Často kladené otázky (FAQ)
Čo je to CSIRT.SK?
Skratka CSIRT je označenie jednotky pre riešenie počítačových incidentov (Computer Security Incident Response Team). Takáto jednotka predstavuje tím odborníkov, ktorých hlavnou úlohou je poskytovať služby potrebné na zvládnutie bezpečnostných počítačových incidentov, na zmiernenie alebo odstránenie ich následkov a na následnú obnovu činnosti prevádzkových informačných systémov a súvisiacich informačných a komunikačných prostriedkov. CSIRT/CERT tímy sa líšia svojimi cieľovými skupinami. Zatiaľ čo vo svete prevládajú tímy, ktoré si vytvorili komerčné spoločnosti a univerzity, CSIRT.SK je vládnym tímom, ktorý zriadilo Ministerstvo financií Slovenskej republiky v súlade s Národnou stratégiou pre informačnú bezpečnosť v SR, ktorý má oporu v zákone o informačnej bezpečnosti v SR (2011).
Na čo je CSIRT/CERT tím potrebný?
Za posledných pár rokov množstvo používateľov pripojených k internetu dramatickým spôsobom vzrástlo. Rozdielne je však ich povedomie v oblasti informačnej bezpečnosti a tým vzniká priestor pre počítačové incidenty, ktoré môžu v konečnom dôsledku ovplyvniť samotný chod štátu. A čo viac, existuje stále nízka pravdepodobnosť, že potenciálneho útočníka objavia. Vzhľadom na uvedené skutočnosti je dôležité, aby bol digitálny priestor SR (resp. NIKI – Národná informačná a komunikačná infraštruktúra) chránený a potenciálne incidenty boli vyriešené, ich následky zmiernené alebo odstránené.
Aké sú úlohy tímu CSIRT.SK?
Hlavnou úlohou špecializovanej jednotky CSIRT.SK bude riešenie informačno-bezpečnostných incidentov v Slovenskej republike v spolupráci s vlastníkmi a prevádzkovateľmi postihnutých častí NIKI, telekomunikačnými operátormi, poskytovateľmi internetových služieb a prípadne inými štátnymi orgánmi (napr. polícia, vyšetrovatelia, súdy). Ďalej budovanie a rozširovanie poznania verejnosti vo vybraných oblastiach informačnej bezpečnosti a kooperácia so zahraničnými sesterskými organizáciami a reprezentácia SR v oblasti informačnej bezpečnosti na medzinárodnej úrovni.
Aký je rozdiel medzi skratkami CERT a CSIRT?
Pôvodne sa takéto jednotky nazývali CERT čo je skratka pre Computer Emergency Response Team. Toto označenie bolo registrované ako ochranná známka v USA, a preto sa v súčasnosti pre novovznikajúce tímy ujal skôr názov CSIRT, avšak ich kompetencie sa do značnej miery nelíšia. Takéto tímy môžu vznikať na rôznych úrovniach (národný, vládny, akademický, ozbrojených zložiek, komerčný, príp. iné). Tieto úrovne sa líšia rozsahom svojej agendy a kompetencií, ako aj požiadavkami na ich zriadenie a prevádzkovanie.
S čím si CSIRT/CERT netreba mýliť?
CSIRT/CERT nepredstavuje organizáciu zaoberajúcu sa vývojom bezpečnostných riešení, antivírusového a bezpečnostného softvéru. Nezaoberá sa ani hľadaním zraniteľností v systémoch, implementáciou ich zneužitia vývojom a opráv a aktualizácií. Nezodpovedá za Vašu informačnú bezpečnosť, ale v prípade potreby dokáže vzniknutý problém pomôcť zmierniť alebo odstrániť.
Kedy vznikol prvý CSIRT?
Oficiálne prvý CERT/CSIRT vznikol v USA v roku 1988 ako odpoveď na Morrisov internetový červ. I keď jediným cieľom tohto červa bolo jeho šírenie, výsledný efekt na vtedajší internet bol značný. Vplyvom chybného naprogramovania totiž červ napádal už napadnuté počítače, ktoré nestíhali spracúvať rastúce množstvo bežiacich procesov. Náklady na odstránenie napáchaných škôd sa vyšplhali až do výšky 100 miliónov USD.
Ako kontaktovať CSIRT.SK ?
Primárnym kontaktom s jednotkou CSIRT.SK je adresa elektronickej pošty:
info(at)csirt.sk
Pre nahlasovanie incidentov použite adresu: incident(at)csirt.sk.
V prípade potreby je možné použiť aj spôsoby komunikácie uvedené v kontaktoch.
Existuje nejaké medzinárodne prepojenie medzi CSIRT/CERT tímami?
Z dôvodu koordinácie národných aktivít, zameraných na predchádzanie a riešenie bezpečnostných problémov IKT bola v roku 1990 založená medzinárodná organizácia „FIRST“ (Forum of Incident Response and Security Teams) združujúca v súčasnosti viac ako 180 CSIRT/CERT tímov z celého sveta, ktorej členmi sú tímy z vládnej, komerčnej a akademickej sféry. Na európskej úrovni pôsobí skupina TF-CSIRT, ktorá napomáha spoluprácu CSIRT tímov v rámci Európy.
TF-CSIRT poskytuje priestor pre výmenu skúseností a znalostí z oblasti informačnej bezpečnosti, pracuje na tvorbe spoločných štandardov a procedúr pre reakcie na bezpečnostné incidenty a pomáha aj pri vytváraní nových CSIRT tímov. Ďalej v roku 2004 vznikla Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť ENISA, ktorá zabezpečuje koordináciu a metodicky pomáha pri budovaní nových CSIRT tímov alebo rozvoji už existujúcich tímov.
Čo je to TF-CSIRT?
Združenie TF-CSIRT (Task Force- Computer Security Incident Response Team) je zoskupenie vládnych, národných, akademických a privátnych CERT/CSIRT tímov v Európe. Hlavnou úlohou je podporovať spoluprácu takýchto tímov na medzinárodnej úrovni, výmena informácií a skúseností z oblasti informačnej bezpečnosti.
Vznikol bezpečnostný incident. Čo treba robiť ?
V prípade vzniku bezpečnostného incidentu je potrebné vždy kontaktovať zodpovednú osobu v rámci organizácie v závislosti od interných predpisov a štandardov, ktorými sa daná organizácia riadi (správca IS, bezpečnostný manažér, a pod. ). Následne je potrebné zabezpečiť prvotné úkony spojené s riešením vzniknutého incidentu, zdokumentovať všetky skutočnosti, ktoré by mohli napomôcť pri jeho riešení a vykonať potrebné kroky na odstránenie alebo zmiernenie jeho dopadov.
V prípade rozsiahlejšieho incidentu týkajúceho sa väčšej časti siete a pri možnosti identifikácie adries útočníka je potrebné kontaktovať zodpovedné osoby nadriadenej siete, poskytovateľa internetových služieb alebo správcov sietí, ktoré boli označené ako zdrojové siete (odkiaľ prichádza útok, odkiaľ bol poslaný nežiaduci obsah a pod.)
V prípade, že boli vykonané uvedené kroky a neprichádza žiadna odpoveď od kontaktovaných strán, je potrebné kontaktovať CSIRT.SK so zaslaním všetkých relevantných údajov.
Mám zákonnú povinnosť nahlasovať CSIRT.SK kybernetické útoky alebo bezpečnostné incidenty ?
V platnej legislatíve nie je zakotvená povinnosť nahlasovať bezpečnostné incidenty útvaru CSIRT.SK. CSIRT.SK odporúča kybernetické útoky a bezpečnostné incidenty nahlasovať v prípade, že:
jedná sa o inštitúciu štátnej alebo verejnej správy,
útok/incident pretrváva,
je potrebná asistencia/spolupráca CSIRT.SK pri odstraňovaní následkov bezpečnostného incidentu,
incident má vplyv na dostupnosť elektronickej služby poskytovanej štátnou správou alebo samosprávou,
incident má medzinárodný aspekt.
Pri riešení incidentu od nás požadujete zachytenú komunikáciu. Ako ju máme zachytiť a v akej forme poslať?
Komunikáciu je možné zachytiť niekoľkými voľne šíriteľnými nástrojmi:
- Wireshark (www.wireshark.org) – dostupný pre Windows, Linux/Unix a Mac OS
- TCPDump (www.tcpdump.org) – dostupné balíčky pre Linuxové systémy a zdrojové kódy
Postup pri zachytávaní komunikácie:
- Identifikovať miesto zachytávania a spôsob. Komunikácia musí byť zachytávaná na zariadení, ktoré je zdrojom alebo cieľom komunikácie, alebo cez toto zariadenie komunikácia prechádza (prípadne sa využije funkcia switchov, tzv. port mirroring alebo technika známa ako “hubbing in” – pripojenie hubu do komunikačnej cesty medzi zdrojom a cieľom)
- V prípade, že zariadenie na ktorom sa vykonáva zachytávanie nie je zdrojom ani cieľom komunikácie, je potrebné nastavenie sieťovej karty do promiskuitného režimu.
- postup pre Windows: automaticky pri spustení Wiresharku ak má používateľ administrátorské oprávnenia
- postup pre Linux/Unix: napríklad prostredníctvom príkazu ifconfig pre distribúcie typu Debian
ifconfig nazov_interface promisc
- Samotné zachytenie relevantných dát týkajúcich sa incidentu a uloženie týchto dát do súboru.
- postup pre Wireshark:
https://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter-and-inspect-packets/ - postup pre tcpdump: v príkazovom riadku spustite
tcpdump -w nazovSuboru.pcap -i nazov_interface
- Vypnutie promiskuitného režimu
- postup pre Windows: automaticky pri vypnutí Wireshark
- postup pre Linux: napríklad prostredníctvom príkazu ifconfig pre distribúciu typu Debian
ifconfig nazov_interface -promisc
V prípade doplňujúcich otázok nás neváhajte kontaktovať pri prebiehajúcom incidente na kontakty uvedené v rovnomennej sekcii.
Som správcom/manažérom informačného systému štátnej správy. Ako mi môže CSIRT.SK pomôcť?
Špecializovaný útvar CSIRT.SK poskytuje primárne pomoc pri riešení bezpečnostných počítačových incidentov pre štátnu a verejnú správu. Okrem samotnej reakcie na incidenty ponúka viacero aktívnych a proaktívnych služieb. Ponúkané služby a viac informácií možno nájsť v sekcii pod záložkou CSIRT.SK.