Prijava incidenta

Ukrepanje po incidentu

Po opaženem incidentu se morate čimprej odločiti o tem, kako boste ukrepali (kar je seveda odvisno od narave incidenta ali zlorabe).

1. Preverite, ali so vaši sumi upravičeni - lahko da je prišlo do napake kje drugje (programska ali človeška napaka).
2. Ali je pri incidentu prišlo do kakršnekoli škode?
3. Kakšna je verjetnost, da je prišlo do spremembe sistemskih programov (stranska vrata in trojanski konji)?
4. Boste nadaljevanje incidenta spremljali z namenom zbiranja dodatnih podatkov, ali želite sisteme čimprej "očistiti"?
5. Kako je najbolje zavarovati podatke; ali je možno, da bo prišlo do kazenskega pregona?
6. Ali je potrebno prizadete sisteme ali dele omrežja čimprej spet spraviti v stanje normalnega delovanja na omrežju?
7. želite o incidentu koga obvestiti (znotraj ali zunaj vaše organizacije), ali pa nasprotno želite informacijo zadržati v čimožjem krogu?
8. Ali se lahko incident ponovi?

Sporočanje incidenta SI-CERT

Najbolj pomembna podatka pri vsakem prijavljanju kakršnekoli omrežne zlorabe ali varnostnega incidenta sta:

1. datum in točen čas dogodka
   
2. IP številka oz. naslov izvora

Zgornja dva podatka sta praviloma vedno prisotna v sistemskih zapisih, ki beležijo aktivnosti na sistemu ("log files" oz. "audit files"). V elektronski pošti sta ta podatka vidna v glavi sporočila, ki pa se ne prikaže v polni obliki v vseh programih za elektronsko pošto, zato morate najti način prikaza polne glave sporočila (dosikrat se možnost nahaja v menuju programa kot "full headers", ali pa možnost "view as source").

Če želite pomoč ali svetovanje pri zlorabi ali varnostnem incidentu, lahko relevantne podatke skupaj z opisom dogodka pošljete po elektronski pošti na si-cert@arnes.si, ali z navadno pošto na:

ARNES SI-CERT
Jamova 39,
p.p. 7 1001 Ljubljana

oz. po telefaksu na številko (01) 479 88 23.

Pri pošiljanju podatkov preko elektronske pošte lahko podatke zašifrirate s programom PGP (Pretty Good Privacy) tako, da uporabite SI-CERT javni PGP ključ.

Prijava kaznivih dejanj

Če sumite, da je na omrežju prišlo do kaznivega dejanja, oz. smatrate, da je potreben sodni pregon dejanja, vam svetujemo, da se obrnete na Upravo kriminalistične službe ministrstva za notranje zadeve (UKS MNZ). SI-CERT vam lahko pri tem pomaga kot posrednik pri vzpostavljanju komunikacije z ustreznimi osebami na UKS MNZ.

Obveščenost o novih možnostih zlorabe

Izredno pomembno je, da ostanete obveščeni o novih dogodkih na področju varovanja sistemov in podatkov na omrežju, zato vam priporočamo redno spremljanje naslednjih informacij:

• SI-CERT obvestila
• F-Secure AntiVirus novice v slovenščini
• CIAC (Computer Incident Advisory Capability)
• CERT/CC (Computer Emergency Response Team Coordination Center)
• Microsoft Security Advisor
• Secunia