Iskanje

Nacionalni odzivni center za kibernetsko varnost (Computer Emergency Response Team ali CERT) so organizacije, ki ščitijo informacijsko varnost in lahko delujejo na državnem nivoju, na nivoju posameznega industrijskega sektorja (finance, energija) oziroma znotraj posameznega podjetja. Drugo ime za odzivne centre je tudi CSIRT (Center za odziv na informacijske incidente) oziroma CIRT (Center za odziv na računalniške incidente).

Odvisno od pravne podlage za delovanje, je CERT lahko izobraževalna, svetovalna, preventivna oziroma preiskovalna organizacija, ki izvaja nadziranje incidentov na državni ravni, opozarja in skrbi za preventivo ter spodbuja razvoj varnostne kulture med državljani, znotraj javnega in zasebnega sektorja.

Glede na to, da se na CERTu ponavadi nahajajo specifični informacijski sistemi, imajo določeni CERTi tudi nalogo upravljanja s kibernetskimi incidenti, kar nakazuje na njihovo aktivno vlogo pri vzpostavljanju delujočega sistema ter analizo napada in programske opreme, ki je bila uporabljena v napadu.

Zgodovinsko gledano je bil prvi CERT vzpostavljen na inštitutu Software Engineering Institute znotraj univerze Carnegie Mellon University v Pittsburghu, ZDA, kjer se je imenoval

CERT Coordination Center(CERT / CC)

. Na začetku devetdesetih let dvajsetega stoletja so državni CERTi ustanovili mednarodno organizacijo

FIRST

(Forum of Incident Response and Security Teams), v katerega je trenutno vključenih več kot 500 članov iz celega sveta. FIRST povezuje CERT organizacije iz javne, zasebne in akademske sfere.

CERT

Vsak CERT skrbi za nadzor in analizo varnostnih groženj v informacijskih sistemih, nudi pomoč pri določanju groženj in preprečevanju kibernetskih napadov, izobražuje delovne skupine glede odzivov na napade, nudi pravno pomoč pri obdelovanju kibernetskih incidentov, vzdržuje komunikacijo s pomembnimi ustanovami in drugo.

Če hoče CERT dobro opravljati svoje delo, potem mora najprej vzpostaviti popis vseh storitev informacijskih tehnologij. Če ima CERT jasno popisane storitve, določeno vizijo, namen in cilje, lahko štejemo, da so vzpostavljeni osnovni pogoji za okvir delovanja in razvoja CERTa. Te naloge so poleg koordiniranja akterjev, nadziranja in analiza kibernetskih napadov, analiza in nadzor morebitnih kibernetskih groženj in napadov, ponovno vzpostavljanje informacijskih sistemov po napadu in odpravljanje posledic kibernetskega napada, ključne naloge CERTa. CERT te naloge opravlja znotraj štirih osnovnih skupin: obdelovanje informacij, razreševanje incidentov, obveščanje in izobraževanje uporabnikov.

Obdelovanje informacij se zgodi ob prvem stiku uporabnika s CERTom in vključuje popisovanje, urejanje in posredovanje pridobljenih informacij o incidentu. Ko CERT ekipa prejme prijavo incidenta, naprej potrdi prejem, nato pa informacije uredi, določi pomembnost ter preda v reševanje strokovnjakom.

Razreševanje incidentov vključuje analizo prijavljenih kibernetskih incidentov oziroma groženj ter odzivanje nanje. Med analiziranjem incidenta CERT določi vzrok napada, pregleda dokazno gradivo ter na podlagi analize določi odziv ter tip pomoči prizadetim v napadu. Odziv je odvisen od vizije ter namena posamezne CERT ekipe ter njihovih prioritet.

Obveščevalna funkcija CERTa je sestavljena iz napovedi, opozoril, nasvetov, kratkih novic, smernic in tehničnih postopkov. Osnovni namen obveščanja je pomoč uporabnikom pri zaščiti lastnih informacijskih sistemov, ugotavljanje morebitnih posledic napada ter preventivno delovanje na področju informacijske varnosti.

Odzivni postopek vključuje komunikacijo z uporabniki in ustanovami, bodisi na njihovo zahtevo ali proaktivno.

Urejanje informacij pokriva prej omenjene štiri faze in je zelo pomemben del delovanja CERTa. CERT mora zbirati, analizirati, preverjati ter hraniti informacije o kibernetskih napadih. Na podlagi informacij lahko izoblikuje smernice in priporočila, varovanje informacij znotraj CERTa pa je ena od ključnih varnostnih nalog.

CERT prav tako skrbi za povezovanje različnih organizacij in posameznikov na področju kibernetske varnosti. Zaželeno je, da CERT redno vzpostavlja stike z novinci in vzdržuje stike z uveljavljenimi organizacijami in posamezniki na področju informacijskih tehnologij. Ker povezovanje predpostavlja tudi izmenjavo informacij, se je potrebno zavedati, da mora CERT skrbeti tudi za integriteto, zaupnost ter dostopnost podatkov.

Delo državnega CERTa dopolnjujejo specializirani CERTi iz celega sveta, ki se osredotočajo na informacijsko varnost znotraj gospodarske panoge, skupine oziroma posameznega podjetja. Glede na kompleksnost in specifičnost posamezne gospodarske panoge oziroma skupine (univerze, bančni sektor, energetski sektor...) oziroma zaupnost postopkov in informacij, imajo specializirani CERTi visok ugled v panogi in so najbolje uposobljeni za preprečevanje kibernetskih groženj v svojem sektorju.

Digitalna higiena CERT

Za potrebe te orodjarne bomo "incident" definirali kot vsak dogodek, ki ima negativni učinek na varnost omrežja oziroma informacijskega sistema. Ti dogodki so lahko kompleksni in prefinjeni tehnični napadi ali pa posledice človeške napake znotraj določenega informacijskega sistema.

V primeru incidentov v sistemih posebnega pomena, kot so sistemi, vključeni v državno kritično infrastrukturo (električno in telekomunikacijsko omrežje ter drugi sistemi) oziroma sistemi bančnega sektorja, morajo njihovi lastniki to sporočiti zato namenjenim državnim inštitucijam. Če se na primer incident zgodi v bančnemu sektorju, mora lastnik napadenega sistema obvestiti centralno banko.

Če se hkrati zgodi več resnih napadov in incidentov, ki imajo lahko negativen vpliv na državno obrambo in državno varnost, morajo biti o tem obveščene tudi varnostne agencije in službe (vojaške oziroma civilne). Hkrati morajo biti v primerih, kjer so napadeni osebni podatki državljanov, o tem obveščene tudi državne službe za varovanje osebnih podatkov (Informacijski pooblaščenec in drugi).

Včasih je težko določiti in opisati varnostni incident, saj se lahko več stvari zgodi hkrati. Ponujamo vam seznam nekaterih tipov varnostnih incidentov, ki ponavadi zahtevajo obveščanje

• Vdor v informacijski sistem: napad na omrežje oziroma strežniško infrastrukturo s pomočjo zlorab varnostnih mehanizmov oziroma zlorabe dostopnih podatkov ter nepooblaščeno vplivanje na delovanje sistema

• Odtekanje podatkov: objava podatkov zunaj kroga ljudi, ki imajo dovoljenje za dostop do teh podatkov

• Nepooblaščeno spreminjanje podatkov

• Izguba podatkov

• Prekinitev delovanja sistema oziroma dela sistema

• Porazdeljena ohromitev storitve [DDoS]

• Namestitev zlonamerne kode v informacijski sistem

• Nepoblaščeno zbiranje podatkov s pomočjo nepooblaščenega nadzora komunikacij oziroma socialni inženiring

• Neprekinjen napad na vire podatkov

• Kraja identitete z namenom dostopa do informacijskih sistemov

• Druge incidenti

DDoS Škoda Odtekanje podatkov CERT Kiberkriminal

Lastniki informacijskih sistemov posebnega pomena morajo ponavadi sprejeti in spoštovati pravilnik o informacijski varnosti. Pravilnik določa varovalke, načine in postopke zagotavljanja zadostne stopnje informacijske varnosti ter pooblastila in odgovornosti za varovanje informacijskega sistema posebnega pomena. Lastnik sistema mora skladnost preverjati vsaj enkrat letno.

Vsaka varovalka, kot na primer redne varnostne kopije, mora biti podrobno opisana in razložena. Poleg opisa morajo biti navedeti še ukrepi in postopki, ki bodo izvedeni med uvedbo varovalke.

Poleg opisa varovalke ter pripadajočih ukrepov in postopkov, mora Pravilnik vključevati še odgovorne osebe za vsako varovalko, kki mora zagotavljati delovanje varovalke in spoštovanje ukrepov in postopkov.

Varnostna kopija podatkov CERT

Ko vlagate prijavo na policijo, morate pred tem poskrbeti za čimvečje število dokazov in jih zbrati na primeren način. Ker gre pri zavarovanju digitalnih dokazov za natančno delo in ker so ponavadi žrtve spletnega napada pod strestom, za zbiranje in zavarovanje dokazov prosite prijatelja, sodelavca oziroma družinskega člana. Dokumentacija dokaznega gradiva mora vsebovati materialne dokaze, ki morajo biti primerno urejeni v podatkovno bazo. V ta namen lahko uporabite razpredelnico, kjer napade razdelite po času, mestu, vzroku, trajanju in tipu in kamor vpišete še prijave na družabno omrežje ter njihove odzive. Vse to so pomembne informacije za organe pregona ter sodni postopek. Poskusite definirati tip napada, saj boste s tem pomagali organom pregona, ki se šele spoznavajo s tem področjem. Tako jim boste lahko bolj razumljivo pojasnili, kaj se je zgodilo.

Najprej morate zavarovati spletne povezave (URL naslovi) v integralni obliki (če se je napad zgodil na družabnem omrežju, morate zavarovati spletno povezavo, ki vodi do profila napadalca). Hkrati shranite vsa napadalčeva sporočila v integralni obliki, saj boste s tem zavarovali tudi metapodatkovje (glavo e-poštnega sporočila).

Priporočljivo je narediti tudi posnetke zaslona s sporočilom, sliko oziroma videposnetkom, ki je bil del napada. Če je v napad vključeno veliko število vsebin, morate shraniti vsako vsebino posebej in se med shranjevanjem dokazov posneti na video.

Če se napadi dogajajo s pomočjo zvočnih klicev prek telefona, mora popis dokaznega gradiva vsebovati klicne dnevnike na telefonu, ki vsebujejo datum in čas klica ter telefonsko številko klicatelja. Pri zavarovanju dokazov napada se lahko obrnete tudi na odzivni center za kibernetsko varnost, ki vam bo lahko ponudil tehnično pomoč oziroma na druge organe v vaši državi, ki so zadolženi za pregon kibernetske kriminalitete.

Digitalni dokazi Odtekanje podatkov CERT Kiberkriminal Kazenske ovadbe Policija