CSIRT a CERT

CERT/CSIRT týmy vznikají na dobrovolné bázi a v jejich zájmu je navzájem efektivně komunikovat, vyměňovat si důležité informace a poznatky a spolupracovat. Sdružují se proto v mezinárodních organizacích. V současnosti nejznámější a nejaktivnější organizace, které se touto problematikou zabývají a vytvářejí vhodné prostředí pro výše uvedené záměry, jsou mezinárodní organizace GÉANT[1] a organizace FIRST (Forum for Incident Response and Security Teams)[2].

Obě výše zmíněné organizace iniciují a umožňují pravidelná setkávání členů bezpečnostních týmů, výměnu zkušeností a podílí se na definování základních pravidel spolupráce a komunikace mezi světovými CERT/CSIRT týmy.

Evropsky působící organizace GÉANT provozuje hned několik aktivit, do kterých se v případě zájmů světové CERT/CSIRT týmy mohou zapojit:

• TF-CSIRT (Task Force for CSIRT) je pracovní skupina, která umožňuje spolupráci týmů formou pravidelných dvou-třídenních setkání, která se konají 3x ročně (toto setkání obvykle hostuje některý CERT/CSIRT tým). Více informací je možné nalézt na: https://tf-csirt.org/.
• CSIRT Training – slouží pro vyškolení nových členů CSIRT/CERT týmů, nebo pro ty, kdo se chystají CERT/CSIRT tým založit. Koná se obvykle 2x ročně a školiteli jsou zkušení členové renomovaných CERT/CSIRT týmů a další špičkoví odborníci z oblasti bezpečnosti. Více informací je možné nalézt na: https://tf-csirt.org/transits/.
• Trusted Introducer[3] – úřad, jehož primárním úkolem je budování důvěry mezi jednotlivými CERT/CSIRT týmy a pomoci při vzniku nových. Více informací je možné nalézt na: https://www.trusted-introducer.org/.

Organizace FIRST kromě každý rok pořádané velké výroční konference pořádá řadu školení, vytváří návody a standardy pro efektivní práci CERT/CSIRT týmů a samozřejmě spolupracuje s aktivitou  TF-CSIRT.

Organizace GÉANT a FIRST v rámci světové infrastruktury CERT/CSIRT týmů plní roli jakési „záruky“ toho, že tým, který o sobě tvrdí, že je CERT/CSIRT týmem, jím opravdu je, a že jím deklarovaný model chování je pravdivý. Každý nový tým, který se chce zapojit do bezpečnostní infrastruktury, prochází vstupním procesem, který ověří, zda tým odpovídá standardům komunity, je transparentní a neexistují závažné důvody proti jeho přijetí. V případě evropské infrastruktury (platformy TF-CSIRT) tento vstupní proces zajišťuje úřad Trusted Introducer a nový tým jej vlastně žádá o registraci v seznamu týmů a udělení statusu listed.[4]

Mezi existujícími týmy se také musí najít alespoň dva týmy (tzv. sponzoři), které nový tým podpoří a žádný již etablovaný tým nesmí vznést námitku proti jeho přijetí. Pokud se vše podaří, jsou informace o novém týmu uloženy do seznamu, který udržuje úřad TI (a část z nich je zveřejněna), tým získává status listed a komunita přivítá nového člena.

V případě organizace FIRST je vstupní procedura velmi podobná, jen končí ne udělením statusu, ale získáním členství.

Oba procesy mají jedno společné - jde o zjištění a zpřístupnění maximálního množství informací o daném týmu, popisu jeho chování a vnímání problematiky řešení bezpečnostních incidentů tak, aby to korespondovalo s požadavky komunity.

V případě úřadu Trusted Introducer je možné dosáhnout na další, významnější, statusy, a to statusy accredited a certified. Rozdíly jsou následující:

• Tým s dosaženým statusem listed o sobě poskytl základní informace, deklaroval snahu chovat se jako CSIRT tým a komunita jej přijala.
• Tým se statusem accredited deklaruje komunitou požadovanou úroveň svých postupů a zavázal se dodržovat společné TI politiky.
• Tým se statusem certified pak prokázal svou „úroveň zralosti“ (maturity) v rámci certifikačního procesu.

Být accredited nebo certified týmem vyžaduje kontinuální úsilí o udržení stavu týmu. Součástí tohoto úsilí je také povinnost udržovat v seznamu TI o týmu aktuální informace. Pokud by tak tým dlouhodobě nečinil, může o své statusy přijít a v nejhorším případě být komunitou vyloučen. Tato povinnost se týká také listed týmů, které v případě, že do tří let od získání statusu listed neprojdou procesem akreditace, musí svůj status listed obnovit prokázáním podpory ze strany ostatních týmů (tzn. re-listed proces). Tento mechanismus zajišťuje vysokou míru aktuálnosti informací v  seznamu TI a tím jejich důvěryhodnost.

Další organizací, která působí v oblasti bezpečnosti, je organizace ENISA (European Network and Information Security Agency, http://www.enisa.europa.eu/). Ta úzce spolupracuje s členskými státy EU a soukromým sektorem a zastřešuje řadu aktivit zahrnujících celoevropské kybernetické bezpečnostní cvičení, rozvoj národních strategií v oblasti kybernetické bezpečnosti, spolupráci mezi CERT/CSIRT týmy a budování jejich kapacit, zabývá se problematikou ochrany osobních údajů a spolupracuje na vytváření a implementaci práva v záležitostech týkajících se síťové informační bezpečnosti (NIS - Network Information Security).

Všechny tři zmíněné organizace mají společnou ještě jednu funkci – shromažďují know-how z celé komunity a umožňují jeho sdílení (formulováním tzv. best-practices dokumentů, návodů, doporučení).