kërkimi


Etiketat CERT x Journalists x Identity x

Çfarë janë CERT-et

Ekipet e Reagimit ndaj Emergjencave Kompjuterike (CERT) janë organizata të ngritura për mbrojtjen e sigurisë së informacionit dhe mund të krijohen në nivel kombëtar, në nivel sektori (si financë apo energji) si dhe brenda një institucioni të vetëm (p.sh. CERT-i i kompanisë). Një emër tjetër i këtyre grupeve është edhe CSIRT (Ekipi i Përgjigjes për Incidentet e Sigurisë Kompjuterike) ose CIRT (Ekipi i Përgjigjes ndaj Incidentit Kompjuterik).

Në varësi të kuadrit ligjor, roli i CERT-së mund të jetë edukues, këshillues, parandalues dhe investigues, ku përfshihet edhe monitorimi i incidenteve në nivel kombëtar, dhënia e paralajmërimeve dhe informacionit paraprak për rreziqet dhe incidentet në fushën e sigurisë së informacionit, por edhe promovimi i kulturës së sigurisë mes qytetarëve, në institucionet shtetërore dhe në sektorin privat.

Për shkak të faktit se ekipe të tilla përgjigjen për një numër të kufizuar sistemesh të evçanta informacioni, CERT-të speciale zakonisht kanë një funksion të menaxhimit të incidentit, i cili nënkupton një rol më aktiv në procesin e rivendosjes së funksionimit normal të sistemit, analizës së incidenteve dhe malware.

Organizata e parë e këtij lloji është Qendra e Koordinimit CERT (CERT/CC) e Institutit të Inxhinierisë Kompjuterike në Universitetin Carnegie Mellon në Pittsburgh, SHBA. Që në vitin 1990, organizatat kombëtare krijuan organizatën ndërkombëtare FIRST (Forumi i Ekipeve të Reagimit ndaj Incidenteve dhe Sigurisë), ku aktualisht bëjnë pjesë më shumë se 500 anëtarë në mbarë botën. FIRST bashkon ekipet CERT në nivel shtetëror, tregtar dhe akademik.


CERT

Roli i CERT-eve

Çdo CERT ka për detyrë të monitorojë dhe analizojë kërcënimet ndaj sigurisë së sistemeve TIK, të ofrojë ndihmë në identifikimin e kërcënimeve dhe parandalimin e sulmeve, të fuqizojë aktorët për reagimin e duhur ndaj sulmeve, të ofrojë asistencë ligjore në përpunimin e incidenteve kibernetike [KRIMI KIBERNETIK], të mbajë komunikimin me institucionet përkatëse e të tjera.

Që CERT të realizojë me sukses aktivitetet e saj, është e nevojshme të krijohet një katalog shërbimesh. Nëse përcaktohen qartë dhe saktë shërbimet, vizioni, misioni dhe qëllimet, vendoset kuadri bazë e punës dhe zhvillimit të CERT. Si rregull, këto janë ndër të tjerash, koordinimi i informacionit, monitorimi i sistemeve të zbulimit të ndërhyrjeve, analiza e kërcënimeve dhe sulmeve të mundshme ndaj sigurisë së sistemeve TIK, rikuperimi i sistemit nga pasojat e sulmeve. Në shërbimet bazë të CERT-ve bëjnë pjesë edhe propozimi dhe zbatimi i masave mbrojtëse, raportimi, analiza dhe mbështetja teknike, të cilat mund të përshkruhen në mënyrë më të detajuar nën suazën e katër proceseve të tyre bazë: klasifikimi, zgjidhja, nxjerrja e njoftimeve dhe dhënia e komenteve për përdoruesit.

Procesi i triazhit është pika bazë e kontaktit dhe në të përfshihet pranimi, mbledhja, renditja dhe përcjellja e informacionit të marrë. Kur ekipi CERT i triazhit merr disa informacione ose një raport për një problem, dërguesit i jepet një konfirmim që mesazhi është marrë dhe më pas informacioni i marrë renditet, i përcaktohet përparësia, i caktohet një identifikues unik dhe përcillet në procese të tjera brenda shërbimeve të zbatuara.

Procesi i zgjidhjes së incidentit ka të bëjë me analizimin e incidenteve apo kërcënimeve të raportuara të sigurisë dhe reagimin ndaj tyre. Gjatë analizës përcaktohet shkaku, analizohen provat, përcaktohet se kush është përfshirë në incident si dhe çfarë lloj mbështetjeje nevojitet dhe në ç’nivel. Forma e reagimi varet nga misionet, synimet dhe përcaktimet e shërbimeve të CERT, por edhe nga prioritetet e përcaktuara.

Procesi i njoftimit është një njoftim në formate të ndryshme, si: njoftim publik, paralajmërime, këshilla, njoftime të shkurtra, udhëzime, procedura teknike. Qëllimi kryesor i shpalljes së një njoftimi është t’u ofrojë përdoruesve informacion që do t’i ndihmojë ata të mbrojnë sistemet ose të gjejnë gjurmë të një sulmi të mundshëm duke ofruar informacione rreth kërcënimeve të mundshme, të vazhdueshme ose të kohëve më të fundit. Për më tepër, sugjerohen metoda për parandalimin, zbulimin ose rikuperimin nga incidentet.

Procesi i reagimit është komunikimi me përdoruesit dhe subjektet, qoftë me kërkesë ose në formë të rregullt (p.sh. në formën e një raporti).

Procesi i administrimit të informacionit mbulon të 4 fazat e përmendura dhe është një pjesë shumë e rëndësishme e procesit bazë. Informacioni duhet të mblidhet dhe regjistrohet, pastaj të verifikohet, kategorizohet dhe në fund të ruhet. Mund të publikohen edhe disa informacione për të ofruar udhëzime ose mbështetje për të interesuarit, por siguria e të gjithë informacionit brenda organizatës CERT duhet të jetë në nivelin më të lartë gjatë gjithë procesit.

Po ashtu, në procesin e bashkëpunimit përfshihen të gjitha llojet e ndërveprimeve që CERT ka me subjektet e tjera. Do të ishte mirë që të mbahen rregullisht kontaktet ekzistuese dhe të vendosen kontakte të reja me partnerë dhe klientë vendorë dhe rajonalë si dhe të krijohen baza të përshtatshme të dhënash. Megjithatë, informacioni shkëmbehet gjatë të katër proceseve bazë, ndaj është e rëndësishme të zgjidhen me kujdes organizatat partnere në mënyrë që të ruhet integriteti, konfidencialiteti dhe disponueshmëria e të dhënave.

Përveç CERT-ve kombëtare që trajtojnë në mënyrë gjithëpërfshirëse incidentet e sigurisë në sistemet TIK në nivel kombëtar, ka një numër të madh CERT-esh të veçanta në mbarë botën, të fokusuara në përmirësimin e sigurisë së informacionit brenda një sektori, grupi subjektesh, madje edhe brenda vetëm një kompanie. Duke pasur parasysh kompleksitetin dhe specifikën e një komuniteti ose grupi të caktuar subjektesh (institucione akademike, banka, etj.) ose natyrën konfidenciale të informacionit të administruar nga kompanitë, CERT-et e veçanta me ekspertët e tyre shumë të specializuar janë sigurisht destinacioni më i sigurt për mbrojtjen ndaj incidenteve kibernetike dhe vendosjen e masave parandaluese.

Higjiena digjitale CERT

Njoftimi i incidentit

Për qëllimet e këtij udhëzuesi, termin “incident” do ta përkufizojmë si çdo ngjarje që ka një ndikim negativ në sigurinë e rrjetit dhe sistemeve të informacionit. Kjo mund të variojë nga sulmet teknike komplekse dhe të sofistikuara deri te mosfunksionimi i sistemit shkaktuar nga gabimi njerëzor.

Megjithatë, kur bëhet fjalë për sisteme TIK të një rëndësie të veçantë, siç janë sistemet që janë pjesë e infrastrukturës kritike të një vendi (furnizimi me energji elektrike, telekomunikacioni, etj.) ose që përdoren për shërbime bankare, këtu lind detyrimi që incidentet në sisteme të raportohen tek organe dhe autoritetet kompetente shtetërore. Për shembull, nëse incidenti ka ndodhur në sektorin bankar, operatori i sistemit TIK duhet të njoftojë bankën qendrore të vendit.

Kur incidente dhe sulmet janë më serioze dhe që mund të ndikojnë seriozisht në mbrojtjen ose sigurinë kombëtare, duhet të njoftohen edhe shërbimet dhe agjencitë përkatëse të inteligjencës dhe sigurisë (ushtarake ose civile). Përveç kësaj, kur incidenti përfshin dhe prek të dhënat personale, duhet të njoftohet edhe autoriteti kombëtar i mbrojtjes së të dhënave (Komisioneri, Agjencia, Komisioni, etj.).

Ndonjëherë është shumë e vështirë të dallohen llojet e incidenteve, pasi ato mund të ndodhin në të njëjtën kohë. Më poshtë jepet një listë e llojeve të ndryshme të incidenteve për të cilat kërkohet zakonisht të bëhet njoftimi për incidentin tek autoritetet kompetente shtetërore:

  • Hakerimi i sistemeve TIK: sulm ndaj një rrjeti kompjuterësh dhe infrastrukture serveri, ku, pas shkatërrimit të masave mbrojtëse, bëhet e mundur hyrja në sistemin TIK dhe ndikimi i paautorizuar i veprimeve të tyre;

  • Rrjedhje të dhënash: nxjerrja e të dhënave të mbrojtura jashtë rrethit të personave të autorizuar për t’i aksesuar ato të dhëna;

  • Modifikim i paautorizuar i të dhënave

  • Humbje të dhënash;

  • Ndërprerje e funksionimit të sistemit apo i një pjese të sistemit;

  • Sulme DDoS (mohim shërbimi)

  • Instalim i malware brenda një sistemi TIK

  • Mbledhje e paautorizuar e të dhënave nëpërmjet mbikëqyrjes së paautorizuar të komunikimit apo inxhinierisë sociale;

  • Sulm i vazhdueshëm ndaj burimeve të caktuara;

  • Abuzimi me autoritetin për të hyrë në burimet TIK;

  • Incidente të tjera.

DDoS Dëmi Rrjedhje të dhënash CERT Krimi kibernetik

Ligji për sigurinë

Operatorëve të sistemeve TIK të një rëndësie të veçantë zakonisht u kërkohet që të kenë dhe të zbatojnë një ligj për sigurinë. Ligji për sigurisë përcakton masat, parimet, mënyrat dhe procedurat e mbrojtjes me qëllim arritjen e një niveli duhur të sigurisë së sistemit, si dhe autorizimet dhe përgjegjësitë që kanë të bëjnë me sigurinë dhe burimet e sistemit TIK të një rëndësie të veçantë. Operatori i sistemit TIK i një rëndësie të veçantë duhet të kontrollojë të paktën një herë në vit se në ç’nivel masat e zbatuara në sistemin TIK respektojnë ligjin për sigurinë.

Çdo masë mbrojtëse, p.sh. krijimi i rregullt i kopjeve rezervë i të dhënave, duhet të përshkruhet sa më shumë që të jetë e mundur. Përveç përshkrimit, në këtë masë duhet të përfshihen edhe parimet dhe procedurat që do të aplikohen gjatë zbatimit të saj.

Pas përshkrimit të masave dhe referimit tek parimet dhe procedurat, në ligjin për sigurinë duhet të përcaktohet edhe personi përgjegjës për çdo masë, që ka për detyrim të sigurohet që masat të zbatohen në praktikën e përditshme.


Kopje rezervë e të dhënave CERT

Bëj një ankesë

Kur të bëni një denoncim në polici , është me rëndësi të mblidhni të gjitha provat e nevojshme dixhitale dhe jo vetëm të kopjoni përmbajtjen e mesazhit në fjalë. Shpesh nuk është e thjeshtë, pasi kërkon njohuri teknike dhe durim, për të cilin disa njerëz të tronditur nga sulmi mund të mos kenë nerva. Nëse nuk mund ta përballoni, kërkoni ndihmë nga një mik, koleg apo anëtar i familjes. Ata mund të regjistrojnë provat e sulmit, por mund të merren edhe me llogarinë tuaj në platformën në të cilën po ndodh sulmi. Dokumentacioni duhet të përmbajë prova materiale të sulmit dhe të klasifikohet në mënyrë që të lehtësojë kërkimin. Mund të përdoret një tabelë Excel, pasi sulmet mund të renditen sipas kohës, vendndodhjes, shkakut, kohëzgjatjes dhe llojit të sulmit, raporteve të paraqitura në platformë dhe sipas përgjigjes. Ky është i gjithë informacion i rëndësishëm për avokatët, policinë, për hetimet e mëtejshme dhe për procedurat gjyqësore. Përpiquni të identifikoni llojin e sulmit, sepse disa forma të kërcënimeve online janë ende të panjohura për publikun e gjerë, e ndonjëherë edhe për policinë. Kjo do t’i ndihmojë prokurorët të kuptojnë më mirë se çfarë ka ndodhur dhe si të kërkojnë autorët.

Së pari, duhet të jepni adresat përkatëse URL në formën e tyre integrale, d.m.th. nëse sulmi ndodh në mediat sociale, atëherë duhet të siguroni një link integral të llogarisë që ju dërgoi një kërcënim. Më pas, duhet të ruani një kopje të mesazhit në një formë integrale që përmban metadata, d.m.th., titujt e emailit .

Po ashtu, do të ishte mirë të bëni një screenshot/print-screen të mesazhit, imazhit ose të videos të përfshirë në incident. Nga ana tjetër, nëse incidenti është me disa segmente, si numri i madh i SMS, mesazhe të marra nëpërmjet një aplikacioni në kompjuter ose telefon, etj., duhet të bëni një screenshot të secilit ose mundësisht të bëni një video të të gjithë procesit.

Përveç kësaj, nëse ngacmimi ndodh përmes komunikimit me telefon, atëherë denoncimi duhet të përmbajë tabulatet e thirrjeve të marra nga operatori telefonik, sepse ato përmbajnë kohën e telefonatës dhe numrin nga i cili është bërë thirrja, gjë që mund të lehtësojë vazhdimin e hetimit. Po ashtu, mund t’i drejtoheni Ekipi të Reagimit ndaj Emergjencave Kompjuterike në vendin tuaj, i cili mund të ofrojë mbështetje teknike dhe të zbusë dëmin, ose tek organet shtetërore të ngarkuara për hetimin e krimit kibernetik.

Fakte digjitale Rrjedhje të dhënash CERT Krimi kibernetik Padi penale Policia