Искање

Компјутерските тимови за одговор при итни случаи (Computer Emergency Response Teams - CERT) се организации кои имаат за цел заштита на безбедноста на информациите и кои се формираат на национално ниво, на секторско ниво (на пример, во финансии или енергетика) и во рамките на еден ентитет (на пр., CERT на одредени компании). Од друга страна, овие видови организации се нарекуваат CSIRT (Computer Security Incident Response Team) или CIRT (Computer Incident Response Team).

Во зависност од тоа како е уредено со закон, улогата на националниот CERT може да биде едукативна, советодавна, превентивна и истражна, што вклучува следење на инцидентите кои се случуваат на национално ниво, обезбедување рани предупредувања и информации во врска со ризици и инциденти во областа на информациската безбедност, како и промовирање безбедносна култура меѓу граѓаните, во државните институции и во приватниот сектор. Во согласност со националната правна рамка, националниот CERT е дел од Агенцијата за електронски комуникации на Република Северна Македонија (MKD CIRT).

Поради фактот што се тие задолжени за ограничен број специфични информациски системи, специјалните CERT обично имаат функција за управување со инциденти, што подразбира нивна поактивна улога во процесот на повторното воспоставување на нормалното функционирање на системот, анализа на инциденти и малициозен софтвер.

Првата организација од ваков вид која е формирана е CERT координативен центар (CERT /CC) на Институтот за софтверско инженерство на Универзитетот Карнеги Мелон во Питсбург, САД. Во 1990 година, националните организации ја основаа меѓународната организација FIRST (Forum of Incident Response and Security Teams), којашто моментално има повеќе од 500 членки ширум светот. FIRST обединува на едно место државни, комерцијални и академски тимови CERT.

ЦЕРТ

Задачата на секој тим CERT е да ги следи и да ги анализира заканите за безбедноста на информациско-комуникациските системи, да обезбеди помош при идентификување закани и спречување напади, да им овозможи на чинителите да можат адекватно да одговорат на нападите, да обезбеди правна помош при постапка во однос на сајберинциденти [CYBER-CRIME], да одржува комуникација со релевантни институции и друго.

За да може CERT успешно да ги спроведува своите активности, неопходно е да има еден т.н. каталог на услуги. Доколку услугите, визијата, мисијата и целите се јасно и прецизно дефинирани, тогаш се воспоставува и основната рамка на деловното работење и развојот на CERT-тимовите. По правило, станува збор, меѓу другото, за координација на информации, следење на системите за откривање упад, анализа на потенцијални закани и напади врз безбедноста на информациско-комуникациските системи, повторно ставање во функција на системот откако се случил напад. Основни услуги на CERT се давање предлози и спроведување мерки за заштита, известување, анализа и техничка поддршка. Тие можат подетално да се опишат во рамките на нивните четири основни процеси: тријажа, решавање, издавање известувања и давање повратни информации на корисниците.

Процесот на тријажа е основната точка на контакт и тој вклучува прифаќање, собирање, сортирање и проследување на добиените информации. Кога CERT-тимот за тријажа ќе добие некоја информација или известување за определен проблем, се испраќа потврда до испраќачот дека пораката е примена, а потоа информациите се сортираат, се приорeтизираат, им се додава единствен идентификатор и се препраќаат на други процеси во рамките на услугите што се спроведуваат.

Процесот на решавање на инцидентот вклучува анализа на пријавените безбедносни инциденти или закани, и одговор на нив. При анализата, се утврдува причината, се анализираат доказите, се утврдува кој е инволвиран во инцидентот и каква поддршка и во колкава мера е потребна. Каков ќе биде одговорот зависи од задачите на CERT, од целите и дефинициите на услугите, но и од поставените приоритети.

Процесот на известување е известување кое е во разни формати, како што се: соопштенија, предупредувања, совети, кратки известувања, упатства, технички процедури. Примарната цел на известувањето е да им се овозможат информации на корисниците кои ќе им помогнат да ги заштитат своите системи или да пронајдат траги од потенцијален напад преку обезбедување информации за можни, тековни или неодамнешни закани. Дополнително се предлагаат и методи за спречување инциденти, нивно откривање или закрепнување од нив.

Процесот на давање повратни информации е комуникација со корисници и субјекти, било на нивно барање или редовно (на пр., во форма на извештај).

Процесот на управување со информации ги опфаќа сите 4 споменати фази и претставува многу важен дел од основниот процес. Информациите треба да се соберат и да се евидентираат, потоа да се проверат, да се категоризираат и, на крајот, да се складираат (чуваат). Некои информации, исто така, може да бидат и објавени со цел да им се дадат насоки или поддршка на засегнатите страни, но во текот на целиот процес безбедноста на сите информации во рамките на CERT-организацијата мора да биде на највисоко ниво.

Процесот на соработка исто така ги вклучува и сите видови интеракции кои тимовите CERT ги имаат со други субјекти. Пожелно е редовно да се одржуваат постоечките и да се воспоставуваат нови контакти со локални и со регионални партнери и клиенти, како и да се креираат соодветни бази на податоци. Притоа, информациите се разменуваат во текот на сите четири основни процеси, па затоа е важно внимателно да се избираат партнерските организации, со што ќе се овозможи зачувување на интегритетот, доверливоста и достапноста на податоците.

Покрај националните CERT-тимови кои сеопфатно се справуваат со безбедносните инциденти во информациско-комуникациските системи на национално ниво (на ниво на државата), постојат и голем број други специјални CERT тимови ширум светот кои работат врз подобрување на безбедноста на информациите во еден сектор, во група на субјекти, па дури и во само една компанија. Со оглед на сложеноста и специфичноста на одредена заедница или група субјекти (академски институции, банки итн.) и имајќи ја предвид доверливата природа на информациите со кои управуваат компаниите, специјалните CERT-тимови, со своите високоспецијализирани експерти, се секако вистинската адреса за заштита од сајберинциденти и за утврдување превентивни мерки.

Дигитална хигиена ЦЕРТ

За целите на овој прирачник, поимот ’инцидент‘ ќе го дефинираме како настан што има негативно влијание врз безбедноста на мрежните и информациските системи. Тука може да станува збор за различни кризни ситуации, од сложени и софистицирани технички напади до неисправност на системот предизвикана од човечка грешка.

Меѓутоа, кога станува збор за информациско-комуникациски системи од посебно значење, како што се оние кои ја сочинуваат критичната инфраструктура на земјата (електрична енергија, телекомуникации итн.) или се користат за банкарски услуги, кај нив постои обврска да пријават инциденти во своите системи до надлежните државни тела и органи. На пример, доколку инцидентот се случил во банкарскиот сектор, операторот на информациско-комуникацискиот систем треба да ја извести Народна банка.

Во случај на посериозни инциденти и напади, кои можат значително да влијаат врз одбраната или врз националната безбедност на државата, потребно е да се известат и соодветните разузнавачки и безбедносни служби и агенции (воени или цивилни). Дополнително, кога некој инцидент опфаќа и влијае врз личните податоци, потребно е исто така да се извести и Дирекцијата за заштита на лични податоци.

Понекогаш е многу тешко да се направи разлика помеѓу видовите инциденти, бидејќи тие може да се случат во исто време. Подолу е дадена листа на некои од видовите инциденти за кои обично постои обврска да се испрати известување за инцидент до надлежните државни органи:

• Упад во информациско-комуникациски систем: напад на компјутерска мрежа и серверска инфраструктура којшто, преку нарушување на мерките за заштита, овозможил пристап до информациско-комуникацискиот систем и неовластено влијание врз неговото работење;

• Протекување податоци: кога заштитени податоци се достапни надвор од кругот на лицата кои се овластени за пристап до тие податоци;

• Неовластена промена на податоците;

• Загуба на податоци;

• Прекин во функционирањето на системот или дел од системот;

• Напади за одбивање на услугата [DDoS];

• Инсталација на малициозен софтвер во информациско-комуникацискиот систем;

• Неовластено собирање податоци преку неовластен надзор на комуникациите или општествен инженеринг;

• Постојан напад на одредени ресурси;

• Злоупотреба на овластувањата за пристап до ресурсите на информациско-комуникацискиот систем;

• Други инциденти.

ДДос напад Оштетување Протекување на податоци ЦЕРТ Сајбер криминал

Операторите на информациско-комуникациските системи што се со особено значење обично имаат обврска да поседуваат и да спроведат таканаречен документ за безбедност, што практично осигурува примена на меѓународните стандарди за секторот во областа. Со овој документ се уредуваат заштитните мерки, принципите, начинот и процедурите за постигнување на соодветно ниво на безбедност на системот, како и овластувањата и одговорностите поврзани со безбедноста и со ресурсите на информациско-комуникацискиот систем којшто е од особено значење. Операторот на информациско-комуникацискиот систем од особено значење треба најмалку еднаш годишно да ја проверува усогласеноста на мерките кои биле применети во информациско-комуникацискиот систем со документот за безбедност.

Секоја заштитна мерка (на пр., редовното правење резервни копии на податоците) треба да биде опишана колку што е можно подетално. Освен тоа, мерката треба да ги содржи и принципите и процедурите што ќе се применуваат при нејзиното спроведување.

Откако ќе ја опише мерката и ќе ги образложи принципите и процедурите, со документот за безбедност треба да се определи и одговорното лице за секоја од мерките, кое е должно да се грижи за тоа дека мерките се спроведуваат во практика.

Резервна копија на податоци ЦЕРТ

Во контакт со полицијата, важно е да обезбедите колку што е можно повеќе докази во врска со делото и сторителот/напаѓачот. Сочувајте ги пораките и другите докази, доколку ги има. Доколку сте свесни за постоење докази до кои немате пристап, информирајте ги надлежните органи да преземат понатамошни мерки.

Ова честопати не е едноставна работа бидејќи бара техничко знаење и трпение, за што малкумина луѓе кои биле вознемирени од нападот може да имаат нерви. Ако ова е премногу за вас, повикајте пријател, колега или член на семејството да ви помогне. Тие исто така можат да евидентираат докази за сторениот напад, но и да постапуваат со вашата сметка на платформата на која се случува нападот. Користењето табела може да биде погодно, бидејќи така нападите ќе може да се подредат по време, локација, причина, времетраење и вид на напад, пријави испратени до платформата и одговорот. Сето ова се важни информации за адвокатите, за полицијата и за понатамошната истрага и судските постапки. Обидете се да го идентификувате видот на нападот, бидејќи некои видови закани преку интернет сè уште не ѝ се познати на пошироката јавност, а понекогаш дури ни на полицијата. Сето ова ќе им помогне на истражителите подобро да разберат што се случило и ќе им овозможи поефикасно да ги бараат сторителите.

Прво, треба да ги наведете релевантните линкови или URL-адреси онакви какви што биле, во нивната интегрална форма. Со други зборови, ако нападот се случил на социјалните мрежи, тогаш треба интегрално да го наведете линкот од сметката која ви испратила закана. Потоа, треба да зачувате копија од пораката во интегрална форма која содржи метаподатоци, т.е.заглавија (headers) на е-пошта.

Понатаму, би било добро да се направи слика од екранот (screenshot/print-screen) на пораката, сликата или видеото што биле вклучени во инцидентот. Од друга страна, ако станува збор за неколку сегменти во инцидентот (на пример, сте добиле повеќе СМС-пораки, или пораки преку апликација на компјутер или на телефон, итн.), треба да направите слика од екранот од секој од нив или, евентуално, да направите видео од целиот процес.

Дополнително, доколку вознемирувањето се случило преку телефонска комуникација, тогаш пријавата треба да содржи логови за остварените повици кои се издадени од телефонскиот оператор, бидејќи тие го содржат времето на повикот и бројот од кој е упатен повикот, што може да ја олесни понатамошната истрага. Дополнително, во вашата држава можете да се обратите на компјутерски тим што е задолжен да реагира во итни случаи. Тој ќе може да обезбеди техничка поддршка и да ја ублажи штетата. Реакција исто така е можна и до државните органи задолжени да истражуваат случаи на компјутерски криминал.

Дигитални докази Протекување на податоци ЦЕРТ Сајбер криминал Кривична пријава Полиција