Čeština

Pokyny pro hlášení bezpečnostního incidentu

Logo Csirt

V návaznosti na zřízení bezpečnostního týmu Coolhousing CSIRT, o kterém jsme Vás informovali v září tohoto roku, vám nyní přinášíme pokyny, jak se zachovat v případě zjištění bezpečnostního incidentu. S bezpečnostními incidenty si není dobré zahrávat!

Jak správně napsat hlášení bezpečnostního incidentu

CSIRT Coolhousing preferuje hlášení bezpečnostního incidentu prostřednictvím webového formuláře nebo elektronické pošty na adresu <csirt@coolhousing.net>. Hlášení by mělo obsahovat kompletní popis problému. CSIRT Coolhousing se ohlášeným problémem bude zabývat jakmile to bude možné a budou vás informovat o vyřešení problému. Odpověd na ohlášený incident obdržíte z adresy <csirt@coolhousing.net> a zpráva bude podepsaná naším PGP klíčem.

Bezpečnostní incidenty jsou zpracovávány v pracovních dnech v době od 9:00 do 15:00.

Potřebujete-li nahlásit incident mimo tuto dobu nebo z nějakého důvodu nemůžete odeslat hlášení elektronickou poštou, můžete incident nahlásit telefonicky na čísle +420 777 310 000, které je obsluhováno nepřetržitě.

Základní pravidla pro vytvoření hlášení bezpečnostního incidentu

  • Hlášení by mělo být jednoduchý textový e-mail, v případě potřeby s přílohou.
  • Report by se měl týkat jedné IP adresy nebo jednoho adresového bloku.
  • Předmět zprávy by měl obsahovat IP adresu nebo adresový blok a typ incidentu (spam, virus, scanning, DDOS, hacking, phishing, pharming, porušení autorských práv …).

Hlášení o scannování musí obsahovat část logu obsahující záznamy o útoku:

  • časové známky a časovou zónu
  • zdrojovou a cílovou IP adresu
  • zdrojový a cílový port
  • TCP/UDP/ICMP

Hlášení o spamu nebo viru musí obsahovat kompletní nemodifikovanou hlavičku daného e-mailu, který je považován za spam nebo vir.

Hlášení o spamu („unwanted commercial emails“) by mělo obsahovat kompletní nemodifikovanou hlavičku a tělo zprávy.

Hlášení porušení autorských práv musí obsahovat následující informace:

  • časové známky a časovou zónu,
  • zdrojovou a cílovou IP adresu, na které došlo k porušení autorských práv,
  • službu použitou pro zveřejnění dat chráněných autorským právem,
  • typ (jméno…) dat chráněných autorským právem.

Hlášení phishing nebo pharming musí obsahovat URL a pokud možno i zdrojovou stránku webové stránky.

Hlášení musí obsahovat základní kontaktní informace – jméno reportujícího a jméno organizace.

Hlášení musí být odesláno z validní e-mail adresy.

CSIRT Coolhousing respektuje Vaše soukromí, můžete tedy některá data (např. z logů) anonymizovat, případně výslovně uvést, které informace nesmíme poskytnout dál. Zvažte ale, nakolik se tím sníží průkaznost a možnost identifikace, nebo dokonce znemožní řešení.

Doporučení

Pro hlášení odeslané elektronickou poštou doporučujeme dodržení následujících pravidel:

  • Vhodně volený jazyk. Pokud si nejsme jisti, který jazyk cílový adresát ovládá, napíšeme dopis anglicky.
  • Dopis by se měl týkat jen jediné IP adresy nebo strojů v jediném adresovém bloku; pokud tedy probíhá útok z více míst, je dobré rozeslat stížnosti zvlášť, ne v jedné zprávě.
  • Formát zprávy by měl být prostý text, v případě nutnosti s přílohou.
  • Zpráva by měla mít výstižný předmět obsahující např. IP adresu útočníka, typ incidentu (spam, vir, DOS, porušení autorských práv apod.) nebo jiný text umožňující snadnou identifikaci incidentu.
  • Zpráva by měla být sestavena tak, aby ji nevyřadila antispamová nebo antivirová ochrana.
  • Podpis – „občanský“ podpis je samozřejmostí; z hlediska ochrany vlastní identity a integrity zprávy je vhodný elektronický podpis (PGP, X.509).
  • Bez ohledu na to, jakou formou je hlášení bezpečnostního incidentu realizováno, platí, že hlášení by mělo být stručné, jasné, srozumitelné a zdvořilé. Dále by mělo obsahovat sdělení, jakou formu reakce očekáváme, tj. zda se jedná pouze o upozornění bez potřeby znát příčinu útoku, nebo očekáváme vysvětlení.

Hlášení bezpečnostního incidentu

Předtím, než vytvoříte a do CSIRT Coolhousing odešlete hlášení bezpečnostního incidentu, se ujistěte, zdali se obracíte na správné místo.

Bezpečnostní incidenty hlaste elektronickou poštou na adresu <csirt@coolhousing.net>. Hlášení by mělo obsahovat kompletní popis problému.

Základní bezpečnostní incidenty

  • Jakékoliv porušení platných zákonů České Republiky, např. výhružky, urážky osobního charakteru,
  • DOS a DDOS útoky,
  • spamming (nevyžádaná pošta),
  • zneužití přístupového jména a hesla, např. neoprávněný přístup do systému,
  • phishing a pharming,
  • porušení autorských práv.

Co je počítačový bezpečnostní incident?

  • Ohrožení bezpečnosti nebo dostupnosti síťové infrastruktury Coolhousing (DoS, lámání hesel, skenování a další).
  • Útoky na uživatele sítě a služeb Coolhousing (např. phishing, e-mailové podvody a další).
  • Nebezpečí přesahující rámec DC Coolhousing.

Co není počítačový bezpečnostní incident?

  • Nález nakaženého souboru antivirem.
  • Příjem nevyžádané pošty, spamu „v obvyklých mezích“.
  • Nemožnost přihlásit se k počítači v DC Coolhousing.
  • „Podivně“ se chovající počítač v DC Coolhousing.
  • Odcizení výpočetní techniky s důležitými daty (vč. USB klíčenek, přenosných disků).

Autor: Coolhousing CSIRT

Nejlepší články

úložné boxy pro součástky a komponenty
Supermicro server s AMD CPU
Chladící infrastruktura s technologií freecooling