Podmioty krajowego systemu cyberbezpieczeństwa powinny natychmiast zaktualizować oprogramowania Cisco IMC oraz Cisco NFVIS - zalecił pełnomocnik rządu ds. cyberbezpieczeństwa Krzysztof Gawkowski. Brak aktualizacji może prowadzić do incydentu krytycznego - podkreślił.
Pełnomocnik Rządu ds. Cyberbezpieczeństwa zarekomendował podmiotom krajowego systemu cyberbezpieczeństwa bezzwłoczną aktualizację oprogramowań Cisco Integrated Management Controller (IMC) oraz Cisco Network Function Virtualization Infrastructure Software (NFVIS), ponieważ wykryto w nich krytyczną podatność, czyli lukę bezpieczeństwa.
Oprogramowanie należy zaktualizować do najbardziej aktualnej wersji lub do wersji, dla której krytyczna podatność została usunięta zgodnie z zaleceniami producenta.
Gawkowski zarekomendował również zaprzestanie wykorzystywania produktów firmy Cisco, dla których producent nie oferuje już wsparcia technicznego w aktualizacji oprogramowania lub urządzenia. W takim przypadku należy dokonać analizy ryzyka i w możliwym zakresie wyłączyć urządzenie z eksploatacji; można też przeprowadzić proces migracji do nowszych wersji urządzeń lub zmienić rozwiązanie - podano w komunikacie.
Pełnomocnik zarekomendował także przeprowadzenie niezwłocznie aktualizacji urządzeń w przypadku, gdy takie aktualizacje producenta są wydawane w stosunku do kolejnych ujawnianych podatności. Jak podano, działanie to pozwoli uniknąć kompromitacji wykorzystywanej infrastruktury, czyli sytuacji, w której cyberprzestępca wykorzysta lukę i dostanie się do urządzenia.
Gawkowski wydał rekomendację po konsultacjach z zespołami CSIRT NASK, CSIRT GOV oraz CSIRT MON - podano. Eksperci podkreślili, że niezastosowanie się do rekomendacji stwarza ryzyko wystąpienia incydentu krytycznego. Dalsze stosowanie oprogramowania obarczonego podatnościami może negatywnie wpływać na bezpieczeństwo publiczne oraz istotny interes państwa - zaznaczono.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) z 2018 r. ustanowiła trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego: CSIRT NASK, CSIRT GOV oraz CSIRT MON.
Rekomendacja Gawkowskiego została wydana także na podstawie UKSC. Według znowelizowanej w br. ustawy, krajowym systemem cyberbezpieczeństwa objęte są m.in. sektory: energii, transportu, bankowości, uzdatniania wody, odprowadzania ścieków, ochrony zdrowia, przestrzeni kosmicznej, usług pocztowych, produkcji i dystrybucji, w tym chemikaliów i żywności. Do sektorów KSC zaliczono też część podmiotów publicznych, w tym urzędy, samorządy, szkoły, szpitale, instytuty badawcze i Polską Agencję Prasową.
źrodło PAP 20 kwiecień 2026 mbl/ mrr/
