Pojasnila o priglasitvi kibernetskih incidentov in izmenjavi informacij -

Izmenjava informacij o kibernetskih grožnjah prek platforme MISP

Obveznost priglasitve

Nov Zakon o informacijski varnosti (ZInfV-1), sprejet leta 2025, v slovenski pravni red prenaša evropsko direktivo (EU) 2022/2555 (NIS 2) in določa pravila za izboljšanje varnosti omrežij ter informacijskih sistemov. Skladno z 59. členom ZInfV-1 je SI-CERT pristojen za obravnavo incidentov, ki jih priglasijo zavezanci iz prvega odstavka 6. člena ZInfV-1, razen subjektov javne uprave na državni in lokalni ravni ter ponudnikov storitev zaupanja, ki jih izvajajo subjekti državne uprave. Kot ključne naloge na SI-CERT izpostavljamo sprejem prijav incidentov, ki jih priglasijo zavezanci, in nudenje metodološke pomoči pri obvladovanju incidentov, saj pravilno in pravočasno odzivanje na kibernetske incidente bistveno prispeva k zagotavljanju visoke stopnje kibernetske varnosti v državi.

V vlogi zavezancev, ki imajo dolžnost priglasitve kibernetskih incidentov nacionalni CSIRT skupini, so tri skupine subjektov:

Zavezanci iz prvega odstavka 6. člena ZInfV-1, razen subjektov javne uprave na državni in lokalni ravni ter ponudnikov storitev zaupanja, ki jih izvajajo subjekti državne uprave, morajo na SI-CERT priglasiti vse incidente, ki imajo pomemben vpliv na zagotavljanje njihovih storitev. Incident se šteje za pomembnega, če je zavezancu povzročil ali bi mu lahko povzročil resne operativne motnje pri opravljanju storitev ali finančne izgube, ali pa je vplival ali bi lahko vplival na druge fizične ali pravne osebe s povzročitvijo precejšnje premoženjske ali nepremoženjske škode.
Zavezanci po Zakonu o varstvu osebnih podatkov (ZVOP-2); Zakon o varstvu osebnih podatkov prenaša evropsko splošno uredbo o varstvu podatkov (GDPR) v slovensko zakonodajo in tudi ureja nacionalne posebnosti varstva osebnih podatkov. 23. člen ZVOP-2, kjer so opredeljene posebne obdelave osebnih podatkov, upravljavcem nalaga smiselno uporabo določbe o ukrepih za obvladovanje tveganj in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na bistvene subjekte, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.
V skladu z Uredbo o izvajanju uredbe (EU) o digitalni operativni odpornosti za finančni sektor morajo finančni subjekti o večjih incidentih, povezanih z IKT, poročati pristojnim organom in skupinam za odzivanje na incidente s področja računalniške varnosti (CSIRT).

Kako prijaviti incident na SI-CERT

Kontaktni naslov za poročanje o incidentih na SI-CERT je cert@cert.si.

Podatke lahko zašifrirate s SI-CERT javnim PGP ključem. Če niste vešči postopkov šifriranja in digitalnega podpisovanja s PGP, lahko občutljive podatke pošljite v ZIP arhivu, ki ga zaščitite z geslom. V primeru želje ali zahteve po uporabi druge vrste šifriranja in/ali digitalnega podpisovanja, nam to posebej sporočite.

V primeru posredovanja vzorcev škodljive kode ali druge zlonamerne ali sumljive vsebine, morate le-to pred pošiljanjem zašifrirati. V nasprotnem primeru sporočilo najverjetneje ne bo dostavljeno, zaradi detekcije škodljive vsebine na poštnem strežniku.

Večje datoteke do velikosti 100 GB lahko odložite na spletni strani za odlaganje večjih datotek, ki uporablja storitev Arnes Filesender. Datoteke odložite v polje “drag & drop files here”. Datoteke lahko pred pošiljanjem zašifrirate z geslom (izberite možnost “Šifriranje datotek (beta)”).

Časovni roki in obrazci za poročanje

Zakon o informacijski varnosti zavezancem določa naslednje časovne roke za priglasitev incidentov:

Zavezanci morajo zgodnje sporočilo o zaznavi pomembnega incidenta sporočiti nemudoma oz. najpozneje v 24 urah po zaznavi. Forma prijave je lahko običajno elektronsko sporočilo in naj vsebuje osnovne podatke o incidentu ter informacijo, ali je bil incident domnevno povzročen z nezakonitim ali zlonamernim dejanjem in ali bi lahko imel čezmejni vpliv. V primeru, da takoj po zaznavi incidenta še ni povsem jasno, ali incident dosega kriterije za obvezno poročanje, zavezancem svetujemo, da na SI-CERT vseeno prijavijo incident. V prijavi tudi navedite, ali potrebujete asistenco SI-CERT. Navedite tudi vaše kontaktne podatke, kamor vas lahko kontaktiramo.
Nemudoma, najpozneje pa v 72 urah po zaznavi pomembnega incidenta, zavezanci priglasijo incident, pri čemer se priporoča uporabo obrazca Priloga E iz NOKI. Prijava naj vsebuje čimveč podatkov o incidentu (gl. razdelek spodaj “Dodatni napotki”), navedbo začetne ocene pomembnosti incidenta (po 36. čl. ZInfV-1), vključno z njegovo resnostjo in vplivom, ter kazalnike ogroženosti, če so ti že na voljo.
Zavezanci pošljejo končno poročilo o incidentu najpozneje v enem mesecu po priglasitvi incidenta na obrazcu Priloga E iz NOKI. Končno poročilo mora vsebovati podroben opis incidenta, vključno z njegovo resnostjo in vplivom, vrsto grožnje ali temeljnega vzroka, ki je verjetno povzročil incident, podatke o izvedenih blažilnih ukrepih in ukrepih, ki se izvajajo, in podatek o čezmejnem vplivu incidenta. Če incident po enem mesecu od zaznave še vedno poteka, se predloži poročilo o napredku, končno poročilo pa najpozneje en mesec po rešitvi incidenta.

Dodatni napotki

Prijava naj poleg ključnih podatkov o zaznanem incidentu (čas zaznave incidenta, opis, kaj se je zgodilo, vpliv incidenta na delovanje storitve ipd.), vsebuje še vse relevantne dnevniške izseke (ang. log files), vzorce škodljive kode, podtaknjene vsebine na spletni strani ipd.
Če je možno, naj bodo poslani podatki v formatu, ki omogoča čim lažjo strojno obdelavo (txt, csv, json, xml, log, …). Izogibajte se formatom, ki niso namenjeni strojni obdelavi (pdf, xlsx, jpg, png, …).
Po prejemu prijave lahko iz naše strani pričakujete odgovor s potrdilom o prejemu prijave. Odgovor v zadevi vsebuje unikatno oznako (primer: [SI-CERT#187654]). Če je le možno, naj vsa nadaljnja komunikacija glede istega incidenta v zadevi sporočila ohrani to oznako.

Prostovoljna prijava

Zavezanci po ZInfV-1 lahko na SI-CERT, skladno s 35. členom zakona, priglasijo tudi incidente, kibernetske grožnje in skorajšnje incidente, ki po pomembnosti ne zadostujejo kriterijem za obvezno poročanje, bi pa podatki o incidentu lahko koristili širši skupnosti. Tako prijavo obravnavamo kot prostovoljno priglasitev. Med take primere lahko spadajo:

email, ki vsebuje škodljivo kodo;
kakršenkoli phishing napad (tudi neuspešen);
zaznane okužbe spletnih strani;
skeniranje omrežja, poskusi vdorov, ali kakršenkoli drug škodljiv ali sumljiv promet iz slovenskih IP naslovov;
skeniranje omrežja ali poskusi vdorov, ki odstopajo od običajnih zaznav;
novi, neznani in neobičajni vzorci napadov.

Deljenje informacij v CSIRT skupnosti

SI-CERT vse informacije, povezane s prijavljenimi kibernetskimi incidenti, tako prostovoljnimi prijavami kot priglašenimi s strani zavezancev, obravnava kot zaupne.

Skladno z ustaljenimi postopki delovanja odzivnih centrov pa lahko določene kazalnike zlorab (ang. indicators of compromise, IoC) delimo še v širši CSIRT skupnosti.

Pri tem uporabljamo protokol TLP (ang. Traffic Light Protocol), ki je postal de-facto standard pri izmenjavi informacij.

Oznaka	Pomen
TLP:RED	Informacija ni za razkritje, omejeno le na prisotne Naslovniki ne smejo deliti informacije izven okvirja samega sestanka ali pogovora, v katerem je bila informacija posredovana. Informacija TLP:RED se mora posredovati ustno ali osebno.
TLP:AMBER	Razkritje omejeno na organizacije udeleženih Naslovniki lahko delijo informacijo samo znotraj svoje organizacije oz. pošiljatelj lahko dovoli izmenjavo tudi s partnerskimi organizacijami naslovnika, ko je poznavanje informacije nujno pri zaščiti in preprečevanju nadaljnje škode. Upoštevajte, da oznaka TLP:AMBER+STRICT omejuje deljenje *samo na organizacijo.*
TLP:GREEN	Razkritje omejeno na skupnost ali sektor Naslovniki lahko delijo informacijo po potrebi znotraj svoje organizacije ter znotraj svoje skupnosti ali sektorja, vendar pa ne po komunikacijskih kanalih, ki so dostopni tudi širši javnosti (objava na javno dostopnih mestih).
TLP:CLEAR	Razkritje ni omejeno Naslovniki lahko informacijo prosto delijo naprej.

Protokol TLP (ang. Traffic Light Protocol) je de-facto standard pri izmenjavi informacij.

Izmenjava informacij o kibernetskih grožnjah

MISP (Malware Information Sharing Platform) je odprtokodna platforma za izmenjavo informacij o kibernetskih grožnjah. Prek platforme MISP partnerji izmenjujemo informacije o kazalnikih zlorab (IoC), pridobljenih z analizo škodljive kode ali zajemom in analizo sumljive omrežne dejavnosti. Tako pridobljeni indikatorji so ključnega pomena pri pravočasnem odkrivanju in proaktivni zajezitvi omrežnih zlorab ter tudi za povezovanje posameznih, z analizo pridobljenih indikatorjev z že znanimi omrežnimi zlorabami in okužbami.

Na SI-CERT upravljamo centralno vozlišče MISP v državi in smo dobro povezani v mednarodno skupnost. S priklopom na platformo MISP organizacije pridobijo brezplačen dostop do širokega nabora indikatorjev zlorab, ki jih lahko uporabijo za iskanje korelacij znotraj sistema SIEM ali pa zgolj kot dodatna pravila na požarni pregradi ali obogatitev filtrov poštnega strežnika. Več pojasnil smo pripravili v članku.

MISP Malware Information Sharing Platform

SI-CERT se je globalni skupnosti MISP aktivno pridružil pred skoraj desetimi leti. V preteklih desetih letih smo skrbeli za vpeljavo platforme MISP v lokalni skupnosti in pri širitvi platforme MISP v druge države bližnje regije, kjer predstavljamo stičišče za izmenjavo s skupinami CSIRT na območju Zahodnega Balkana

Katere organizacija lahko pridobijo dostop do platforme MISP?

K uporabi platforme MISP želimo vzpodbuditi čimveč zavezancev po Zakonu o informacijski varnosti (kar nekaj jih je že povezanih), podatke izmenjave lahko namreč povežejo v svoje SIEM sisteme in sporočene indikatorje upoštevajo pri zaščiti svojega omrežja.

Trenutno je kriterij upravičenosti dostopa do platforme omejen na zavezance, kot jih opredeljuje ZInfV.

Kako izvesti priklop na platformo MISP?

Vsa vprašanja, povezana s priklopom na MISP, naslovite na info@cert.si

Vnaprej pojasnjujemo, da SI-CERT ne more nuditi tehnične podpore za namestitev in upravljanje sistema pri zavezancih.

Dodatne informacije o uporabi in namestitvi MISP instance

dokumentacija za MISP se nahaja na spletnem naslovu: https://www.misp-project.org/
MISP je odprtokoden projekt, vsa izvorna koda se tako nahaja na javno dostopnem naslovu: https://github.com/MISP/MISP
glavno vlogo pri razvoju MISP projekta ima CIRCL, ki ponuja tudi kopico učnih materialov: https://circl.lu/services/misp-training-materials/