CERT
zespół reagowania na incydenty komputerowe dla instytucji, organów i agencji Unii Europejskiej (CERT-EU) składa się z ekspertów ds. technologii informatycznych z głównych instytucji UE. CERT-EU współpracuje z innymi zespołami CERT w krajach członkowskich oraz wyspecjalizowanymi firmami zajmującymi się bezpieczeństwem informatycznym w celu reagowania na zdarzenia naruszające bezpieczeństwo informacji i na zagrożenia cybernetyczne.
MisjąCERT-EU jest promowanie bezpieczeństwa infrastruktury ICT we wszystkich instytucjach, władzach i organach UE, pomaganie w zapobieganiu cyberprzestępstwom, wykrywaniu ich, łagodzeniu i reagowaniu na nie oraz pełnienie roli ośrodka wymiany informacji dotyczących bezpieczeństwa cybernetycznego i koordynowanie wysiłków w odpowiedzi na incydenty. Działalność CERT-UE obejmuje działania mające na celu zapobieganie, wykrywanie, reagowanie na ataki cybernetyczne i odnowienie systemu po nich.
Podstawowe wartości CERT-EU to:
- najwyższe standardy etycznej integralności;
- wysoki poziom orientacji obsługi i gotowości operacyjnej;
- skuteczna reakcja w przypadku incydentów i sytuacji nadzwyczajnych oraz maksymalna gotowość do rozwiązania problemu;
- budowanie i uzupełnianie istniejących możliwości instytucji UE;
- sprzyjanie wymianie najlepszych praktyk między uczestnikami i kolegami;
- tworzenie kultury otwartości w bezpiecznym środowisku.
W Europejskiej agendzie cyfrowej (maj 2010 r.) Komisja UE zobowiązała się do utworzenia CERT dla instytucji unijnych w ramach zobowiązania Wspólnoty do poprawy jakości swojej polityki w zakresie bezpieczeństwa sieci i informacji w Europie. W sierpniu 2010 r. Komisja zwróciła się do czterech ekspertów ds. bezpieczeństwa cybernetycznego, znanych jako „Rat der IT Weisen” o to, aby przedstawili wskazówki dotyczące tworzenia takiego CERT. Ich sprawozdanie zostało zakończone w listopadzie 2010 r. Agenda cyfrowa zachęciła również wszystkie państwa członkowskie do stworzenia do 2012 r. własnych CERT, które utorują drogę do ogólnoeuropejskiej sieci krajowych i rządowych zespołów reagowania kryzysowego.
Utworzenie CERT-UE zostało zatwierdzone decyzją Komisji z dnia 11 listopada 2012 r. Otrzymała ona nową i stałą podstawę prawną w wyniku porozumienia międzyinstytucjonalnego między Parlamentem Europejskim, Radą Europejską, Radą Unii Europejskiej, Komisją Europejską, Trybunałem UE, Europejskim Bankiem Centralnym, Europejskim Trybunałem Obrachunkowym, Europejską Służbą Działań Zewnętrznych, Europejskim Komitetem Ekonomiczno-Społecznym, Europejskim Komitetem Regionów i Europejskim Bankiem Inwestycyjnym w zakresie organizacji i działania zespołu reagowania na sytuacje nadzwyczajne dla instytucji UE (CERT-EU) 12/01/2018.
Służby CERT-EU:
- zapobieganie: ta służba ma na celu podniesienie świadomości i zapobieganie wydarzeniom związanym z bezpieczeństwem poprzez usługi doradcze i tworzenie białych ksiąg, programów podnoszenia wiedzy w dziedzinie bezpieczeństwa, konsultacji ds. bezpieczeństwa określonych technologii i tematów, portalu zawierającego program zbierający wszystkie wiadomości dotyczące bezpieczeństwa i program wskazujący na luki w zabezpieczeniach;
- wykrywanie zagrożeń cybernetycznych: ta służba ma na celu rozpowszechnianie informacji o cyberatakach lub awariach, podnoszenie sytuatywnej wiedzy i opracowywanie zaleceń dla struktur UE w celu rozwiązania stale zmieniających się zagrożeń cyberbezpieczeństwa;
- reagowania na incydenty: służba koncentruje się na specjalistycznych badaniach i koordynacji reakcji na incydenty cyberbezpieczeństwa w strukturach UE. Działania wspierające i koordynujące incydenty obejmują ocenę dostępnych informacji, uzasadnienie i weryfikację, zbieranie dodatkowych dowodów, w razie potrzeby, komunikowanie się z zaangażowanymi stronami i wreszcie proponowanie decyzji w celu rozwiązania incydentu. Podczas dochodzenia przeprowadzane są badania medycyny sądowej, analiza złośliwego oprogramowania, analiza sieci i inne. Usługa zapewnia również zautomatyzowane narzędzia analityczne dla struktur CERT-EU;
- monitoring: usługa ma na celu wykrywanie przypadków penetracji na podstawie analizy monitorowania czujników wykrywania włamań i analizy bezpieczeństwa logowania;
- testowanie bezpieczeństwa: służba ma na celu przygotowanie i wzmocnienie infrastruktury podmiotów poprzez etyczne techniki hakerskie i indywidualne testy penetracyjne;
- zgłaszanie incydentów: incydenty należy zgłaszać na adres e-mail CERT-EU reports@cert.europa.eu, najlepiej w postaci zaszyfrowanej przy użyciu klucza publicznego CERT-EU.
W razie zagrożenia lub kryzysu należy podać przynajmniej takie informacje:
- dane
kontaktowe: imię osoby i nazwę instytucji, adres, e-mail, numer telefonu;
- krótki opis zdarzenia / sytuacji awaryjnej / kryzysu; rodzaj wydarzenia;
- źródło indykacji (np. „system wydał ostrzeżenie”);
- system, którego dotyczy problem (np. zasób sieciowy);
- ocena wpływu (np. utrata komunikacji);
- inne cechy: szczegóły obserwacji, które doprowadziły do identyfikacji incydentu, takie jak: wyniki skanowania (jeśli istnieją), odpis z logowania wskazujący na problem itp.
Oczekuje się, że CERT-EU będzie stopniowo rozszerzać swoje usługi zgodnie z wymaganiami struktur UE i biorąc pod uwagę istniejące kompetencje, zasoby i partnerstwa.
Celem działalności CERT w państwach członkowskich i krajach partnerskich jest ochrona państwowych zasobów informacyjnych oraz systemów informacyjnych i telekomunikacyjnych przed nieuprawnionym dostępem, niewłaściwym wykorzystaniem i naruszeniem ich poufności, integralności i dostępności. Ogólnie rzecz biorąc, zadanie zespołów krajowych w zakresie reagowania incyndenty komputerowe obejmuje:
- gromadzenie i analizowanie danych na temat incydentów cybernetycznych, prowadzenie państwowego rejestru incydentów cybernetycznych;
- praktyczną pomoc właścicielom obiektów cyberobrony w kwestiach zapobiegania, wykrywania i eliminowania skutków incydentów cybernetycznych dotyczących tych obiektów;
- prowadzenie warsztatów dotyczących zagadnień związanych z cyberobroną;
- przygotowanie oficjalnych zaleceń dotyczących przeciwdziałania współczesnym typom ataków cybernetycznych i zagrożeń cybernetycznych;
- interakcję z organami ścigania, bezzłoczne informowanie ich o cyberatakach;
- współdziałanie z organizacjami zagranicznymi i międzynarodowymi w celu reagowania na incydenty cybernetyczne;
- współpracę z innymi zespołami krajowymi w zakresie reagowania na incydenty komputerowe oraz z przedsiębiorstwami i organizacjami zapewniającymi bezpieczeństwo cyberprzestrzeni;
- analizę informacji obywateli o incydentach cybernetycznych dotyczących obiektów związanych z bezpieczeństwem cybernetycznym;
- pomoc dla władz państwowych, formacji wojskowych, przedsiębiorstw, instytucji i organizacji oraz obywateli państwa w rozwiązywaniu kwestii cyberbezpieczeństwa i przeciwdziałaniu zagrożeniom cybernetycznym.
About Us, CERT.Europa.eu (dostęp 10.04.2019); CERT EU, RFC 2350, CERT.Europa.eu (dostęp 10.04.2019; Digital Agenda: Commission Outlines Action Plan to Boost Europe’s Prosperity and Well-being, 19 May 2010, Europa.eu (dostęp 10.04.2019); A. Ferreira, The Cybersecurity Policy Landscape in Europe: Legislation and Research, EUnity-Project.eu (dostęp 10.04.2019); Joint Communication to the European Parliament, The Council, The European Economic and Social Committee and the Committee of the Regions, Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, Brussels, 7.2.2013; E. Le Jamtel, Handling an Incident in CERT-EU, First.org (dostęp 10.04.2019).