uisg cert
DESCRIPTION
TRANSCRIPT
Возможные причины: несовершенство украинского законодательства в
сфере IT-преступлений недостаточная эффективность работы
правоохранительных органов и, как следствие, недоверие к ним
высокий интеллектуальный и образовательный уровень потенциальных кибер-преступников
общий правовой нигилизм коррумпированность государственной системы другие причины
Не секрет, что многие украинские компании периодически подвергаются различным типам сетевых атак, однако противостоят им либо самостоятельно, либо вместе с несколькими особо доверенными (либо специализированными) структурами.
Делиться информацией о механизмах и
особенностях таких атак никто не спешит, так как это чревато как имиджевыми потерями, так и разглашением своих «слабых мест». Многочисленные команды IT-безопасности действуют разрозненно и нескоординировано.
Поэтому все более актуальным становится вопрос создания доверенного координационного центра как минимум на уровне «базы знаний».
• Госструктуры традиционно не рассматриваются в таком статусе в силу недостатка доверия к ним и, как правило, отсутствия квалифицированных специалистов. Кроме того, они не хотят защищать интересы негосударственных структур, хотя некоторые декларируют это.
• Коммерческих же компаний много, но у всех свои интересы, которые частенько противоречат друг другу (в смысле конкуренции). Кроме того, на общие интересы нужны время и средства, но выделять их готовы немногие.
Многочисленные нормативные и законодательные акты регламентируют IT-сферу в Украине, однако самой критичной ее частью является IT-преступностьзаконодательная база: статьb 361-3631 УК Украины
НОкак они МОГУТ трактоваться и применяться ?
Пример: недавняя дискуссия в группе UISG о сканировании портов
То есть нет единого авторитетного независимого источника, который мог бы оказывать консультативную помощь в спорных вопросах, вырабатывая таким образом единый общегосударственный подход. То, что государству можно и нужно высказывать свое мнение и требовать учитывать его доказывает пример многолетней и кровопролитной борьбы за «лицензирование деятельности ISP», за домен .UA и др.
Практически вопросами противодействия кибер-преступности занимаются МВД Украины и СБ Украины. Располагая штатом оперативников и имея достаточные полномочия, только эти два органа в состоянии активно влиять на общую криминогенную ситуацию в IT-сфере.
ОДНАКОпервоочередными субъектами защиты для них являются государственные IT-ресурсы, а также борьба с кибер-терроризмом и организованной IT-преступностью. Интересы частных лиц и негосударственных организаций рассматриваются далеко не в первую очередь – такова суровая правда жизни.
Заказные DDoS, ботнеты, банковское мошенничество, фишинг, взломы баз данных и дефейсы сайтов – вот самые актуальные проблемы на сегодня. Бороться с ними можно исключительно общими усилиями IT-сообщества и правоохранительных органов, причем по единым и прозрачным «правилам игры», которых в Украине пока нет, увы. Нужна ОБЩЕНАЦИОНАЛЬНАЯ СИСТЕМА МЕР, выгодная всем заинтересованным сторонам.
Вопрос «к кому можно обратиться в Украине» беспокоит очень многих специалистов в мире.Первая попытка ее создания была предпринята Государственной службой специальной связи и защиты информации Украины (ДССЗЗІ, Держспецзв’язку, бывший Департамент специальных телекоммуникационных систем и защиты информации СБУ).
Проект ДССЗЗІ Украины под названием CERT-UA (www.cert.gov.ua) создавался как некий координационный центр по реагированию на инциденты компьютерной безопасности в интересах защиты государственных информационных ресурсов в ИТС. Однако для его успешного функционирования необходимы потребители – в данном случае органы государственной власти, которые никогда не желали и не желают сообщать о своих проблемах.
И это тоже понятно. В конце концов, есть ст. 363, которую наши правоохранители вполне могут применить к плохо оплачиваемому, и, соответственно не очень квалифицированному админу госсети. Тот аргумент, что любую работающую сеть можно взломать не учитывается при принятии решении о возбуждении уголовного дела. Есть вредные последствия для госресурса – должен быть виновный.
Будучи полноправным членом FIRST (www.first.org), CERT-UA получает много запросов как от других команд реагирования за пределами Украины, так и от зарубежных IT-компаний, включая ISP. Роль CERT-UA в данном случае достаточно проста – являясь представителем уполномоченного государственного органа (ДССЗЗ) CERT-UA информирует провайдера о сути события, источником которого является его пользователь (клиент). Хотя такое электронное письмо от CERT-UA является исключительно рекомендательным, его эффективность близка к 95%. Исключения составляют, как правило, «антиабузные» хостинги
В настоящее время в мире функционирует развитая сеть структур быстрого реагирования на инциденты, угрожающие безопасности информационных ресурсов, которые имеют названия Computer Emergency Response Team (CERT) – команда реагирования на компьютерные чрезвычайные события или Computer Security Іncident Response Teams (CSIRT) – команда реагирования на инциденты компьютерной безопасности.Координацию деятельности таких структур на международном уровне осуществляет международная организация FIRST (Forum of Іncident Response Security Teams) – Форум команд реагирования на инциденты безопасности. Указанная организация является одной из наиболее известных и авторитетных в мире. Кроме нее существуют и другие объединения, например европейское Trusted Introducer (www.trusted-introducer.org).
Alerts and Warnings Incident Handling Incident analysis Incident response on site Incident response support Incident response coordination Vulnerability Handling Vulnerability analysis Vulnerability response Vulnerability response coordination Artifact Handling Artifact analysis Artifact response Artifact response coordination Forensic analysis Announcements Technology Watch Security Audits or Assessments Configuration and Maintenance of Security Tools, Applications and Infrastructures Development of Security Tools Intrusion Detection Services Security-Related Information Dissemination Risk Analysis Business Continuity and Disaster Recovery Planning Security Consulting Awareness Building Education/Training Product Evaluation or Certification
ФинляндияФинская команда реагирования на компьютерные инциденты (CERT-FI, www.cert.fi)
создана при Государственном органе Финляндии по вопросам регулирования коммуникаций (FICORA), который, в свою очередь, подчиняется Министерству транспорта и связи Финляндии.
Цели, задачи и права CERT-FI регулируются Актом «Об осуществлении защиты конфиденциальной информации в электронных средствах связи», а также Актом «О доменных именах».
Основными задачами CERT-FI являются: координация мер по устранению источников несанкционированных действий
(компьютерных атак); предоставление рекомендаций своим клиентам о существующих угрозах
информационной безопасности и о соответствующих методах противодействия; предоставление информации о вирусных заражениях разработчику антивирусного
программного обеспечения F-Secure (Финляндия) для последующего обновления антивирусных баз (в случае выявления нового тип вирусов);
обновление собственной базы данных угроз с дальнейшим оповещением клиентов о вновь выявленных угрозах.
Годовой бюджет CERT-FI составляет около 1,2 млн. евро.CERT-FI непосредственно обслуживает наибольшие телекоммуникационные компании
Финляндии и так называемую «критичную инфраструктуру» - предприятия и учреждения энергетики, транспорта, связи, промышленности и финансовой системы. Одним из таких клиентов является государственная компания NESA, которая объединяет все аварийные и спасательные службы страны.
Южная Корея Основными функциями корейского CERT (KrCERT/CC, www.krcert.or.kr)
являются: администрирование национального домена .KR, проведение расследований компьютерных инцидентов, взаимодействие с правоохранительными органами, передача
информации следователям и судам, координация деятельности всех государственных и
негосударственных CERTов страны.
Команда является структурным подразделением Корейского агентства информационной безопасности KISA, которое является отдельным ведомством в составе Правительства Кореи.
Общая площадь помещений KrCERT/CC – более 2 000 кв.м., в том числе конференц-зал и центр Интернет-мониторинга. Команда оснащена современной компьютерной техникой и средствами связи (радиостанции, спутниковая связь, служебная мобильная связь стандарта 3G), имеет развитую инфраструктуру локальной компьютерной сети и широкий канал доступа в Интернет. Численность сотрудников KrCERT –около 50 человек, свободно владеющих английским языком, а также круглосуточная смена дежурных (одновременно дежурит 3 сотрудника).
По своему правовому статусу FIRST является некоммерческой и неприбыльной общественной организацией, зарегистрированной в г. Миррисвиль, штат Южная Каролина (США). Основная деятельность ведется в виртуальном пространстве – на веб-страницах, по электронной почте и т.п.
Общее финансирование FIRST осуществляется за счет членских взносов.
Ежегодные членские взносы составляют: Для юридических лиц – 1900 USD Для физических лиц – 240 USD
В состав организации входят подразделения реагирования на компьютерные инциденты NASA, NATO, Министерства обороны США, а также правительственные структуры Финляндии, Норвегии, Венгрии, Индии, Японии, Таиланда, Тайваня и др., а также компании Apple Computer, Boeing, Cisco Systems, IBM, Motorola, Microsoft, Sun Microsystems (все – США), Deutsche Bank, Fujitsu-Siemens Computers (все – Германия), Ericsson, Nokia (все - Финляндия), Hitachi (Япония), Oxford University (Великобритания) и др.
Обязательное наличие не менее 2 рекомендателей (поручителей, “sponsor”)
Выполнение перечня минимальных требований к команде Направление соответствующих заявок и анкет в Секретариат
FIRST Секретариат FIRST назначает своего уполномоченного
представителя, обычно это один из рекомендателей. Если все заявки соответствуют требованиям – назначается
дата личного визита представителя FIRST В ходе личного визита проверяется соответствие
информации из заявки фактическому положению дел. Также проводятся личные встречи со всеми членами команды.
представитель составляет отчет о проверке и отсылает его в Секретариат FIRST.
Если все соответствует требованиям FIRST - команда считается действующим участником FIRST (full member) и должна в течении 2-3 месяцев оплатить членские взносы.
Органами управления FIRST являются: Управляющий комитет Совет Директоров Секретариат Комитеты по видам деятельности
Высшим органом является Ежегодное общее собрание, на котором обсуждаются наиболее важные вопросы функционирования и развития организации, включая отчет по финансовой деятельности организации.
На обсуждение выносится вопрос целесообразности создания Координационно-консультационного Центра UISG-CERT. Варианты названия могут быть разными, однако для упрощения международной интеграции важным является присутствие в названии аббревиатур CERT или CSIRT.
Предоставление практических узконаправленных консультаций по конкретным проблемам IT-безопасности (на первом этапе - для участников UISG-CERT).
Координация общих усилий участников UISG-CERT по противодействию наиболее опасным видам кибер-преступности
Подготовка и распространение среди участников UISG-CERT регулярных обзоров/бюллетений об актуальных проблемах IT-безопасности
Формирование и ведение «базы данных инцидентов UISG-CERT», обеспечение строго регламентированного порядка доступа к ней, а также обеспечение ее конфиденциальности
Организация продуктивного взаимовыгодного сотрудничества с профильными государственными и правоохранительными органами, а также с негосударственным сектором в сфере IT-безопасности в интересах участников UISG-CERT
Организация эффективного взаимодействия с зарубежными и международными организациями в сфере IT-безопасности в интересах участников UISG-CERT
Разработка предложений по улучшению и развитию нормативно-правовой базы в сфере IT-безопасности Украины в интересах участников UISG-CERT
Организация участия представителей UISG-CERT в значимых для организации мероприятиях общественного/публичного характера
Инициаторы создания UISG-CERT учреждают организацию и определяют правила дальнейшей ее работы, в том числе процедуру принятия новых членов, которая бы включала следующие требования:
не менее 2 поручителей для вступления выполнение кандидатом перечня
минимальных требований к нему во время процедуры принятия решения о
членстве – проведение личного визита представителя UISG-CERT на фактическое месторасположение претендента
членские взносы участников
Высшим органом управления UISG-CERT должно являться Общее Собрание Участников, принимающее наиболее важные для организации вопросы.
Рабочим органом может быть Секретариат UISG-CERT (вариант – Исполнительный Комитет), который занимается текущей «тактической» рабой организации и подчиняется только Общему Собранию Участников.
Также можно создавать специализированные секции, например «банковское мошенничество», «проблемы деятельности ISP», «ботнеты» и т.п.
Для участников UISG-CERT все услуги предоставляются бесплатно. Сторонним организациям они могут предоставляться либо на платной основе (по договорам) либо на «бартерной» (например, взаимодействие с международными организациями). В каждом случае решение может приниматься Общим Собранием Участников либо по его поручению Секретариатом.
Главным смыслом создания UISG-CERT есть создание «зоны доверия профессионалов», в рамках которой, вместе с аналогичным по задачам международным сообществом, можно максимально эффективно противостоять самым насущным угрозам.
Предложения выносятся на обсуждение Сообщества и НЕ являются окончательным и категорическим мнением инициатора.
