CSIRT i CERT

Szczególną formą zespołów CERT/CSIRT są zespoły krajowe i rządowe. Współpracują z innymi zespołami CERT/CSIRT jak równy z równym, ale ich rola w całym systemie jest inna.

Krajowy CERT/CSIRT działa jako ostatnia deska ratunku - ostatnia instancja, do której można zwrócić się o interwencję, pomoc i interwencję. Jej celem jest (w kraju lub regionie, w którym działa) pośredniczenie w kontakcie między zaatakowanym a sprawcą problemu oraz ułatwianie pomyślnego rozwiązania problemu. Zespoły narodowe nie kontrolują (zazwyczaj) infrastruktury fizycznej, więc nie mają (w przeciwieństwie do zespołów wewnętrznych/instytucjonalnych) możliwości bezpośredniej interwencji. Ich rolą jest pośredniczenie w kontaktach lub koordynowanie (stąd nazwa zespół koordynacyjny) działań różnych podmiotów, gdy problem jest większy i wymaga współpracy kilku podmiotów.

Zgodnie z zasadą działania całej struktury, incydenty, które przechodzą przez krajowy system CSIRT, stanowią zwykle tylko ułamek ogólnej liczby. Większość incydentów jest rozwiązywana w drodze bezpośredniej komunikacji, bez konieczności eskalacji i mediacji. Oznacza to, że do zespołu krajowego trafiają głównie incydenty, których nie da się rozwiązać w inny sposób (osoby odpowiedzialne odmawiają ich rozwiązania, niełatwo jest ustalić, kto jest odpowiedzialny za ich rozwiązanie), bardzo poważne lub powtarzające się problemy, problemy, które mogą mieć szeroki zasięg itp.

Krajowy zespół CERT/CSIRT zazwyczaj ma w swoim zakresie obowiązków edukację i współpracę. Obejmuje to zarówno edukację publiczną, jak i pracę w ramach infrastruktury internetowej. Celem jest wspieranie tworzenia innych zespołów CERT/CSIRT w kraju, inicjowanie ich działalności na arenie międzynarodowej oraz wspieranie wdrażania standardowych praktyk i procedur. Wszystko to znacznie zwiększa przejrzystość środowiska i daje osobom atakowanym szansę na skuteczne dochodzenie roszczeń.

Rządowe zespoły CERT/CSIRT zazwyczaj koncentrują się na administracji państwowej i samorządowej oraz na reagowaniu na incydenty zagrażające bezpieczeństwu państwa i jego służb. Rządowy CERT/CSIRT może mieć formę wewnętrznego zespołu zdolnego do bezpośredniej interwencji w przypadku wystąpienia problemu. Jego istnienie jest zwykle poparte przepisami prawa.

Nie jest to jednak dogmat; sytuacja różni się w zależności od kraju. Istnieją kraje, w których istnieje tylko drużyna narodowa (i działa ona także jako drużyna rządowa), istnieją kraje, w których istnieje drużyna rządowa (i działa ona jako drużyna narodowa), istnieją kraje, w których istnieją obie te drużyny, istnieją kraje, w których nie ma żadnej z nich, a rolę drużyny najwyższej zastępuje jedna z istniejących drużyn itd.