Zgłaszanie incydentów
Wszelkie incydenty w których bezpośrednio lub pośrednio zaangażowane są komputery przyłączone do Krajowej Szerokopasmowej Sieci Naukowej PIONIER powinny być zgłaszane pocztą elektroniczną lub przy użyciu podanego numeru faksu.
W pierwszym przypadku zaleca się wykorzystanie odpowiednich mechanizmów kryptograficznych (zobacz: sekcja klucze PGP). W związku z faktem, iż każdy raport musi być przechowywane w pewnych rodzajach archiwów, inne kanały komunikacyjne będą akceptowane tylko w wyjątkowych sytuacjach.
Zgłoszenia incydentu do PIONIER-CERT za pośrednictwem poczty elektronicznej można dokonać poprzez wysłanie wiadomości na adres: cert@pionier.gov.pl
W celu zgłoszenia incydentu faksem należy użyć następującego numeru: + 48 61 852 59 54 (w godzinach roboczych) Proszę zwrócić uwagę, że nie jest to bezpieczny faks.
Bez względu na użyty rodzaj kanału komunikacyjnego raport zgłaszający incydent powinien zawierać tak wiele wymaganych informacji jak to tylko możliwe. Ogólny opis rodzajów użytecznych informacji, które powinny być załączone, jako mogące mieć znaczenie w procesie obsługi incydentu, zostanie przedstawiony w następnej sekcji.
Zgłoszenie incydentu można traktować jako doręczone do PIONIER-CERT tylko po otrzymaniu potwierdzenia, które zwykle wysyłane jest pocztą elektroniczną (w wyjątkowych przypadkach, może być wysłane faksem, jeżeli jest to wymagane). Potwierdzenie dostarczenia zgłoszenia incydentu zawsze będzie zawierać unikalny NUMER RAPORTU INCYDENTU (INCIDENT REPORT NUMBER), który zawsze powinien być podawany w przyadku dalszej komunikacji z PIONIER-CERT. W późniejszym etapie, gdy zgłoszenie incydentu zostało zaakceptowane i występują różnorodne powiązania z innymi zgłoszeniami, to PIONIER-CERT opatrzy taki incydent unikalnym NUMEREM INCYDENTU (INCIDENT CASE NUMBER). Od tego momentu numer incydentu powinien być zawsze wykorzystywany w dalszej wymianie informacji dotyczącej tego konkretnego zdarzenia (incydentu).
Struktura raportu
Raport zgłoszenia incydentu, jak wspomniano w poprzedniej sekcji, powinien zawierać wszystkie informacje, które można uznać za użyteczne w procesie obsługi incydentu. W konkretnym przypadku trudne może być jednoznaczne stwierdzenie jaki rodzaj informacji jest ważny, dlatego poniżej prezentowny jest ogólny opis informacji, które mogą być niezbędne (lub raczej potencjalnie znaczące). Należy przy tym podkreślić, że wszystkie informacje dostarczone do PIONIER-CERT są wykorzystywane wewnętrznie i tylko w kontekście rozważanego incydentu.
Informacja, która powinna zostać dostarczona, może zostać podzielona na kilka kategorii. Wszystkie kategorie są opisane poniżej:
- Informacje kontaktowe – ta sekcja odnosi się do osoby zgłaszającej incydent, lub jakiejkolwiek innej osobie oddelegowanej do kontaktów z PIONIER-CERT. Poniższe informacje są wymagane:
- Nazwa organizacji
- Nazwisko osoby zgłaszającej incydent
- Stanowisko w organizacji
- Kontaktowy adres email
- Kontaktowy numer telefonu
- Kontaktowy numer faksu
- Informacje o celu ataku – wszystkie systemy (każdy z osobna), których dotyczy wykryty atak powinny zostać opisane z uwzględnieniem poniższych informacji. Opis powinien również zawierać informacje, które mogą być uznane za znaczące np. struktura sieci, współdzielone przez systemy zasoby. Następujące informacje są wymagane:
- Nazwa hosta
- Adres IP
- Główna funkcja zaatakownego hosta
- System operacyjny
- producent, wersja, zinstalowne łaty systemowe (patches)
- Aplikacja
- te same szczególy co powyżej
- Informacje o rodzaju incydentu – podanie następujących informacji jest wymagane/ rekomendowane:
- Wszystkie informacje odnoszące się do warunków uznanych za niebezpieczny (naruszający bezpieczeństwo) incydent
- Ogólny opisu ataku (przy użyciu skali czasu)
- Próba sklasyfikowania incydentu
- Wywołane konsekwencje
- Stan bieżący (jeśli napastnik jest ciągle aktywny w systemie)
- Dostępne artefakty lub logi (jako załączniki)
- Informacje o źródle ataku – zalecane jest podanie jest następujących informacji (jeśli są dostępne):
- Punkty ataków (sieci lub hosty)
- Adres IP zaangażowanego hosta
- Dostępne ślady
- Wykorzytane metody poza technologiczne (inżynieria społeczna, metody psychologiczne)
- Różnorodne informacje dodatkowe – rekomendowane jest podanie informacji takich jak:
- Grupy, zespoły, lub organy policji, do których incydent został zgłoszony (w celu nawiązania współpracy i umożliwienia wymiany informacji)
- Uwagi końcowe
Polityka prywatności
Istnieją prawne i etyczne restrykcje w przepływie informacji z ośrodka PIONIER-CERT (dawniej: POL34-CERT), wiele z nich jest zarysowane w politykach poszczególnych instytucji członkowskich PIONIER, wszystkie restrykcje będą przestrzegane. Zostaną użyte właściwe środki w celu ochrony tożsamości członków zgromadzenia i w razie konieczności wszystkich innych stron. PIONIER-CERT będzie udostępniał informacje swobodnie w przypadku udzielania pomocy w rozwiązywaniu lub zapobieganiu incydentom (naruszeniom bezpieczeństwa).