Pojasnila o priglasitvi kibernetskih incidentov in izmenjavi informacij
Kako prijaviti incident na SI-CERT
Deljenje informacij v CSIRT skupnosti
Izmenjava informacij o kibernetskih grožnjah prek platforme MISP
Obveznost priglasitve
S sprejetjem Zakona o informacijski varnosti (ZInfV) leta 2018, ki je v slovenski pravni red prenesel Direktivo o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (direktiva NIS), je SI-CERT določen za nacionalno skupino CSIRT, katere naloge so opredeljene v 28. členu ZInfV. Kot ključne naloge v vlogi nacionalne skupine CSIRT izpostavljamo sprejem prijav incidentov, ki jih priglasijo zavezanci, in nudenje metodološke pomoči pri obvladovanju incidentov, saj pravilno in pravočasno odzivanje na kibernetske incidente bistveno prispeva k zagotavljanju visoke stopnje kibernetske varnosti v državi.
V vlogi zavezancev, ki imajo dolžnost priglasitve kibernetskih incidentov nacionalni CSIRT skupini, so tri skupine subjektov:
- Zavezanci po Zakonu o informacijski varnosti (ZInfV) so tako izvajalci bistvenih storitev (priglasitev v skladu s 13. členom ZInfV) kot ponudniki digitalnih storitev (priglasitev v skladu s 14. členom ZInfV), ki morajo nacionalnemu CSIRT brez nepotrebnega odlašanja priglasiti incidente s pomembnim negativnim vplivom na delovanje bistvenih storitev, ki jih zagotavljajo. Pri določitvi, ali bi incident imel pomemben negativen vpliv, se upoštevajo dejavniki, ki so navedeni v Uredbi o določitvi bistvenih storitev in podrobnejši metodologiji za določitev izvajalcev bistvenih storitev.
- Zavezanci po Zakonu o elektronskih komunikacijah (ZEKom-2); namen ZEKom-2, ki je uveljavil Direktivo (EU) 2018/1972 o elektronskih komunikacijah, je ojačati varnost javnih komunikacijskih omrežij in storitev subjektov, ki z vidika države in družbe zagotavljajo kritične storitve, kar ima pomen tudi za nacionalno varnost. Skladno s to zavezo in zaradi večje učinkovitosti in takojšnjega razreševanja varnostnih incidentov morajo operaterji o varnostnem incidentu takoj obvestiti AKOS in SI-CERT (nacionalno skupino CSIRT). Pogoji, kdaj gre za takšne varnostne incidente, so določeni v 118. členu ZEKom-2.
- Zavezanci po Zakonu o varstvu osebnih podatkov (ZVOP-2); Zakon o varstvu osebnih podatkov prenaša evropsko splošno uredbo o varstvu podatkov (GDPR) v slovensko zakonodajo in tudi ureja nacionalne posebnosti varstva osebnih podatkov. 23. člen ZVOP-2, kjer so opredeljene posebne obdelave osebnih podatkov, upravljavcem nalaga smiselno uporabo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.
Kako prijaviti incident na SI-CERT
Zaznani incident zavezanci v čim krajšem času, brez nepotrebnega odlašanja priglasite po elektronski pošti na naš naslov cert@cert.si.
Podatke lahko zašifrirate s SI-CERT javnim PGP ključem. Če niste vešči postopkov šifriranja in digitalnega podpisovanja s PGP, lahko občutljive podatke pošljite v ZIP arhivu, ki ga zaščitite z geslom. V primeru želje ali zahteve po uporabi druge vrste šifriranja in/ali digitalnega podpisovanja, nam to posebej sporočite.
V primeru posredovanja vzorcev škodljive kode ali druge zlonamerne ali sumljive vsebine, morate le-to pred pošiljanjem zašifrirati. V nasprotnem primeru sporočilo ne bo dostavljeno, zaradi detekcije škodljive vsebine na poštnem strežniku.
Obrazci za poročanje
- Zavezanci, kot jih določa metodologija po ZInfV, pri sporočanju incidentov sledijo Nacionalnemu načrtu odzivanja na kibernetske incidente (NOKI), ki je vodilo zavezancev, komu, kdaj in kako priglasiti kibernetski incident znotraj svojih sistemov. Zavezanci lahko v komunikaciji s SI-CERT prostovoljno uporabijo obrazec Priloga E iz NOKI.
- Operaterji elektronskih komunikacij v skladu z ZEKom-2 incident priglasijo prek obrazca, predpisanega s strani AKOS Poročilo o varnostnem incidentu
- Upravljavci pri sporočanju kršitev varnosti osebnih podatkov na področju posebnih obdelav sledijo določbam po ZInfV in pri priglasitvi incidenta lahko uporabijo obrazec Priloga E iz NOKI.
Dodatni napotki
- Prijava naj poleg ključnih podatkov o zaznanem incidentu (čas zaznave incidenta, opis, kaj se je zgodilo, vpliv incidenta na delovanje storitve ipd.), vsebuje še vse relevantne dnevniške izseke (ang. log files), vzorce škodljive kode, podtaknjene vsebine na spletni strani ipd.
- Če je možno, naj bodo poslani podatki v formatu, ki omogoča čim lažjo strojno obdelavo (txt, csv, json, xml, log, …). Izogibajte se formatom, ki niso namenjeni strojni obdelavi (pdf, xlsx, jpg, png, …).
- V primeru potrebe po pošiljanju večje količine podatkov, nam to posebej sporočite, da vam pošljemo povezavo na spletno stran, na kateri boste lahko varno odložili večje datoteke.
- Po prejemu prijave lahko iz naše strani pričakujete odgovor s potrdilom o prejemu prijave. Odgovor v zadevi vsebuje unikatno oznako (primer: \[SI-CERT#187654\]). Če je le možno, naj vsa nadaljnja komunikacija glede istega incidenta v zadevi sporočila ohrani to oznako.
Prostovoljna prijava
Zavezanci lahko na SI-CERT priglasite tudi incident ali varnostni dogodek, ki po pomembnosti ne zadostuje kriterijem za obvezno poročanje, bi pa podatki o incidentu lahko koristili širši skupnosti. Tako prijavo obravnavamo kot prostovoljno priglašeno prijavo. Med take primere lahko spadajo:
- email, ki vsebuje škodljivo kodo;
- kakršenkoli phishing napad (tudi neuspešen);
- zaznane okužbe spletnih strani;
- skeniranje omrežja, poskusi vdorov, ali kakršenkoli drug škodljiv ali sumljiv promet iz slovenskih IP naslovov;
- skeniranje omrežja ali poskusi vdorov, ki odstopajo od običajnih zaznav;
- novi, neznani in neobičajni vzorci napadov.
Deljenje informacij v CSIRT skupnosti
SI-CERT vse informacije, povezane s prijavljenimi kibernetskimi incidenti, tako prostovoljnimi kot s strani zavezancev, obravnava kot zaupne.
Skladno z ustaljenimi postopki delovanja odzivnih centrov pa lahko določene kazalnike zlorab (ang. indicators of compromise, IoC) delimo še v širši CSIRT skupnosti.
Pri tem uporabljamo protokol TLP (ang. Traffic Light Protocol), ki je postal de-facto standard pri izmenjavi informacij.
Oznaka | Pomen |
TLP:RED | Informacija ni za razkritje, omejeno le na prisotne Naslovniki ne smejo deliti informacije izven okvirja samega sestanka ali pogovora, v katerem je bila informacija posredovana. Informacija TLP:RED se mora posredovati ustno ali osebno. |
TLP:AMBER | Razkritje omejeno na organizacije udeleženih Naslovniki lahko delijo informacijo samo znotraj svoje organizacije oz. pošiljatelj lahko dovoli izmenjavo tudi s partnerskimi organizacijami naslovnika, ko je poznavanje informacije nujno pri zaščiti in preprečevanju nadaljnje škode. Upoštevajte, da oznaka TLP:AMBER+STRICT omejuje deljenje samo na organizacijo. |
TLP:GREEN | Razkritje omejeno na skupnost ali sektor Naslovniki lahko delijo informacijo po potrebi znotraj svoje organizacije ter znotraj svoje skupnosti ali sektorja, vendar pa ne po komunikacijskih kanalih, ki so dostopni tudi širši javnosti (objava na javno dostopnih mestih). |
TLP:CLEAR | Razkritje ni omejeno Naslovniki lahko informacijo prosto delijo naprej. |
Izmenjava informacij o kibernetskih grožnjah
MISP (Malware Information Sharing Platform) je odprtokodna platforma za izmenjavo informacij o kibernetskih grožnjah. Prek platforme MISP partnerji izmenjujemo informacije o kazalnikih zlorab (IoC), pridobljenih z analizo škodljive kode ali zajemom in analizo sumljive omrežne dejavnosti. Tako pridobljeni indikatorji so ključnega pomena pri pravočasnem odkrivanju in proaktivni zajezitvi omrežnih zlorab ter tudi za povezovanje posameznih, z analizo pridobljenih indikatorjev z že znanimi omrežnimi zlorabami in okužbami.
Na SI-CERT upravljamo centralno vozlišče MISP v državi in smo dobro povezani v mednarodno skupnost. S priklopom na platformo MISP organizacije pridobijo brezplačen dostop do širokega nabora indikatorjev zlorab, ki jih lahko uporabijo za iskanje korelacij znotraj sistema SIEM ali pa zgolj kot dodatna pravila na požarni pregradi ali obogatitev filtrov poštnega strežnika. Več pojasnil smo pripravili v članku.
SI-CERT se je globalni skupnosti MISP aktivno pridružil pred skoraj desetimi leti. V preteklih desetih letih smo skrbeli za vpeljavo platforme MISP v lokalni skupnosti in pri širitvi platforme MISP v druge države bližnje regije, kjer predstavljamo stičišče za izmenjavo s skupinami CSIRT na območju Zahodnega Balkana
Katere organizacija lahko pridobijo dostop do platforme MISP?
K uporabi platforme MISP želimo vzpodbuditi čimveč zavezancev po Zakonu o informacijski varnosti (kar nekaj jih je že povezanih), podatke izmenjave lahko namreč povežejo v svoje SIEM sisteme in sporočene indikatorje upoštevajo pri zaščiti svojega omrežja.
Trenutno je kriterij upravičenosti dostopa do platforme omejen na zavezance, kot jih opredeljuje ZInfV.
Kako izvesti priklop na platformo MISP?
Vsa vprašanja, povezana s priklopom na MISP, naslovite na info@cert.si
Vnaprej pojasnjujemo, da SI-CERT ne more nuditi tehnične podpore za namestitev in upravljanje sistema pri zavezancih.
Dodatne informacije o uporabi in namestitvi MISP instance
- dokumentacija za MISP se nahaja na spletnem naslovu: https://www.misp-project.org/
- MISP je odprtokoden projekt, vsa izvorna koda se tako nahaja na javno dostopnem naslovu: https://github.com/MISP/MISP
- glavno vlogo pri razvoju MISP projekta ima CIRCL, ki ponuja tudi kopico učnih materialov: https://circl.lu/services/misp-training-materials/