rozwoju pandemii, użycie narzędzi online do ułatwiania spotkań i wydarzeń stało się normą i analizowane grupy dostosowały się do nowej formy pracy. Zbudowanie zaufania w stosunku do nowych członków społeczności wyłącznie w środowisku wirtualnym może być wymagające, ale w rozwiązaniu problemu pomaga przemienne stosowanie wirtualnych i stacjonarnych spotkań oraz w miarę możliwości organizacja spotkań o charakterze hybrydowym. W związku z powyższym nie zauważono szczególnego wpływu pandemii na zdolność analizowanych grup do współpracy. W niektórych przypadkach poziom interakcji nawet się poprawił, ponieważ w celu przekazania bieżących informacji kontakty miały miejsce codziennie.

Dalsze działania

  1. ENISA rekomenduje rozszerzenie zakresu raportu, aby w kolejnych latach objąć analizą wszystkie państwa członkowskie Unii Europejskiej oraz członków Europejskiego Obszaru Gospodarczego, a także inne państwa spoza tych regionów.
  2. Na podstawie wyników raportu, ENISA planuje rozwinąć już publikowane dodatkowe materiały szkoleniowe dla grup objętych analizą; w oparciu o wyniki raportu opublikowano w tym roku kolejną ich wersję.
  3. ENISA rekomenduje na podstawie przeprowadzonych analiz stworzenie katalogu kompetencji wymaganych podczas zarządzania incydentami i prowadzenia postępowań z zakresu cyberprzestępczości. Lista taka poprawi świadomość CSIRT-ów, organów ścigania i wymiaru sprawiedliwości w zakresie umiejętności i mocnych stron innych tego typu grup w ich kraju, a także w Unii Europejskiej i na Europejskim Obszarze Gospodarczym.
  4. ENISA dostrzega w wynikach raportu bazę do rozwoju systemów wspomagania decyzji (DSS), które pomogłyby analizowanym grupom nie tylko w procesie decyzyjnym, ale także w podejmowaniu działań w sprawach, w których dowody zlokalizowane są na terenie kilku państw.
  5. ENISA rekomenduje także utworzenie platformy do wymiany informacji między organami ścigania a CSIRT-ami. Nie tylko ułatwiłoby to komunikację, ale także zharmonizowałoby przekazywane informacje i ograniczyło opóźnienia w prowadzonych przez organy ścigania postępowaniach oraz interwencjach CSIRT-ów.
  6. ENISA doradza również organizację wspólnych szkoleń dla trzech analizowanych grup, zarówno na polu krajowym, jak i międzynarodowym. Pozwoliłoby to tym grupom na lepsze zrozumienie wzajemnych możliwości, potrzeb i ograniczeń oraz umożliwiłoby lepszą reakcję w praktyce na incydenty związane z cyberprzestępczością.

POLSKA, RUMUNIA, HISZPANIA – szczegółowe ustalenia raportu w zakresie współpracy na linii CSIRT- organy ścigania – wymiar sprawiedliwości

 Trudno dokonywać szczegółowych porównań między prezentowanymi w raporcie państwami, ponieważ wnioski raportu nie są do końca mierzalne, a kraje nim objęte różnią się zarówno stopniem rozwoju krajowej administracji publicznej oraz cyfryzacji, jak i uwarunkowaniami historycznymi, ekonomicznymi czy demograficznymi. W szczególności trudno porównywać Polskę do krajów o podobnym położeniu geograficznym, które zostały objęte raportem, mimo bowiem zbliżonych uwarunkowań, dysproporcja liczby ludności w tych krajach w stosunku do Polski jest bowiem znacząca (Polska – 38 mln, Czechy – 10,7 mln, Niemcy – 83,2 mln, Estonia – 1,3). Różnice demograficzne mają znaczenie, ponieważ z raportu wynika, że np. w Estonii, kraju o niskiej populacji, przedstawiciele trzech analizowanych grup dobrze się znają, co znacznie ułatwia pracę zespołową. Tym samym zasadne wydaje się porównanie krajów o podobnej populacji. Raportem zostały objęte Hiszpania i Rumunia, między którymi pod względem demograficznym lokuje się Polska (Hiszpania – 47, 3 mln, Rumunia – 19,3 mln) [1]. Warto zatem prześledzić, jak kształtuje się współpraca na linii CSIRT – ograny ścigania – wymiar sprawiedliwości w tych trzech państwach.  

Organizacja CSIRT-ów, organów ścigania i wymiaru sprawiedliwości

Wszystkie trzy porównywane państwa są członkami Unii Europejskiej, a zatem dotyczył ich obowiązek implementacji dyrektywy NIS, która wprowadziła m.in. obowiązek utworzenia CSIRT-ów. Wszystkie te kraje są ponadto sygnatariuszami i ratyfikowały Konwencję budapesztańską. Role i obowiązki organów w zakresie określonym powyższą dyrektywą kształtują się następująco:

Źródło: opracowanie własne na podstawie „2021 Report on CSIRT – LE Cooperation”.

Polska w świetle raportu ENISA

Jak wskazano na wstępie, raport ENISA dotyczy w szczególności współpracy CSIRT-ów, organów ścigania i wymiaru sprawiedliwości. W odniesieniu do Polski należy zauważyć, że CSIRT NASK na co dzień współpracuje z organami ścigania, oferując specjalną linię, która jest często używana w trakcie śledztw. Jest to szczególnie ważne zwłaszcza dla jednostek policji w małych miejscowościach, w których często nie ma personelu wykwalifikowanego do walki z cyberprzestępczością. W takich sytuacjach CSIRT może udzielić porady, jakie dane mogą być wykorzystane w śledztwie, jakie działania powinny zostać podjęte lub jakich procedur należy przestrzegać podczas przeprowadzania tych czynności. W celu uzyskania indywidualnej pomocy w konkretnej sprawie, organ ścigania musi wystosować formalny wniosek. Przedstawiciele analizowanych grup zwracali uwagę na potrzebę szkoleń z zakresu nowych technologii i technicznych aspektów cyberprzestępczości dla policji i prokuratury. Wymieniano również jako potrzebę utworzenie systemu, który byłby pojedynczym źródłem wiedzy dotyczącej praktycznych aspektów popełnianych cyberprzestępstw.

Z raportu wynika, że CSIRT NASK organizuje szkolenia dla policjantów i prokuratorów w powyższym zakresie, ale brakuje szkoleń dla sędziów. Zdarza się również, że informacje na temat organizowanych szkoleń nie docierają do osób zainteresowanych.  

Rumunia w świetle raportu ENISA

Rumunia rozwija oficjalne programy mające na celu zapewnienie współpracy i wymiany informacji, w których CERT-RO ma wiodącą rolę. Organizacja ta podpisała porozumienie z instytucjami sektora publicznego w zakresie cyberbezpieczeństwa. Niedługo również zostaną uaktualnione ramy prawne regulujące współpracę między tymi jednostkami. Jedną z oczekiwanych zmian jest uregulowanie prawnej możliwości wzywania CERT-RO do przedstawienia ekspertyzy przed organami prokuratury i sądami.

CERT-RO oraz rumuńska Policja nieprzerwanie ulepszają systemy wymiany informacji i współpracy. W tym celu niedawno wdrożono specjalną państwową platformę usług z zakresu cyberbezpieczeństwa (National Cybersecurity Services Platform – NCSP), która może być używana przez wszystkie strony zainteresowane: zarówno przez organy ścigania i CSIRT-y, jak i dostawców usług internetowych oraz inne podmioty. Wdrożenie tej platformy zredukowało trudności we współpracy.

Innym wspólnym celem jest zapewnienie możliwości szkoleń o charakterze technicznym dla osób pracujących w sektorze cyberbezpieczeństwa, w czym wiodącą rolę również odgrywa CERT-RO. Warto również wspomnieć, że od 2017 organizowane są narodowe ćwiczenia o nazwie CyDEX. W ostatnich zorganizowanych ćwiczeniach tego typu wzięło udział ponad 90 organizacji sektora prywatnego i publicznego, w tym CSIRT-y, organy ścigania i przedstawiciele wymiaru sprawiedliwości. Ponadto CYBEREX-RO, jednostka szkoleniowa w zakresie prowadzenia postępowań związanych z cyberprzestępczością zapewnia szkolenia dla takich jednostek jak m.in. CERT-RO, Policja, prokuratury, sądy. Nie organizuje jednak wspólnych szkoleń dla tych grup.

Mimo bardzo dobrze rozwijającej się współpracy ewentualne jej zakłócenia mogą występować na etapie prowadzenia postępowań, ze względu na różnice celów trzech analizowanych grup. CSIRT-y zawsze będą dążyły do likwidacji incydentu, organy ścigania i prokuratury – do zgromadzenia jak największej ilości dowodów.

Hiszpania w świetle raportu ENISA

Współpraca w zakresie cyberbezpieczeństwa pośród analizowanych w Hiszpanii CSIRT-ów, jednostek organów ścigania i wymiaru sprawiedliwości przebiega w znacznej mierze bilateralnie: CSIRT-y – organy ścigania oraz organy ścigania – wymiar sprawiedliwości. Mimo tego, że CSIRT-y tylko czasem wchodzą w interakcje z wymiarem sprawiedliwości, współpraca między tymi jednostkami oceniana jest przez większość respondentów jako dobra.

 Zgodnie z raportem, w 2020 roku powstała nowa grupa robocza na szczeblu krajowym, jako organizacja o charakterze technicznym powołana w celu implementacji środków mających za zadanie zapewnienie cyberbezpieczeństwa, w którą zaangażowani są także przedstawiciele wymiaru sprawiedliwości.

 Chociaż pojawiają się problemy związane z rozbieżnymi celami CSIRT-ów, organów ścigania oraz wymiaru sprawiedliwości, rozwiązywane one są zwykle przez dokonanie kopii serwerów w celu zabezpieczenia dowodów, co pozwala CSIRT-om w miarę szybko przystąpić do rozwiązania incydentu.

 Kolejnym sygnalizowanym przez respondentów wyzwaniem są braki umiejętności technicznych po stronie organów ścigania z jednej strony i braki znajomości procedur prawnych po stronie CSIRT-ów. Sygnalizowane są potrzeby organizacji szkoleń w powyższym zakresie. W celu wyeliminowania wzajemnego niezrozumienia, przed kontaktem wymiaru sprawiedliwości z INCIBE-CERT, dział prawny INCIBE opiniuje zapytania jednej i drugiej strony.

 Jako rekomendacje wysunięto: rozszerzenie prawnych regulacji związanych z wymianą informacji przez trzy analizowane grupy, sformalizowanie procedur wymiany informacji i wysyłania zapytań, poprawienie systemu doskonalenia zawodowego z zakresu IT i cyberbezpieczeństwa dla organów ścigania i wymiaru sprawiedliwości oraz ich wiedzy na temat działalności CSIRT-ów.

Warto zauważyć, że INCIBE-CERT zapewnia szeroki zakres szkoleń przeznaczonych dla wszystkich trzech analizowanych w raporcie grup. Wiele ćwiczeń organizowanych jest również przez CCN-CERT. Wydaje się jednak, że brakuje ćwiczeń przeznaczonych zarówno do CSIRT-ów jak i do organów ścigania oraz wymiaru sprawiedliwości.

Wnioski

 Jak zauważono na wstępie, uwarunkowania geograficzne tych trzech krajów, ich sytuacja ekonomiczna, polityczna i historyczna są różne. Chociaż w skali wszystkich krajów Unii Europejskiej Rumunia i Hiszpania mają zbliżoną do Polski liczbę ludności, to jednak trudno nazwać ją porównywalną.

 Niemniej współpraca na linii CSIRT – organy ścigania – wymiar sprawiedliwości, ze względu na różne cele i zadania, a więc i priorytety tych zespołów – w każdym z wymienionych państw stanowi podobne wyzwanie. Zadaniem CSIRT-ów jest jak najszybsza likwidacja incydentu, zaś zadaniem organów ścigania zgromadzenie i prawidłowe zabezpieczenie jak największej ilości dowodów, by doprowadzić do skazania sprawców (co jest tożsame z celami wymiaru sprawiedliwości).

 W pierwszej kolejności należy wskazać, że współpraca na poziomie CSIRT – organy ścigania – wymiar sprawiedliwości na poziomie Polski, Rumunii i Hiszpanii oceniana jest przez respondentów ogólnie pozytywnie.

We wszystkich trzech państwach istnieje bogata oferta szkoleń z zakresu różnych aspektów cyberbezpieczeństwa dla przedstawicieli analizowanych grup. Z raportu wynika, że zarówno w Polsce, jak i w Hiszpanii nie prowadzi się jednak wspólnych ćwiczeń o charakterze doskonalenia zawodowego we wszystkich trzech analizowanych grupach. W Rumunii zaś ćwiczenia CyDEX kierowane były zarówno do przedstawicieli CSRIT-ów, organów ścigania, jak i wymiaru sprawiedliwości.  

CSIRT-y zwykle nie odgrywają znaczącej roli w postępowaniu przygotowawczym ani sądowym. Systemy prawne trzech wymienionych wyżej państw pozwalają jednak na występowanie przedstawicieli CSIRT-ów w postępowaniu przygotowawczym w charakterze ekspertów (w Rumunii planowane jest sformalizowanie tego uprawnienia). Wobec zgłaszanych braków technicznej wiedzy, w szczególności w wymiarze sprawiedliwości, takie uprawnienie przedstawicieli CSIRT-ów wydaje się mieć szczególnie istotny charakter.

Polscy respondenci zwrócili uwagę na przydatność narzędzia, które umożliwiłoby wymianę informacji na temat przestępstw, którymi zajmują się organy ścigania. Z raportu wynika, że podobne narzędzie, platformę wymiany informacji i współpracy, wdrożono w Rumunii. Narzędzie takie mogłoby pomóc wyeliminować potencjalne kolizje we współpracy, tak, jak to miało miejsce w Rumunii według respondentów, a ponadto zapewniłoby sprawną wymianę informacji. Jest to również spójne z zaleceniami ENISA, która postuluje wprowadzenie takiej platformy na polu krajowym.

Tym samym uznać należy, że mimo drobnych niedociągnięć zgłaszanych przez respondentów, w których rozwiązaniu mogłyby pomóc wymienione wyżej działania rekomendowane przez ENISA, współpraca na linii CSIRT – organy ścigania – wymiar sprawiedliwości w Polsce, Rumunii i Hiszpanii przebiega na ogół bez większych trudności.  

Podsumowanie

  • Raport ENISA w sprawie współpracy na linii CSIRT-y – organy ścigania – wymiar sprawiedliwości pokazuje, z jakimi problemami w zakresie wzajemnej współpracy na co dzień zmagają się te instytucje.
  • Pomimo różnic w organizacji i celów analizowanych grup, ENISA ocenia ich współpracę w krajach poddanych badaniu ogólnie jako poprawną.
  • Na podstawie wyników badania, ENISA rozwija materiały edukacyjne i rekomendacje. Organizacja ta podkreśla wartość prowadzenia wspólnych szkoleń dla analizowanych grup oraz możliwości, jakie dałoby wdrożenie systemu do wymiany informacji między tymi jednostkami.
  • Z badania można wywnioskować, że pod kątem współpracy na linii CSIRT-y – organy ścigania – wymiar sprawiedliwości, Polska na tle państw europejskich o zbliżonej liczbie ludności (Rumunia, Hiszpania) wypada porównywalnie.
  • ENISA planuje przeprowadzać podobne badania również w następnych latach.

[1] Dane demograficzne Eurostatu za 2020 r.: https://ec.europa.eu/eurostat/documents/2995521/11081093/3-10072020-AP-EN.pdf/d2f799bf-4412-05cc-a357-7b49b93615f1, dostęp: 10.06.2022

TAGI ENISA, Unia Europejska,