CSIRT a CERT

Název této subkapitoly je zároveň častým postesknutím uživatele Internetu, který se dostal do problému (např. na něj někdo útočí, zcizil mu identitu, naboural facebookový profil nebo e-mailový účet, nebo se stal svědkem šíření dětské pornografie). Co má takový uživatel dělat? Obrátit se na Policii ČR? Nebo na poskytovatele připojení, např. jeho helpdesk? Nebo na Národní úřad pro kybernetickou a informační bezpečnost, když je gestorem pro oblast kyberbezpečnosti? Na horkou linku Národního centra bezpečnějšího internetu? Nebo na nějaký CSIRT tým, když se o nich pořád mluví? Ale na který?

Na proces hlášení a řešení bezpečnostních incidentů (neboli opravdu „na koho se mám obrátit, když chci ohlásit nebo řešit zjištěný bezpečnostní incident“) je možné nahlížet ze dvou úhlů pohledu. Z pohledu techniků (správců sítí a služeb, členů bezpečnostních týmů) a z pohledu uživatelů.

Pro techniky (správce sítí a služeb, členy bezpečnostních týmů) je odpověď na otázku „na koho se mám se žádostí o akci vlastně obrátit“ celkem jasná, ale to je dáno drilem, zkušenostmi a především velmi dobrou znalostí prostředí Internetu a jeho základních principů, jakož i znalostí toho, kde jsou k mání kontaktní informace k jednotlivým existujícím sítím, službám, doménám apod.

Pro členy CERT/CSIRT týmů jsou základními zdroji kontaktních informací databáze RIRů, databáze provozovatelů domén nejvyšší úrovně a katalogy CERT/CSIRT týmů.

RIR (Regionální Internetový Registr) drží a zpřístupňují informace o tom, komu byl přidělen který blok IP adres. Svět je rozdělen na oblasti a každý RIR (aktuálně RIPE, ARIN, APNIC, LACNIC, AFRINIC) přiděluje IP adresy pro svoji oblast. Oblast Evropy, Blízkého východu a části Asie je pod správou organizace RIPE NCC (https://www.ripe.net/). RIR provozují veřejně přístupné databáze, které obsahují údaje o přidělených internetových sítích a jejich správcích. Tyto databáze tak umožňují vyhledat údaje o tom, která organizace a kteří správci jsou zodpovědní za konkrétní IP adresy.

Dalším zdrojem užitečných informací jsou údaje o doménách, které provozují a zpřístupňují správci domén nejvyšší úrovně, pro TLD doménu .cz je to sdružení CZ.NIC.

A pak je zde oblast CERT/CSIRT týmů, které své pole působnosti obvykle definují pomocí internetových identifikátorů, jmenných domén, nebo klidně jen slovně. Vzhledem k jejich počtu, způsobu definování jejich pole působnosti a zejména rozdílům v jejich úrovni není vždy snadné najít tým, který je schopný pomoci. Pro usnadnění orientace mezi týmy vznikly jakési „katalogy“, o které se starají organizace FIRST a úřad Trusted Introducer. Tyto katalogy obsahují základní informace o CERT/CSIRTech, kontaktech, jejich poli působnosti apod.

Proces hlášení a řešení bezpečnostních incidentů (odborně incident handling) není exaktní proces, právě naopak, a hodně záleží na zkušenostech a občas i kreativitě člověka, který tento proces provádí. Výměna informací mezi týmy obvykle probíhá rychle a efektivně, i když ani to často nezaručuje rychlé vyřešení problému, protože na to je celá infrastruktura ještě stále poměrně „řídká“, a bohužel je nutné konstatovat, že i úroveň týmů je různá.

Optimální stav infrastruktury by byl ten, kdyby se každá IP adresa vyskytovala v poli působnosti oficiálního CSIRT týmu. V této situaci ale infrastruktura CERT/CSIRT týmů zdaleka není.

Z pohledu normálního uživatele je situace značně nejasná a popravdě i matoucí. Co by tedy uživatel měl v případě zjištění bezpečnostního incidentu vlastně dělat a na koho by se měl obrátit? Těžko po uživateli chtít, aby se orientoval v problematice CERT/CSIRT týmů, dokázal si najít ten správný, nastudoval jeho politiku hlášení bezpečnostních incidentů a šel konat. Uživatel by se v první řadě měl obrátit na administrátora své sítě či služeb (pokud někoho takového má), případně by měl spolupracovat s poskytovatelem připojení, tzn. helpdeskem svého ISP nebo jeho uživatelskou podporou. Na straně poskytovatele připojení či služeb by měl pro jeho uživatele existovat jasně popsaný vstupní bod (kontakt), na který by se uživatelé mohli a měli obracet v případě, kdy se stanou cílem útoku, zjistí bezpečnostní incident, nebo mají pocit, že něco není v pořádku. To je důvod, proč je prostředí poskytovatelů připojení jednou z nejdůležitějších oblastí, kde by měl být konstituován oficiální CERT/CSIRT tým a poskytovat služby z oblasti bezpečnosti uživatelům své sítě.

Samozřejmě může nastat situace, kdy jak technik, tak uživatel udělá všechno správně, a řešení problému stejně není v dohledu. Osoba či tým na hlášený problém nereaguje, nebo jej dokonce odmítá řešit (s tím, že to není jeho problém, nebo to není tak vážné) apod. To je právě moment, kdy ke slovu přichází buď Policie ČR (uživatel se na ni může obrátit s podáním trestního oznámení), nebo vrcholový tým (národní nebo vládní), na nějž se uživatel může obrátit jako na poslední instanci, od které lze očekávat pomoc a reakci.

Mezi národním a vládním týmem existuje velmi úzká spolupráce a výměna informací a relevantních dat, a tedy i předání nahlášeného problému k řešení od jednoho týmu k druhému nebo přímo spolupráce na řešení.

Národní i vládní tým by obecně pro provozovatele sítí, služeb (a v případě nutnosti i pro uživatele) měly být místem, kde je v případě problémů, nejasností apod. možné žádat o pomoc a konzultaci, např. dohledání vhodného protějšku ke komunikaci (zahraničního CERT/CSIRT týmu), zprostředkování komunikace (ano, někdy se „páka“ vrcholového týmu hodí, protějšek je pak ochotnější), a zdrojem know-how a informací.

Obecně by ale bylo žádoucí, aby správci sítí a služeb a členové bezpečnostních týmů zvládali a aplikovali principy procesu incident handling a maximum komunikace probíhalo přímo (ne přes vrcholové týmy). To činí proces incident handlingu rychlým a efektivním, další mezistupně do něj mohou vnášet nepříjemná zdržení a bohužel i zkreslení. Ale jak už bylo řečeno, záleží na závažnosti situace a řešeného problému.

Týmy typu CERT/CSIRT a jejich infrastruktura obecně nejsou všespasitelné a neznamenají zajištění bezpečnosti „v kostce“.

Jejich existence je jen jeden z kamínků v oblasti budování bezpečnosti Internetu, ve kterém hrají svou důležitou roli všichni zainteresovaní, tj. správci sítí, služeb, manažeři, kteří rozhodují o zázemí pro efektivní zabezpečení sítí a služeb, ISP, provozovatelé kritických služeb, bezpečnostní složky, stát, a v neposlední řadě také my uživatelé.

Aktuální seznam týmů CSIRT/CERT je možné nalézt na:

https://www.enisa.europa.eu/topics/csirts-in-europe/csirt-inventory/certs-by-country-interactive-map .