Pretraga


Tagovi Φόβος x Πίεση x CERT x Data leaks x

Šta je CERT

Centri za prevenciju bezbednosnih rizika u informaciono-komunikacionim sistemima (eng. Computer Emergency Response Teams - CERT) su organizacije posvećene zaštiti informacione bezbednosti i mogu biti uspostavljeni na nacionalnom nivou, na nivou sektora (kao što su finansije ili energetika) kao i u okviru jednog entiteta (npr. CERT kompanije). Alternativno, ove organizacije se zovu CSIRT (Computer Security Incident Response Team) ili CIRT (Computer Incident Response Team). 

U zavisnosti od pravnog okvira, uloga CERT-a može biti edukativna, savetodavna, preventivna i istraživačka, što između ostalog podrazumeva praćenje incidenata na nacionalnom nivou, pružanje ranih upozorenja i informacija o rizicima i incidentima u oblasti informacione bezbednosti, ali i promociju bezbednosne kulture među građanima, u državnim institucijama i privatnom sektoru. 

Zbog činjenice da su zaduženi za ograničeni broj konkretnih informacionih sistema, posebni CERT-ovi obično imaju funkciju upravljanja incidentima, što podrazumeva aktivniju ulogu u procesu ponovnog uspostavljanja normalnog funkcionisanja sistema, analizu incidenta i malicioznog softvera .  

Prvom organizacijom ove vrste smatra se CERT koordinacioni centar (CERT/ CC) Instituta za softverski inženjering na Karnegi Melon univerzitetu u Pitsburgu, SAD. Već 1990. godine nacionalne organizacije su osnovale međunarodnu organizaciju FIRST (Forum of Incident Response and Security Teams), koja trenutno broji više od 500 članova širom sveta. FIRST okuplja CERT timove na državnom nivou, komercijalne CERT-ove i CERT-ove akademske zajednice.

CERT

Uloga CERT-ova

Zadatak svakog CERT-a je da prati i analizira pretnje po bezbednost IKT sistema  , pruža pomoć u prepoznavanju pretnji i prevenciji napada, osnažuje aktere za adekvatne odgovore na napad, obezbeđuje pravnu pomoć u procesuiranju sajber incidenata  , održava komunikaciju sa nadležnim institucijama i drugo.

Da bi CERT mogao uspešno da realizuje svoje aktivnosti neophodno je da utvrdi katalog usluga. Ukoliko su usluge, vizija, misija i ciljevi jasno i precizno utvrđeni, uspostavljen je osnovni okvir poslovanja i razvoja CERT-a. To su po pravilu, između ostalog, koordinacija informacija, monitoring sistema za otkrivanje upada, analiza potencijalnih pretnji i napada na bezbednost IKT sistema, oporavak sistema od posledica napada. Osnovne usluge CERT-ova podrazumevaju predlog i primenu mera zaštite, izveštavanje, analizu i tehničku podršku. One se detaljnije mogu opisati u svetlu četiri osnovna procesa: trijaža, razrešavanje, izdavanje obaveštenja i davanje povratnih informacija korisnicima. 

Proces trijaže predstavlja osnovnu tačku kontakta i podrazumeva prihvatanje, prikupljanje, sortiranje i prosleđivanje dobijenih informacija. Kada deo CERT tima koji se bavi trijažom dobije neku informaciju ili prijavu problema, šalje se potvrda pošiljaocu da je poruka primljena, a zatim se informacija sortira, prioritizuje, dodeljuje joj se jedinstveni idenitifikator i prosleđuje se drugim procesima u okviru implementiranih servisa.

Proces razrešavanja incidenata podrazumeva analizu prijavljenih bezbednosnih incidenata ili pretnji i davanje odgovora na njih. Tokom analize se utvrđuje uzrok, analiziraju se dokazni materijali, utvrđuje se ko je uključen u incident, kao i koja vrsta podrške i u kojoj meri je potrebna. Kakav će odgovor biti zavisi od misija, ciljeva i definicija usluga CERT-a, ali i od postavljenih prioriteta.

Proces izdavanja obaveštenja predstavlja obaveštavanje u različitim formatima, kao što su najave, upozorenja, saveti, kratka obaveštenja, smernice, tehničke procedure. Osnovna svrha izdavanja obaveštenja je prosleđivanje informacija korisnicima koje će im pomoći u zaštiti njihovih sistema ili da bi se pronašli tragovi potencijalnog napada davanjem informacija o mogućim, tekućim ili nedavnim pretnjama. Dodatno, sugerišu se metode za prevenciju, otkrivanje ili oporavak od incidenata. 

Proces davanja povratnih informacija predstavlja komunikaciju sa korisnicima i entitetima, bilo na zahtev ili u regularnoj formi (npr. u formi izveštaja).

Proces upravljanja informacijama obuhvata sve četiri faze i veoma je važan deo osnovnog procesa. Informacije je potrebno prikupljati i evidentirati, nakon toga verifikovati, kategorizovati i na kraju čuvati. Neke informacije se mogu i objaviti, kako bi se dale smernice ili podrška zainteresovanim stranama, ali tokom čitavog procesa bezbednost svih informacija u okviru CERT organizacije mora biti na najvišem nivou.

Dodatno, proces saradnje podrazumeva sve vrste interakcija koje CERT ima sa drugim entitetima. Poželjno je redovno održavanje postojećih i ostvarivanje novih kontakata sa lokalnim i regionalnim partnerima i klijentima, kao i kreiranje adekvatnih baza podataka. Međutim, tokom sva četiri osnovna procesa dolazi do razmene informacija, zato je važno pažljivo izabrati partnerske organizacije kako bi se očuvali integritet, poverljivost i raspoloživost podataka. 

Pored nacionalnih CERT-ova koji se sveobuhvatno bave bezbednosnim incidentima u IKT sistemima na nacionalnom nivou, širom sveta postoji veliki broj posebnih CERT-ova, fokusiranih na unapređenje informacione bezbednosti u okviru jednog društvenog sektora, grupe subjekata, pa čak i unutar samo jedne kompanije. S obzirom na složenost i specifičnost određene zajednice ili grupe entiteta (akademske institucije, banke itd.) ili poverljivu prirodu informacija kojima upravljaju kompanije, posebni CERT-ovi sa svojim visoko specijalizovanim stručnjacima svakako su najkompetentnija adresa za zaštitu od sajber incidenata i uspostavljanje preventivnih mera zaštite.

Digitalna higijena CERT

Obaveštenje o incidentima

Za potrebe ovog alata, definisaćemo “incident” kao bilo koji događaj koji ima negativan uticaj na bezbednost mrežnih i informacionih sistema. Incidenti mogu varirati od složenih i sofisticiranih tehničkih napada, do neispravnosti rada sistema uzrokovanih ljudskom greškom.

Međutim, kada su u pitanju IKT sistemi od posebnog značaja , poput onih koji su deo kritične infrastrukture jedne zemlje (elektro-mreža, telekomunikacije, itd.) ili se koriste za bankarske usluge, oni imaju obavezu da prijave incidente u svojim sistemima nadležnim državnim organima. Na primer, ukoliko se incident dogodio u bankarskom sektoru, operator IKT sistema treba da obavesti državnu centralnu banku.

Kada se dogode ozbiljniji incidenti i napadi, koji mogu snažno da utiču na nacionalnu odbranu ili nacionalnu bezbednost, treba obavestiti i relevantne obaveštajne i bezbednosne službe i agencije (vojne ili civilne). Pored toga, kada incident ima veze sa podacima o ličnosti i utiče na njih, treba obavestiti i nacionalno telo za zaštitu podataka (poverenika, agenciju, komisiju).

Ponekad je vrlo teško razlikovati koja je vrsta incidenta u pitanju, jer se oni mogu dogoditi istovremeno. U nastavku se nalazi spisak pojedinih vrsta incidenata za koje je obično potrebno slanje obaveštenja o incidentu nadležnim državnim organima:

  • Upad u IKT sistem: napad na računarsku mrežu i serversku infrastrukturu  tokom kog je, kršenjem mera zaštite, ostvaren pristup koji omogućava neovlašćen uticaj na rad IKT sistema;
  • Curenje podataka: dostupnost zaštićenih podataka van kruga lica ovlašćenih za pristup podacima;
  • Neovlašćena izmena podataka;
  • Gubitak podataka;
  • Prekid u funkcionisanju sistema ili dela sistema;
  • Ograničavanje dostupnosti usluge (denial of service) [DDoS] ;
  • Instaliranje zlonamernog softvera (malvera)  u okviru IKT sistema;
  • Neovlašćeno prikupljanje podataka putem neovlašćenog nadzora nad komunikacijom ili socijalnim inženjeringom;
  • Neprestani napad na određene resurse;
  • Zloupotreba ovlašćenja pristupa resursima IKT sistema;
  • Ostali incidenti
DDos Šteta Curenje podataka CERT Sajber kriminal

Akt o bezbednosti

Od operatora IKT sistema od posebnog značaja obično se zahteva da imaju i sprovode Akt o bezbednosti. Ovaj dokument uređuje mere zaštite, principe, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema od posebnog značaja  . Operator sistema od posebnog značaja dužan je da vrši proveru usklađenosti primenjenih mera IKT sistema sa Aktom o bezbednosti najmanje jednom godišnje.

Svaku meru zaštite, npr. izradu redovnih rezervnih kopija  podataka, trebalo bi opisati što je detaljnije moguće. Pored osnovnog opisa, mera bi trebalo da sadrži principe i procedure koje će se primenjivati prilikom njenog sprovođenja. 

Nakon opisa mera i pozivanja na principe i postupke, aktom o bezbednosti treba odrediti odgovorno lice za svaku meru i to lice je dužno da obezbedi da se mere poštuju u praksi.

Rezervna kopija podataka CERT

Podnesi prijavu

Kada podnosiš prijavu policiji, važno je da prikupiš sve potrebne digitalne dokaze , a ne samo da kopiraš sadržaj sporne poruke. To često nije jednostavno, zahteva tehnička znanja i strpljenje, za šta, malo ko uznemiren napadom, može imati živaca. Ukoliko ne možeš da se baviš time, pozovi u pomoć prijatelje, kolege ili članove porodice. Oni mogu i da snime dokaze napada, ali i da se bave tvojim nalogom na platformi na kojoj se napad dešava. Dokumentovanje treba da sadrži materijalne dokaze o napadu i da bude klasifikovano tako da olakša pretragu. Korišćenje tabele može da bude zgodno, jer se napadi mogu poređati po vremenu, mestu, uzroku, trajanju i tipu napada, prijavama podnetim na platformi i reakciji. To su sve bitne informacije za advokate, policiju, dalju istragu i sudske postupke. Potrudi se da identifikuješ vrstu napada, jer su neki oblici onlajn pretnji još uvek nepoznati široj javnosti, a ponekad čak i policiji. Tako ćeš pomoći istrazi da bolje razume šta se desilo i kako da traži počinioce.

Prvo, trebalo bi da navedeš relevantne linkove ili URL adrese u njihovom integralnom obliku: ako se napad dogodio na društvenim mrežama, navedi integralni link profila koji ti je poslao pretnju. Zatim, trebalo bi da sačuvaš kopiju poruke u integralnom obliku koji sadrži metapodatke, npr. mejl hedere

Bilo bi dobro napraviti i skrinšot poruke, sliku ili videa koji se tiču incidenta. S druge strane, ako postoji nekoliko segmenata incidenata sa kojima se suočavaš - više SMS-ova, poruka primljenih putem aplikacije na računaru ili telefonu, itd - trebalo bi da napraviš snimak ekrana svakog od njih ili eventualno napraviš video koji prikazuje čitav proces. 

Pored toga, ako se uznemiravanje dogodi putem telefonske komunikacije, prijava treba da sadrži evidencije poziva (listinge) koje izdaje operator telefonske usluge, jer sadrže vreme poziva i broj sa kojeg je poziv upućen, što može olakšati dalju istragu. Takode, možeš se obratiti timu za bezbednosne incidente u IKT sistemima (CERT) u svojoj zemlji, koji može da pruži tehničku podršku i ublaži štetu, ili državnim organima zaduženim za istragu i procesuiranje sajber kriminala .

Digitalni dokazi Curenje podataka CERT Sajber kriminal Krivična prijava Policija