Uloga CERT-ova
Zadatak svakog CERT-a je da prati i analizira pretnje po bezbednost IKT sistema , pruža pomoć u prepoznavanju pretnji i prevenciji napada, osnažuje aktere za adekvatne odgovore na napad, obezbeđuje pravnu pomoć u procesuiranju sajber incidenata , održava komunikaciju sa nadležnim institucijama i drugo.
Da bi CERT mogao uspešno da realizuje svoje aktivnosti neophodno je da utvrdi katalog usluga. Ukoliko su usluge, vizija, misija i ciljevi jasno i precizno utvrđeni, uspostavljen je osnovni okvir poslovanja i razvoja CERT-a. To su po pravilu, između ostalog, koordinacija informacija, monitoring sistema za otkrivanje upada, analiza potencijalnih pretnji i napada na bezbednost IKT sistema, oporavak sistema od posledica napada. Osnovne usluge CERT-ova podrazumevaju predlog i primenu mera zaštite, izveštavanje, analizu i tehničku podršku. One se detaljnije mogu opisati u svetlu četiri osnovna procesa: trijaža, razrešavanje, izdavanje obaveštenja i davanje povratnih informacija korisnicima.
Proces trijaže predstavlja osnovnu tačku kontakta i podrazumeva prihvatanje, prikupljanje, sortiranje i prosleđivanje dobijenih informacija. Kada deo CERT tima koji se bavi trijažom dobije neku informaciju ili prijavu problema, šalje se potvrda pošiljaocu da je poruka primljena, a zatim se informacija sortira, prioritizuje, dodeljuje joj se jedinstveni idenitifikator i prosleđuje se drugim procesima u okviru implementiranih servisa.
Proces razrešavanja incidenata podrazumeva analizu prijavljenih bezbednosnih incidenata ili pretnji i davanje odgovora na njih. Tokom analize se utvrđuje uzrok, analiziraju se dokazni materijali, utvrđuje se ko je uključen u incident, kao i koja vrsta podrške i u kojoj meri je potrebna. Kakav će odgovor biti zavisi od misija, ciljeva i definicija usluga CERT-a, ali i od postavljenih prioriteta.
Proces izdavanja obaveštenja predstavlja obaveštavanje u različitim formatima, kao što su najave, upozorenja, saveti, kratka obaveštenja, smernice, tehničke procedure. Osnovna svrha izdavanja obaveštenja je prosleđivanje informacija korisnicima koje će im pomoći u zaštiti njihovih sistema ili da bi se pronašli tragovi potencijalnog napada davanjem informacija o mogućim, tekućim ili nedavnim pretnjama. Dodatno, sugerišu se metode za prevenciju, otkrivanje ili oporavak od incidenata.
Proces davanja povratnih informacija predstavlja komunikaciju sa korisnicima i entitetima, bilo na zahtev ili u regularnoj formi (npr. u formi izveštaja).
Proces upravljanja informacijama obuhvata sve četiri faze i veoma je važan deo osnovnog procesa. Informacije je potrebno prikupljati i evidentirati, nakon toga verifikovati, kategorizovati i na kraju čuvati. Neke informacije se mogu i objaviti, kako bi se dale smernice ili podrška zainteresovanim stranama, ali tokom čitavog procesa bezbednost svih informacija u okviru CERT organizacije mora biti na najvišem nivou.
Dodatno, proces saradnje podrazumeva sve vrste interakcija koje CERT ima sa drugim entitetima. Poželjno je redovno održavanje postojećih i ostvarivanje novih kontakata sa lokalnim i regionalnim partnerima i klijentima, kao i kreiranje adekvatnih baza podataka. Međutim, tokom sva četiri osnovna procesa dolazi do razmene informacija, zato je važno pažljivo izabrati partnerske organizacije kako bi se očuvali integritet, poverljivost i raspoloživost podataka.
Pored nacionalnih CERT-ova koji se sveobuhvatno bave bezbednosnim incidentima u IKT sistemima na nacionalnom nivou, širom sveta postoji veliki broj posebnih CERT-ova, fokusiranih na unapređenje informacione bezbednosti u okviru jednog društvenog sektora, grupe subjekata, pa čak i unutar samo jedne kompanije. S obzirom na složenost i specifičnost određene zajednice ili grupe entiteta (akademske institucije, banke itd.) ili poverljivu prirodu informacija kojima upravljaju kompanije, posebni CERT-ovi sa svojim visoko specijalizovanim stručnjacima svakako su najkompetentnija adresa za zaštitu od sajber incidenata i uspostavljanje preventivnih mera zaštite.
Digitalna higijena CERT