Улога на тимовите CERT
Задачата на секој тим CERT е да ги следи и да ги анализира заканите за безбедноста на информациско-комуникациските системи, да обезбеди помош при идентификување закани и спречување напади, да им овозможи на чинителите да можат адекватно да одговорат на нападите, да обезбеди правна помош при постапка во однос на сајберинциденти [CYBER-CRIME], да одржува комуникација со релевантни институции и друго.
За да може CERT успешно да ги спроведува своите активности, неопходно е да има еден т.н. каталог на услуги. Доколку услугите, визијата, мисијата и целите се јасно и прецизно дефинирани, тогаш се воспоставува и основната рамка на деловното работење и развојот на CERT-тимовите. По правило, станува збор, меѓу другото, за координација на информации, следење на системите за откривање упад, анализа на потенцијални закани и напади врз безбедноста на информациско-комуникациските системи, повторно ставање во функција на системот откако се случил напад. Основни услуги на CERT се давање предлози и спроведување мерки за заштита, известување, анализа и техничка поддршка. Тие можат подетално да се опишат во рамките на нивните четири основни процеси: тријажа, решавање, издавање известувања и давање повратни информации на корисниците.
Процесот на тријажа е основната точка на контакт и тој вклучува прифаќање, собирање, сортирање и проследување на добиените информации. Кога CERT-тимот за тријажа ќе добие некоја информација или известување за определен проблем, се испраќа потврда до испраќачот дека пораката е примена, а потоа информациите се сортираат, се приорeтизираат, им се додава единствен идентификатор и се препраќаат на други процеси во рамките на услугите што се спроведуваат.
Процесот на решавање на инцидентот вклучува анализа на пријавените безбедносни инциденти или закани, и одговор на нив. При анализата, се утврдува причината, се анализираат доказите, се утврдува кој е инволвиран во инцидентот и каква поддршка и во колкава мера е потребна. Каков ќе биде одговорот зависи од задачите на CERT, од целите и дефинициите на услугите, но и од поставените приоритети.
Процесот на известување е известување кое е во разни формати, како што се: соопштенија, предупредувања, совети, кратки известувања, упатства, технички процедури. Примарната цел на известувањето е да им се овозможат информации на корисниците кои ќе им помогнат да ги заштитат своите системи или да пронајдат траги од потенцијален напад преку обезбедување информации за можни, тековни или неодамнешни закани. Дополнително се предлагаат и методи за спречување инциденти, нивно откривање или закрепнување од нив.
Процесот на давање повратни информации е комуникација со корисници и субјекти, било на нивно барање или редовно (на пр., во форма на извештај).
Процесот на управување со информации ги опфаќа сите 4 споменати фази и претставува многу важен дел од основниот процес. Информациите треба да се соберат и да се евидентираат, потоа да се проверат, да се категоризираат и, на крајот, да се складираат (чуваат). Некои информации, исто така, може да бидат и објавени со цел да им се дадат насоки или поддршка на засегнатите страни, но во текот на целиот процес безбедноста на сите информации во рамките на CERT-организацијата мора да биде на највисоко ниво.
Процесот на соработка исто така ги вклучува и сите видови интеракции кои тимовите CERT ги имаат со други субјекти. Пожелно е редовно да се одржуваат постоечките и да се воспоставуваат нови контакти со локални и со регионални партнери и клиенти, како и да се креираат соодветни бази на податоци. Притоа, информациите се разменуваат во текот на сите четири основни процеси, па затоа е важно внимателно да се избираат партнерските организации, со што ќе се овозможи зачувување на интегритетот, доверливоста и достапноста на податоците.
Покрај националните CERT-тимови кои сеопфатно се справуваат со безбедносните инциденти во информациско-комуникациските системи на национално ниво (на ниво на државата), постојат и голем број други специјални CERT тимови ширум светот кои работат врз подобрување на безбедноста на информациите во еден сектор, во група на субјекти, па дури и во само една компанија. Со оглед на сложеноста и специфичноста на одредена заедница или група субјекти (академски институции, банки итн.) и имајќи ја предвид доверливата природа на информациите со кои управуваат компаниите, специјалните CERT-тимови, со своите високоспецијализирани експерти, се секако вистинската адреса за заштита од сајберинциденти и за утврдување превентивни мерки.
Дигитална хигиена ЦЕРТ