Að tilkynna öryggisatvik

CERT-IS óskar eftir upplýsingum um öryggisatvik sem koma upp hjá notendum jafnt sem fyrirtækjum. Allar upplýsingar sem berast sveitinni eru meðhöndlaðar sem trúnaðarmál og upplýsingar um tilkynnanda aldrei afhentar öðrum nema með hans samþykki. Fyrst og fremst er óskað eftir tilkynningum um öryggisatvik sem aðilar telja alvarleg, sérstaklega þau sem snerta mikilvæga upplýsingainnviði landsins.

Hægt er að senda upplýsingar á eftirfarandi hátt:

    Tölvupóstur: cert@cert.is
    Sími: 510-1500 á skrifstofutíma
    Fax: 510-1509

Tilkynningar eru mikilvægt innlegg í hina almennu upplýsingaöflun CERT-IS um stöðu íslensku netlögsögunnar. CERT-IS þjónustar fyrst og fremst fjarskiptafélög lögum samkvæmt, en ef um önnur þjóðfélagslega mikilvæg kerfi er að ræða mun sveitin aðstoða eftir föngum. Í öðrum tilvikum er bent á að hafa samband við þjónustuaðila eða öryggissérfræðinga varðandi viðbrögð hverju sinni. Engu að síður eru vísbendingar um atvik frá almenningi, fyrirtækjum og stofnunum nauðsynlegt innlegg í stöðumynd af ástandi net- og upplýsingaöryggis þjóðarinnar hverju sinni.

Atvik tilkynnt

CERT-IS óskar eftir sem nákvæmustum upplýsingum þegar tilkynnt er um atvik og má m.a. hafa eftirfarandi gátlista í huga. Athugið að listinn er ekki tæmandi en er fremur hugsaður sem gátlisti til áminningar þegar tilkynning er gerð. 

  • Tengiliðaupplýsingar
    • Að lágmarki tölvupóstfang og helst símanúmer.
    • Ef um er að ræða aðila þjónustuhóps eða rekstraraðila þjóðhagslega mikilvægra upplýsingainnviða þarf að koma fram fullt nafn tilkynnanda og nafn fyrirtækis eða stofnunar.
  • Trúnaðarflokkun
    • CERT-IS notar TLP trúnaðarflokkun og er fullum trúnaði við tilkynnanda heitið. Nóg er að setja textann Trúnaðarmál í tilkynningu og verður það virt sem TLP:AMBER. CERT-IS veitir undir engum kringumstæðum upplýsingar um tilkynnanda til þriðja aðila án hans samþykkis. Þó kann að vera nauðsynlegt að veita öðrum viðbragðsaðilum þær lágmarksupplýsingar um atvik sem gera þeim kleift að bregðast við. Slík dreifing er háð samþykki tilkynnanda og undir sömu TLP flokkun og upphaflega tilkynningin, auk þess sem persónugreinanlegar upplýsingar eru fjarlægðar eins og kostur er.
  • Upphafstími atviks
    • Tímasetning þess þegar vart við atvik eða tímastimpill fyrstu ummerkja um atvik
  • Hvað gerðist?
    • Stutt lýsing á atviki og ef mögulegt er flokkun s.s. álagsárás, innbrot, gagnagíslataka, sýking.
    • Nafn óværu (e. malware) eða geranda ef það er þekkt þekkt. Hér getur verið um að ræða tegund óværu, t.d. eins og greint af vírusvörn, eða ef grunur beinist að ákveðnum hópi gerenda.
    • Einkennandi ummerki um atvik s.s. skjáskot af gagnagíslatökubréfi, skráanöfn spillikóða og viðvaranir varnakerfa.
    • Hafa gögn verið tekin úr kerfinu eða verið skemmd með einhverjum hætti?
    • Nota má eCSIRT.net skilgreininguna á atburðum ef sendandi óskar.
  • Hvaða kerfi hafa orðið fyrir áhrifum og hvenær?
    • Eftir atvikum IP tölur kerfa, vélanöfn og lén, URL, raunlæg staðsetning og aðrar upplýsingar sem einkenna viðkomandi kerfi með sem nákvæmastri tímalínu atburða.
  • Stendur árás yfir?
    • Er óvissuástand um umfang og atburði eða telur tilkynnandi að tekist hafi að ná stjórn á atviki?
  • Hversu alvarlegt er atvikið?
    • Hvert er mat tilkynnanda um alvarleika atviks s.s. hvort nauðsynlegur rekstur rofni eða sé í hættu.
    • Er kerfið sem atvik á við um þess eðlis að yfirráð árásaraðila gætu haft áhrif á innviði fyrirtækisins eða þjóðhagslega mikilvæga upplýsingainnviði?
  • Hversu víðtækt er atvikið?
    • Er atvikið bundið við eina eða fleiri útstöð, einn eða fleiri þjóna?
    • Er hætta á að óværa dreifi sér til annarra kerfa?
    • Hefur árásaraðili náð stjórn sem gerir honum mögulega kleift að komast yfir önnur kerfi fyrirtækis?
  • Aðgerðir sem gripið hefur verið til
    • Skýra frá þeim aðgerðum sem tilkynnandi áætlar að ráðast í til að ná stjórn á umfangi atviks eða stöðva það.
  • Gögn til aðstoðar við greiningu atviks
    • Greining atviks byggir að verulegu leiti á þeim gögnum sem við fáum til greiningar. Sjá upplýsingar um hvaða upplýsingar geta gagnast okkur við greiningu og hvernig best er að ganga frá þeim til sendingar. Sérstaklega óskum við eftir að grunaður spillikóði sé meðhöndlaður með sem mestri varkárni til að verja bæði ykkur og okkur.

Svör við tilkynningum

CERT-IS metur mikils tilkynningar frá almenningi, stofnunum og fyrirtækjum, hvort sem viðkomandi er í okkar kjarnaþjónustuhópi eða ekki. Tilynningar eru allar metnar og þeim forgangsraðað eins fljótt og unnt er. Verkefni eru síðan stofnuð eins og ástæða er til. Ekki er alltaf unnt að svara tilkyningum. CERT-IS þarf iðullega að forgangsraða verkefnum og trúnaður við aðra aðila getur komið í veg fyrir að okkur sé heimilt að greina frá úrlausn verkefna.

Gögn sem geta hjálpað við greiningu atviks

  • Auðkenni kerfa sem hafa orðið fyrir árásum eða tjóni vegna árása s.s. IP tölur, URL
  • Afrit af tölvupósti sem tengist atviki s.s. vefveiða (e. phishing) póstur. Best er að vista póstinn með öllum viðhengjum og sendinaupplýsingum (headers).
  • Gögn úr skráakerfi s.s. skrár sem hafa verið dulkóðaðar í gagnagíslatöku eða skrár sem árásaraðili kann að hafa skilið eftir
  • loggar s.s. vefloggar, kerfisloggar sem sýna samskipti við kerfið sem varð fyrir árás
  • Skjáskot s.s. af hótunarbréfum tengdum gagnagíslatöku
  • Sýnishorn af spillikóða, s.s. skrár sem varnir á endabúnaði (þ.m.t. vírusvarnir) greina
  • Disk og minnismyndir af kerfum sem hafa orðið fyrir árásum

Við mælumst til að sem mestrar varkárni sé gætt þegar atvik er meðhöndlað og leiðbeiningum lögreglu um meðferð sönnunargagna sé gætt eins og kostur er. Viðkvæm gögn má senda dulrituð með PGP lykli sveitarinnar sem er gefinn upp hér að neðan.

Spillikóði

Sýnishorn af spillikóða og greining hans getur verið mikilvægur þáttur í mati á atviki. Sé spillikóði sendur til CERT-IS er þess óskað að öllum skrám sé þjappað í zip skrá, henni læst með stuttum lykli meðfylgjandi tilkynningu og skráanafn gefi til kynna innihald, t.d. með orðinu SPILLIKODI eða MALWARE.