Hlavní navigace

Jak CSIRT.CZ došel k akreditaci

1. 11. 2011
Doba čtení: 6 minut

Sdílet

O bezpečnostním týmu určeném pro řešení bezpečnostních incidentů v počítačových sítích CSIRT jste možná již slyšeli. Jak se ale ke svému poslání propracoval a jak získal akreditaci v evropské infrastruktuře?

O tom, co jsou týmy typu CERT a CSIRT, jaká je jejich role, co dělají, co by měly dělat, jak, proč a podobně, už byly popsány stohy papíru a vyprodukovány tisíce bajtů. Pojďme si proto dnes říci něco o procesu tzv. „akreditace“ (získávání statusu „accredited“), který je cílem každého CERT/CSIRT týmu, a který v posledních měsících úspěšně prošel také tým CSIRT.CZ – Národní CSIRT České republiky.

Proces „akreditace“ v evropské infrastruktuře bezpečnostních týmů typu CERT/CSIRT zajišťuje úřad Trusted Introducer, který působí v rámci evropské organizace TERENA (The Trans-European Research and Education Networking Association). Trusted Introducer sdružuje bezpečnostní týmy ze všech oblastí, tedy jak národní, vládní, tak i například CSIRT týmy provozovatelů internetového připojení, poskytovatelů služeb, výrobců hardware, bank nebo týmy působící v univerzitním prostředí.

K tomu, aby se bezpečnostní tým vůbec mohl ucházet o získání akreditace u úřadu TI vede dlouhá cesta se dvěma základními milníky. Tím prvním milníkem je přetvoření bezpečnostního týmu do týmu typu CERT/CSIRT, tzn. splnění základních požadavků, aby byl tým jako takový uznán ostatními již existujícími CERT/CSIRT týmy.

Splnění těchto základních požadavků spočívá především v jasném a veřejném popisu týmu a jeho role, plus popisu jeho činnosti – kontaktní informace týmu, způsob jak a kdy je možné členy týmu zastihnout, jeho složení a zejména pak definuje oblast, ve které je tým způsobilý konat a nad kterou má příslušné pravomoci a odpovědnosti. Jde o jednu z nejdůležitějších definic týmu. V okamžiku, kdy má tým toto splněno a samozřejmě když začne plnit to, co se od týmu CERT/CSIRT primárně očekává, tzn. řešení bezpečnostních incidentů ve sféře svého vlivu, může se představit komunitě již existujících a na scéně etablovaných týmů a požádat o zapojení do této infrastruktury.

To se v praxi nejsnáze provede tak, že vedoucí týmu (v cert/csirt terminologii se mu říká „representative“) vyrazí na jedno z pravidelných setkání komunity, které se v Evropě konají třikrát ročně, nebo na výroční setkání světových týmů, obecně na akci, kde je možné potkat ostatní členy týmů typu CERT/CSIRT a tam svůj tým představí, udělá mu základní propagaci a naváže potřebné kontakty. Tím tým vejde do povědomí komunity a může tak učinit další krok – požádat úřad Trusted Introducer o přiznání statusu „listed“, který je výchozím bodem pro vstup do akreditačního procesu. Při získávání statusu „listed“ u úřadu TI, je tým úřadem ověřen, tzn. je zkontrolováno, jestli opravdu existuje, funguje, jestli je popsán v souladu s obecně akceptovanými podmínkami, ale především musí jeho žádost podpořit dva již akreditované týmy. Tím je vlastně zajištěno, že do infrastruktury jsou přijímány funkční týmy, které komunikují a spolupracují, a u kterých je toto ověřeno.

Poté, co tým úspěšně dosáhl statusu „listed“, může požádat o vstup do akreditačního procesu. Mezi oběma kroky je prodleva obvykle minimálně pár měsíců. Je vhodná na to, aby se nový tým rozkoukal, získal základní zkušenosti a vytvořil si pracovní kontakty. Poté, co tým úřad TI požádá o vstup do akreditačního procesu a úřad TI tuto žádost akceptuje, přechází tým do stavu „akreditační kandidát“. Z tohoto stavu vede cesta buď zpět ke statusu „listed“, pokud tým při akreditačním procesu neuspěje, nebo ke statusu „akreditován“. Uspět musí do tří měsíců od přiznání statusu „akreditační kandidát“. Během tohoto tříměsíčního období musí podle pokynů TI zdokumentovat svou činnost, dát o sobě k dispozici řadů údajů a vyjádřit svůj postoj k některým otázkám organizace infrastruktury CERT/CSIRT týmů. Některé z těchto informací jsou zveřejněny, některé slouží pouze pro potřeby komunity akreditovaných týmů a jsou neveřejné a přístupné pouze akreditovaným týmům a úřadu TI.

Obdobně jako v případě získávání statusu „listed“, i zde u získávání statusu „accredited“ je brán v potaz názor komunity. Zatímco ale v případě získávání „listed“ se hledají dva „sponzoři“, kteří mají žádost týmu podpořit, v případě získávání statusu „accredited“ jsou týmy vyzvány ke vznesení námitek. Pokud by některý z akreditovaných týmů vznesl proti akreditačnímu kandidátu v průběhu akreditace námitku a ta se ukázala jako relevantní a nepodařilo by se ji odstranit, proces by skončil neúspěšně a tým by statut „accredited“ nezískal. Tento mechanismus slouží k tomu, aby se mezi akreditované týmy nemohl vloudit tým s nejasným popisem, zázemím, rolí, nebo dokonce minulostí a pod. a aby proces akreditace neležel pouze na bedrech úřadu TI, ale podílela se na něm celá infrastruktura a byl v maximální možné míře transparentní.

Tak, tolik teorie na téma akreditace týmu a teď jak to bylo s CSIRT.CZ. Tým CSIRT.CZ byl vybudováno sdružením CESNET v rámci plnění grantu Ministerstva vnitra České republiky „Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů České republiky“ (identifikační kód VD20072010B013). Provoz týmu CSIRT.CZ byl oficiálně spuštěn 3. dubna 2008. O dva měsíce později, v květnu 2008, byl na zasedání TF-CSIRT komunity (které proběhlo v Oslu v Norsku) představen ostatním evropským CERT/CSIRT týmům, čímž došlo k jeho oficiální akceptaci ze strany komunity. V květnu také požádal o přidělení statusu „listed“, který mu byl přiznán v červnu. Ovšem to bylo v té době maximum, kterého bylo pro tým CSIRT.CZ možné dosáhnout. Vzhledem k velmi nejasné situaci v České republice v oblasti budování vrcholového pracoviště typu CSIRT, což by vydalo na samostatný obsáhlý článek, takže zůstaneme u této stručné zmínky, bylo úřadem TI týmu CSIRT.CZ doporučeno setrvat na neurčito ve stavu „listed“ a o statut „accredited“ nežádat s tím, že bude dobré počkat na vyjasnění situace v ČR.

To se stalo až o dva roky později v prosinci 2010. V letech 2008 – 2010 plnil tedy tým CSIRT.CZ v České republice roli modelového pracoviště typu CSIRT a v oblasti řešení bezpečnostních incidentů svou roli popisoval jako „místo poslední záchrany“ („last resort“), kam se uživatelé mohou obrátit se žádostí po pomoc při řešení závažných bezpečnostních incidentů, nebo v případě incidentů, které jejich původce odmítá řešit a pod.

V prosinci 2010, přesněji 16. prosince 2010, došlo tedy po vleklých jednání konečně k tomu dlouho očekávanému momentu – mezi Ministerstvem vnitra České republiky a sdružením CZ.NIC došlo k uzavření memoranda, které tým CSIRT.CZ deklarovalo jako Národní CSIRT ČR. Tím se situace vyjasnila a tým tak v červnu 2011 mohl požádat u úřadu TI o vstup mezi akreditované týmy. V červenci 2011 byl týmu po splnění prvních prvotních náležitostí přiznán status „akreditační kandidát“ a v říjnu po úspěšném splnění ostatních podmínek status „akreditován“.

Vstup CSIRT.CZ mezi akreditované týmy znamená pro tým další krok na cestě k užší spolupráci se světovou infrastrukturou CERT/CSIRT týmů, zvýšení kreditu na mezinárodní scéně, možnost zúčastnit se zajímavých akcí a projektů, ale především snadnější přístup k informacím o aktuálních bezpečnostních hrozbách. Dalším krokem, který teď před CSIRT.CZ leží, je případná certifikace u úřadu TI, což je další a zatím poslední krok v procesu, ale o tom až zase někdy jindy …

BRAND24

Na závěr:

Úspěšnou akreditací CSIRT.CZ se Česká republika dostává do stavu, kdy všechny čtyři zde působící, oficiálně konstituované CSIRT týmy, jsou akreditovány:

  • CESNET-CERTS provozovaný sdružením CESNET, z. s. p. o.,

  • CZ.NIC-CSIRT provozovaný sdružením CZ.NIC, z. s. p. o.,

  • CSIRT-MU provozovaný Masarykovou Univerzitou,

  • CSIRT.CZ – Národní CSIRT tým České republiky.


Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).