Čeština

Pokyny pro hlášení bezpečnostního incidentu

Logo Csirt

V návaznosti na zřízení bezpečnostního týmu Coolhousing CSIRT, o kterém jsme Vás informovali v září tohoto roku, vám nyní přinášíme pokyny, jak se zachovat v případě zjištění bezpečnostního incidentu. S bezpečnostními incidenty si není dobré zahrávat!

Jak správně napsat hlášení bezpečnostního incidentu

CSIRT Coolhousing preferuje hlášení bezpečnostního incidentu prostřednictvím webového formuláře nebo elektronické pošty na adresu csirt@coolhousing.net. Hlášení by mělo obsahovat kompletní popis problému. CSIRT Coolhousing se ohlášeným problémem bude zabývat jakmile to bude možné a budou vás informovat o vyřešení problému. Odpověd na ohlášený incident obdržíte z adresy „csirt@coolhousing.net“ a zpráva bude podepsaná naším PGP klíčem.

Bezpečnostní incidenty jsou zpracovávány v pracovních dnech v době od 9:00 do 15:00.

Potřebujete-li nahlásit incident mimo tuto dobu nebo z nějakého důvodu nemůžete odeslat hlášení elektronickou poštou, můžete incident nahlásit telefonicky na čísle +420 777 310 000, které je obsluhováno napřetržitě.

Základní pravidla pro vytvoření hlášení bezpečnostního incidentu

  • Hlášení by mělo být jednoduchý textový e-mail, v případě potřeby s přílohou.
  • Report by se měl týkat jedné IP adresy nebo jednoho adresového bloku.
  • Předmět zprávy by měl obsahovat IP adresu nebo adresový blok a typ incidentu (spam, virus, scanning, DDOS, hacking, phishing, pharming, porušení autorských práv …).
  • Hlášení o scannování musí obsahovat část logu obsahující záznamy o útoku:

    • časové známky a časovou zónu
    • zdrojovou a cílovou IP adresu
    • zdrojový a cílový port
    • TCP/UDP/ICMP

    Hlášení o spamu nebo viru musí obsahovat kompletní nemodifikovanou hlavičku daného e-mailu, který je považován za spam nebo vir.

    Hlášení o spamu („unwanted commercial emails“) by mělo obsahovat kompletní nemodifikovanou hlavičku a tělo zprávy.

    Hlášení porušení autorských práv musí obsahovat následující informace:

    • časové známky a časovou zónu,
    • zdrojovou a cílovou IP adresu, na které došlo k porušení autorských práv,
    • službu použitou pro zveřejnění dat chráněných autorským právem,
    • typ (jméno…) dat chráněných autorským právem.

    Hlášení phishing nebo pharming musí obsahovat URL a pokud možno i zdrojovou stránku webové stránky.

    Hlášení musí obsahovat základní kontaktní informace – jméno reportujícího a jméno organizace.

    Hlášení musí být odesláno z validní e-mail adresy.

    CSIRT Coolhousing respektuje Vaše soukromí, můžete tedy některá data (např. z logů) anonymizovat, případně výslovně uvést, které informace nesmíme poskytnout dál. Zvažte ale, nakolik se tím sníží průkaznost a možnost identifikace, nebo dokonce znemožní řešení.

    Doporučení

    Pro hlášení odeslané elektronickou poštou doporučujeme dodržení následujících pravidel:

    • Vhodně volený jazyk. Pokud si nejsme jisti, který jazyk cílový adresát ovládá, napíšeme dopis anglicky.
    • Dopis by se měl týkat jen jediné IP adresy nebo strojů v jediném adresovém bloku; pokud tedy probíhá útok z více míst, je dobré rozeslat stížnosti zvlášť, ne v jedné zprávě.
    • Formát zprávy by měl být prostý text, v případě nutnosti s přílohou.
    • Zpráva by měla mít výstižný předmět obsahující např. IP adresu útočníka, typ incidentu (spam, vir, DOS, porušení autorských práv apod.) nebo jiný text umožňující snadnou identifikaci incidentu.
    • Zpráva by měla být sestavena tak, aby ji nevyřadila antispamová nebo antivirová ochrana.
    • Podpis – „občanský“ podpis je samozřejmostí; z hlediska ochrany vlastní identity a integrity zprávy je vhodný elektronický podpis (PGP, X.509).
    • Bez ohledu na to, jakou formou je hlášení bezpečnostního incidentu realizováno, platí, že hlášení by mělo být stručné, jasné, srozumitelné a zdvořilé. Dále by mělo obsahovat sdělení, jakou formu reakce očekáváme, tj. zda se jedná pouze o upozornění bez potřeby znát příčinu útoku, nebo očekáváme vysvětlení.

    Hlášení bezpečnostního incidentu

    Předtím, než vytvoříte a do CSIRT Coolhousing odešlete hlášení bezpečnostního incidentu, se ujistěte, zda-li se obracíte na správné místo.

    Bezpečnostní incidenty hlašte elektronickou poštou na adresu . Hlášení by mělo obsahovat kompletní popis problému.

    Základní bezpečnostní incidenty

    • Jakékoliv porušení platných zákonů České Republiky, např. výhružky, urážky osobního charakteru,
    • DOS a DDOS útoky,
    • spamming (nevyžádaná pošta),
    • zneužití přístupového jména a hesla, např. neoprávněný přístup do systému,
    • phishing a pharming,
    • porušení autorských práv.

    Co je počítačový bezpečnostní incident?

    • Ohrožení bezpečnosti nebo dostupnosti síťové infrastruktury Coolhousing (DoS, lámání hesel, skenování a další).
    • Útoky na uživatele sítě a služeb Coolhousing (např. phishing, e-mailové podvody a další).
    • Nebezpečí přesahující rámec DC Coolhousing.

    Co není počítačový bezpečnostní incident?

    • Nález nakaženého souboru antivirem.
    • Příjem nevyžádané pošty, spamu „v obvyklých mezích“.
    • Nemožnost přihlásit se k počítači v DC Coolhousing.
    • „Podivně“ se chovající počítač v DC Coolhousing.
    • Odcizení výpočetní techniky s důležitými daty (vč. USB klíčenek, přenosných disků).

    Autor: Coolhousing CSIRT

Nejlepší články

úložné boxy pro součástky a komponenty
Supermicro server s AMD CPU
Chladící infrastruktura s technologií freecooling