CSIRT i CERT
2. Zespoły CERT/CSIRT
2.10. Z którym zespołem CERT/CSIRT należy się skontaktować?
Tytuł tego podrozdziału to także częsta skarga internauty, który znalazł się w kłopotach (np. został zaatakowany, skradziono mu tożsamość, zhakowano jego profil na Facebooku lub konto poczty elektronicznej, był świadkiem rozpowszechniania pornografii dziecięcej). Co powinien zrobić taki użytkownik? Skontaktować się z policją czeską? Czy też do dostawcy połączenia, np. do jego działu pomocy technicznej? Czy też do Krajowego Biura ds. Cyberbezpieczeństwa i Informacji, ponieważ jest to organ odpowiedzialny za bezpieczeństwo cybernetyczne? Na infolinię Národního centra bezpečnějšího internetu? A może do jakiegoś zespołu CSIRT, skoro ciągle o nich mówią? Ale który z nich?
Proces zgłaszania i rozwiązywania incydentów bezpieczeństwa (a właściwie "z kim mam się skontaktować, aby zgłosić lub rozwiązać incydent bezpieczeństwa") można rozpatrywać z dwóch perspektyw. Z perspektywy techników (administratorów sieci i usług, członków zespołów ds. bezpieczeństwa) oraz z perspektywy użytkowników.
Dla techników (administratorów sieci i usług, członków zespołów ds. bezpieczeństwa) odpowiedź na pytanie "do kogo właściwie powinienem się zgłosić z prośbą o podjęcie działań" jest dość oczywista, ale wynika to z zapału, doświadczenia, a przede wszystkim bardzo dobrej znajomości środowiska internetowego i jego podstawowych zasad, a także wiedzy, gdzie można znaleźć informacje kontaktowe dotyczące poszczególnych istniejących sieci, usług, domen itp.
Dla członków zespołów CERT/CSIRT podstawowym źródłem informacji kontaktowych są bazy danych RIR, bazy danych TLD oraz katalogi zespołów CERT/CSIRT.
Rejestry RIR (Regional Internet Registries) przechowują i udostępniają informacje o tym, komu przydzielono dany blok adresów IP. Świat jest podzielony na regiony i każdy RIR (obecnie RIPE, ARIN, APNIC, LACNIC, AFRINIC) przydziela adresy IP dla swojego regionu. Region Europy, Bliskiego Wschodu i części Azji jest zarządzany przez RIPE NCC (https://www.ripe.net/). Biura RIR prowadzą publicznie dostępne bazy danych, które zawierają dane o przydzielonych sieciach internetowych i ich administratorach. Te bazy danych umożliwiają sprawdzenie, która organizacja i którzy administratorzy są odpowiedzialni za konkretne adresy IP.
Innym źródłem przydatnych informacji są dane o domenach obsługiwanych i udostępnianych przez administratorów domen najwyższego poziomu, w przypadku TLD .cz jest to stowarzyszenie CZ.NIC.
Do tego dochodzą zespoły CERT/CSIRT, które zwykle określają swój obszar działania za pomocą identyfikatorów internetowych, domen nazw lub po prostu słownie. Ze względu na ich liczbę, sposób definiowania zakresu działania, a zwłaszcza różnice w ich poziomie, nie zawsze łatwo jest znaleźć zespół, który byłby w stanie pomóc. Aby ułatwić nawigację między zespołami, stworzono swego rodzaju "katalogi", które są prowadzone przez FIRST i Biuro Zaufanego Przedstawiciela. Katalogi te zawierają podstawowe informacje o zespołach CERT/CSIRTech, ich kontaktach, zakresie działania itp.
Proces zgłaszania i rozwiązywania incydentów bezpieczeństwa (technicznie rzecz biorąc - obsługa incydentów) nie jest procesem ścisłym, wręcz przeciwnie, i wiele zależy od doświadczenia, a czasem nawet kreatywności osoby, która ten proces realizuje. Wymiana informacji między zespołami jest zazwyczaj szybka i sprawna, choć i to często nie gwarantuje szybkiego rozwiązania problemu, gdyż cała infrastruktura jest jeszcze dość "uboga" w tym zakresie, a niestety trzeba powiedzieć, że poziom zespołów jest również różny.
Optymalnym stanem infrastruktury byłoby, gdyby każdy adres IP znajdował się w zasięgu działania oficjalnego zespołu CSIRT. W tej sytuacji jednak infrastruktura zespołów CERT/CSIRT jest daleka od istnienia.
Z perspektywy zwykłego użytkownika sytuacja jest bardzo niejasna i wręcz myląca. Co zatem powinien zrobić użytkownik w przypadku incydentu bezpieczeństwa i z kim powinien się skontaktować? Trudno wymagać od użytkownika, aby wiedział o zespołach CERT/CSIRT, znalazł właściwy, zapoznał się z jego polityką zgłaszania incydentów bezpieczeństwa i podjął odpowiednie działania. W pierwszej kolejności użytkownik powinien skontaktować się ze swoim administratorem sieci lub serwisu (jeśli go posiada) albo skontaktować się z dostawcą połączenia, tj. z działem pomocy technicznej dostawcy usług internetowych lub jego działem obsługi użytkownika. Po stronie dostawcy usług internetowych powinien istnieć jasno opisany punkt dostępu (kontakt) dla użytkowników, do którego użytkownicy mogą i powinni się zwracać w przypadku, gdy są celem ataku, odkryją incydent bezpieczeństwa lub mają poczucie, że coś jest nie tak. Dlatego środowisko dostawców usług internetowych jest jednym z najważniejszych obszarów, w którym powinien zostać powołany oficjalny zespół CERT/CSIRT, świadczący usługi bezpieczeństwa dla użytkowników ich sieci.
Oczywiście mogą zdarzyć się sytuacje, w których zarówno technik, jak i użytkownik robią wszystko jak należy, a rozwiązania nie widać. Osoba lub zespół nie reaguje na zgłoszony problem lub wręcz odmawia zajęcia się nim (twierdząc, że to nie ich problem lub że nie jest on aż tak poważny) itp. W tym momencie do akcji wkracza policja czeska (użytkownik może się z nią skontaktować, aby złożyć skargę karną), albo najwyższa instancja (krajowa lub rządowa), do której użytkownik może się zwrócić w ostateczności i od której może oczekiwać pomocy i reakcji.
Pomiędzy zespołem krajowym a rządowym istnieje bardzo ścisła współpraca i wymiana informacji oraz istotnych danych, a zatem przekazywanie zgłoszonego problemu do rozwiązania przez jeden zespół drugiemu lub bezpośrednia współpraca nad rozwiązaniem.
Zespoły krajowe i rządowe powinny być miejscem, do którego operatorzy sieci, służby (a w razie potrzeby także użytkownicy) mogą zwracać się o pomoc i konsultacje w przypadku problemów, niejasności itp., np. znalezienie odpowiedniego partnera do komunikacji (zagraniczny zespół CERT/CSIRT), pośredniczenie w komunikacji (tak, czasem przydaje się "dźwignia" ze strony najwyższego zespołu, partner jest wtedy bardziej chętny) oraz źródło know-how i informacji.
Ogólnie rzecz biorąc, byłoby jednak pożądane, aby administratorzy sieci i usług oraz członkowie zespołów ds. bezpieczeństwa opanowali i stosowali zasady procesu obsługi incydentów oraz zmaksymalizowali komunikację bezpośrednio (nie za pośrednictwem zespołów wyższego szczebla). Dzięki temu proces obsługi incydentów przebiega szybko i sprawnie; dodatkowe etapy pośrednie mogą powodować nieprzyjemne opóźnienia i, niestety, zniekształcenia. Jak jednak wspomniano, zależy to od powagi sytuacji i problemu, który ma być rozwiązany.
Centra CERT/CSIRT i ich infrastruktura na ogół nie są wszechstronne i nie reprezentują bezpieczeństwa "w pigułce".
Ich istnienie to tylko jeden z kamieni milowych w obszarze budowania bezpieczeństwa Internetu, w którym ważną rolę odgrywają wszystkie zainteresowane strony, a więc administratorzy sieci i usług, menedżerowie decydujący o podstawach skutecznego zabezpieczenia sieci i usług, dostawcy usług internetowych, operatorzy usług krytycznych, służby bezpieczeństwa, państwo i wreszcie my - użytkownicy.
Aktualną listę zespołów CSIRT/CERT można znaleźć na stronie:
https://www.enisa.europa.eu/topics/csirts-in-europe/csirt-inventory/certs-by-country-interactive-map .