Przewodnik od CERT Polska nauczy szybkiego reagowania na cyberataki

Cyberprzestrzeń została już oficjalnie określona jako kolejny wymiar bezpieczeństwa kraju. Podczas gdy Biuro Bezpieczeństwa Narodowego opracowywało swoją Doktrynę Bezpieczeństwa RP, specjaliści z zespołu CERT Polska opracowali pierwszy na świecie przewodnik, zawierający dobre praktyki, istotne w szybkim reagowaniu na cyberzagrożenia.

Dokument nosi tytuł Actionable Information for Security Incident Response („Istotne dane wobec reagowania na cyberzagrożenia”) i został już opublikowany. Na ponad 100 stronach ujęto przede wszystkim zalecenia dotyczące wymiany i przetwarzania informacji, które mogą być istotne z punktu widzenia szybkiego reagowania na zagrożenia, oraz sposoby na usprawnienie tego procesu. Eksperci przedstawili również metody na szybką dystrybucję danych, mogącą przyspieszyć interwencję administratorów i zminimalizować skutki ataku. Ponadto zespół CERT Polska opracował studia przypadków, w których krok po kroku przedstawiono techniki i narzędzia pozwalające wykorzystać zdobytą wiedzę w celu wykrywania i zapobiegania cyberatakom.

W raporcie kluczowa jest także definicja informacji, jaka może być bezpośrednio wykorzystana do zwiększenia bezpieczeństwa. W suplemencie zaś znalazły się opisy 53 standardów istotnych dla wymiany danych (od specjalistycznych formatów przechowywania konkretnych danych po wymianę na Twitterze) oraz 16 ogólnodostępnych systemów przetwarzania i zarządzania informacjami. CERT Polska wyszczególnił również wyzwania, jakie stawia przed administratorami i operatorami potrzeba wymiany informacji.

Treść dokumentu kierowana jest do rządowych i krajowych zespołów zajmujących się różnego typu naruszeniami bezpieczeństwa w sieci. Z jego pełnym brzmieniem można zapoznać się na stronach ENISA, gdzie znalazł się raport, suplement i ćwiczenie praktyczne, pozwalające sprawdzić zdobytą wiedzę.

Przewodnik Actionable Information for Security Incident Response jest pod wieloma względami projektem pionierskim. Ma przyczynić się do wzrostu bezpieczeństwa użytkowników sieci i ich danych, ale autorzy mają nadzieję, że wzmocni też wymianę wiedzy eksperckiej wśród specjalistów i zespołów ds. reagowania na naruszenia bezpieczeństwa teleinformatycznego. Wyodrębnienie z ogromnego ogółu informacji tych, które mają znaczenie dla walki z cyberzagrożeniami wciąż pozostaje wyzwaniem. Ich szybka identyfikacja jest jednym z podstawowych budulców udanej reakcji na incydent. Im wcześniej są rozpoznawane i rozumiane, tym szybciej zgłoszenie może zostać obsłużone.

Dokument został przygotowany na zlecenie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) . Organizacja ENISA została powołana przez Unię Europejską w 2004 roku w odpowiedzi na wzrost liczby zagrożeń. Jej głównym celem jest podniesienie poziomu bezpieczeństwa w sieciach i systemach informatycznych w Unii Europejskiej, a oprócz tego zajmuje się doradzaniem Komisji Europejskiej oraz państwom członkowskim w kwestiach związanych z bezpieczeństwem w Internecie, a także wspiera techniczne prace przygotowawcze dotyczące aktualizacji i rozwoju ustawodawstwa Unii.