Tilkynna atvik
Tilkynningar um öll atvik, lítil sem stór, yfirstandandi eða lokin er ein mikilvægasta upplýsingalindin sem við hjá CERT-IS höfum. Greining og tölfræði verður nákvæmari eftir því sem fleiri tilkynningar berast til okkar sem gefur okkur betri yfirsýn um stöðu Íslands og hjálpar til við skipulag og ákvarðanatöku.
Tilkynningaleiðir
Fyrstu viðbrögð
í atvikum
Alvarleikamat
Fyrirtæki í
atvikameðhöndlun
Dreifing upplýsinga (TLP)
Tilkynningarleiðir
Hægt er að tilkynna til CERT-IS með eftirfarandi hætti:
Tölvupóstur á [email protected]
Hringja í +354 415 1350
Sjá nánar Sjá nánar
Fyrstu viðbrögð í atvikum
Mikilvægt er að bregðast rétt við öryggisatvikum til að lágmarka skaða og tryggja endurheimt kerfa. Fyrsta skrefið er að virkja viðbragðsáætlanir og meta áhrif atviksins. Næst þarf að einangra sýkt kerfi til að hindra frekari útbreiðslu. Eftir það er lögð áhersla á hreinsun og enduruppsetningu kerfa, auk þess að fylgjast náið með virkni þeirra eftir endurheimt. Að lokum er mikilvægt að læra af atvikinu til að koma í veg fyrir að það endurtaki sig í framtíðinni.
Sjá nánar Sjá minna
1. Yfirsýn
- Virkið viðbragðsáætlanir og viðeigandi starfsfólk
- Ef þið hafið enga sem sinna atvikameðhöndlun þá er hægt að hafa samband við þriðja aðila, sjá hér
- Hver eru smitáhrifin?
- Hefur þetta áhrif á aðeins einn eða marga notendur?
- Hefur notandinn meiri réttindi en hefðbundinn notandi eða er þetta kerfisstjóraaðgangur?
- Er um að ræða eitt eða mörg kerfi?
- Hvert er megin markmið atviksins?
- Fjárkúgun, er verið að krefjast lausnargjalds eftir að brotist hefur verið inn í kerfi og t.d. þau dulkóðuð eða því hótað að leka gögnum?
- Skemmdarverk, er tilgangurinn aðeins til þess að eyðileggja búnað, gögn eða raska þjónustu?
- Þjófnaður, er tilgangurinn að komast yfir gögn eða er verið að stunda njósnir?
- Hver er innbrotsleiðin?
- Er hægt að komast að því hvernig árásaraðilinn komst inn í kerfi í fljótu bragði? Ef ekki, þá er hægt að skoða það síðar í ferlinu
2. Einangrun
- Mikilvægt er að takmarka skaða með því að t.d. afvirkja sýkta notendaaðganga, taka niður kerfi ef hægt er, rjúfa netsamband eða takmarka netumferð.
- Afritun, greining á orsök atvika byggir á upplýsingum úr kerfum áður en þau eru endurheimt. Ef kostur gefst takið skyndimynd (e. snapshot) af sýktum búnaði eða útstöðvum og varðveitið önnur gögn. Sé ætlunin að leggja fram kæru getur verið nauðsynlegt að varðveita gögn með formlegum hætti
- Látið þjónustuaðila ykkar vita að atvik hafi komið upp þannig að hægt sé að hækka öryggisstig kerfa og virkja viðbragðsáætlanir ef við á
3. Hreinsun
- Skanna eftir spillikóða
- Hreinsa kerfi og enduruppsetja þau aftur frá grunni eða afritum
- Huga þarf að afritum og ganga úr skugga að þeim hafi ekki verið spillt eða spillikóða komið fyrir í þeim
- Leita eftir óeðlilegri umferð og aðgerðum í kerfum eins og spillivísum svo sem IP tölum tengdum atvikinu og skrám sem tilheyra spillikóðanum t.d. út frá tætigildum (e. hash value)
- Á þessu stigi þarf að reyna að komast að því hvernig árásaraðilinn komst inn í kerfið ef það er ekki komið í ljós. Þetta er nauðsynlegt svo sagan endurtaki sig ekki þegar kerfið hefur verið gert aðgengilegt aftur
- Loka öllum þekktum öryggisholum með uppfærslum eða breyttum stillingum
- Uppfæra kerfi og hugbúnað
4. Endurheimt
- Prufa og staðfesta að kerfi séu hrein og virki eins og áætlað er
- Koma kerfum aftur upp og gera aðgengileg á skipulagðan hátt
- Fylgjast náið með kerfum eftir að þeim hefur verið komið aftur upp og halda þeirri vöktun áfram í einhvern tíma
5. Lærdómur
- Rannsaka nánar hvað varð til þess að þetta atvik átti sér stað
- Læra af því sem gerðist og betrumbæta núverandi kerfi og ferla til að koma í veg fyrir að sama atvik geti átt sér stað aftur
- Deilið reynslu og upplýsingum um atvik eins og hægt er meðal jafningja. Það gefur öðrum tækifæri til viðbragðs og getur einnig verið ykkur gagnlegt
- CERT-IS getur verið tengiliður til að deila upplýsingum með öðrum án þess að þær séu tengdar við ykkur
Alvarleikamat
Mikilvægt er að við innleiðingu mats á alvarleika í viðbúnaðaráætlanir séu viðmið um áhrif og umfang aðlöguð með tilliti til reksturs viðkomandi aðila. Þannig sé hlutfall miðað við fjölda viðskiptavini, notenda, rekstrarstöðva eða annað sem við á í hverjum rekstri, en einnig séu viðmiðunarhlutföll stillt til ef nauðsyn krefur. Rökstuðningur fyrir slíkum breytingum ætti að liggja fyrir í áætlun. CERT-IS leggur til eftirfarandi viðmið varðandi mat á alvarleika atviks.
Sjá meira Sjá minna
Áhrif á þjónustuveitingu
Atvik eða áhætta sem ógnar nauðsynlegri þjónustu, eins og truflanir, þjónusturof eða öryggis- og virkni vandamál í kerfum, skulu metin út frá umfangi og áhrifum. Þjónusturof er ávallt tilkynningarskylt, á meðan aðrar ógnir eru metnar eftir því hversu umfangsmiklar eða alvarlegar þær eru.
Samkvæmt reglugerð nr. 866/2020 (25. gr. 3. mgr. lið d) skal einnig tilkynna um fyrirsjáanlegar truflanir, svo sem vegna viðhalds, ef þær hafa áhrif á þjónustu annarra mikilvægra innviða.
Áhrif á aðra innviði og starfsemi
Atvik geta haft raunveruleg eða möguleg áhrif á aðra mikilvæga innviði, efnahagslega eða samfélagslega starfsemi, eða stafræna þjónustu. CERT-IS mælir með að tilkynnt sé um atvik sem geta ógnað öðrum rekstraraðilum eða innviðum þjóðfélagsins, jafnvel þótt þau hafi ekki bein áhrif á þann sem tilkynnir.
Lengd atviks
Ef atvik varir lengur en 2 klukkustundir skal færa það upp um flokk. Það þýðir að „Tilkynning heimil“ verður „Tilkynning æskileg,“ og „Tilkynning æskileg“ verður „Tilkynning skylda“
Útbreiðsla atviks
Þegar útbreiðsla atviks er metin, bæði hvað varðar landfræðileg áhrif og fjölda notenda, er miðað við þrjá flokka: lítil (<20%), meðal (20-50%), og veruleg (>50%) útbreiðsla. Mörk þessara flokka má aðlaga að rekstrinum, eftir atvikum. Notendur geta verið viðskiptavinir, starfsmenn eða rekstrarstöðvar, eftir því hvað á við. Atvik sem hafa eða geta haft áhrif yfir landamæri eru ávallt tilkynningarskyld.
Fyrirtæki í atvikameðhöndlun
Heimasíða: Ambaga.is
Símanúmer: +354 768 0112
Viðbragðsþjónusta Ambaga nær yfir eftirfarandi:
- Atvikastjórnun: Við leiðum þig í gegnum alla þætti öryggisatviks æskilegum stöðlum og starfsháttum(industry standard and best practices), frá fyrstu greiningu til lausnar mála.
- Atvika- og rótargreiningu: Ítarleg greining á orsökum atvik ásamt mögulegum fyrirbyggjandi aðgerðum og umbótatillögum í framhaldinu.
- Samskipti: Við aðstoðum við samskipti og samhæfingu aðgerða til að koma rekstri aftur í samt lag á eins skilvirkan og öruggan hátt og mögulegt er.
Vefsíða: www.arcticwolf.com/solutions/incident-response/
Netfang: [email protected]
Sími: +45 80 82 08 52 eða +1 888 272 8429
Arctic Wolf bíður öllum fyrirtækjum uppá online atviksmeðhöndlun allan sólarhringinn með innan við 1 klukkutíma viðbragðstíma (SLA). Arctic Wolf bíður uppá alhliða þjónustu varðandi atviks meðhöndlun. Arctic Wolf er með hundruð sérfræðina sem sérhæfa sig í atviksmeðhöndlun. Arctic Wolf bíður einnig uppá alhliða öryggis vöktun allan sólarhringinn fyrir viðskiptavini og ráðgjöf varðandi öryggisáhættu fyrirtækja sem herðir, greinir og bregðast við atvikum. Arctic Wolf atviksmeðhöndlun er eitt fárra fyrirtækja sem bíður uppá að endurheimtun gagna á sama tíma og greining atvika á sér stað sem gefur hraðari endurheimtun rekstrar. Viðskiptavinum biðst einnig áætlanagerð um viðbragð (JumpStart Retainer) sem undirbýr atviksmeðhöndlun sem eikur enn hraðari viðbragð. Hvort sem þú ert með samning við Arctic Wolf eða ekki þá aðstoðar Arctic Wolf við atvikameðhöndlun fyrirtækja.
Deloitte aðstoðar fyrirtæki sem lenda í netöryggisatvikum allan sólarhringinn. Deloitte aðstoðar við fyrsta viðbragð netöryggisatvika, ásamt því að framkvæma orsakagreiningu atvika og uppbyggingu netvarna til að lágmarka líkurnar á að lenda í netöryggisatvikum. Einnig býður Deloitte upp á 24/7 rauntímavöktun þar sem hægt er að bregðast við um leið og atvik byrjar ásamt því að Deloitte framkvæmir bæði stefnumótandi vinnu og tæknilega úttektir á tölvukerfum viðskiptavina.
Vefsíða: www.ok.is
Netfang: [email protected] eða [email protected]
Sími: +354 570 1000
OK sér um ráðgjöf og aðstoð við að greina rekstrar/öryggis atvik. Við leggjum áherslu á krísustjórnun og að draga viðeigandi aðila að borði eftir eðli atvika. Byggja upp tímalínu og aðstoða við að bregðast rétt við.
Vefsíða: www.secureit.is
Netfang: [email protected]
Sími: +354 888 4268 eða í atvikum +354 888 1247
Aðstoð allan sólarhringinn: Já, fyrir þau fyrirtæki sem eru með samning hjá SecureIT eða gegn gjaldi.
SecureIT veitir viðbraðgsþjónustu vegna netöryggisatvika. Að auki er boðið upp á ýmsa öryggisráðgjöf og prófanir, þ.a.m. varðandi mat á stöðu aðila gagnvart viðbragði við öryggisativkum (Incident Readiness) og við gerð viðbragðsferla. Önnur ráðgjafaþjónusta fyrirtækisins innifelur ráðgjöf til að styrkja öryggisstöðu fyrirtækja, gerð ferla og vottanir samkvæmt ýmsum alþjóðlegum stöðlum s.s. ISO, PCI og HITRUST. Einnig býður SecureIT upp á tæknilegar prófanir s.s. Innbrotsprófanir og veikleikaskönn.
Vefsíða: Skjöldur – Advania
Netfang: [email protected]
Sími: + 354 440-9000
Skjöldur, netöryggisþjónusta Advania, býður fyrirtækjum upp á 24/7/365 viðbragðsþjónustu vegna netöryggisatvika. Við bregðumst tafarlaust við atvikum og gerum nauðsynlegar ráðstafanir.
Viðskiptavinir Skjaldar eru í þjónustu þar sem við tryggjum vörn, vöktun og viðbragð allan sólahringinn, ásamt neyðarþjónustu og öryggisráðgjöf. Fagfólkið okkar framkvæmir greiningar og úttektir á umhverfum, þar sem niðurstöður nýtast beint sem úrbótaverkefni. Saman vinnum við að því markmiði að gera umhverfi viðskiptavina mun öruggari.
Vefsíða: www.syndis.is
Netfang: [email protected]
Sími: +354 415 1337
Aðstoð allan sólarhringinn: Já, Syndis er til taks allan sólarhringinn fyrir viðskiptavini Syndis með viðbragðsþjónustu enn fremur býður Syndis upp á 24/7 vöktun á kerfum og ef vart verður við óeðlilega hegðun þá er brugðist við í rauntíma.
Fyrirtæki með samning um viðbragðsþjónustu Syndis geta leitað beint til sérfræðinga Syndis allan sólarhringinn ef upp koma alvarleg öryggisfrávik eða þegar búið er að brjótast inn í kerfi viðkomandi. Sérfræðingar Syndis geta komið að allri verkstjórn og tekið stjórn á vettvangi, farið í að rekja atvik, veitt ráðgjöf varðandi samskipti út á við og aðstoðað við næstu skref.
TLP skilgreining
Traffic light Protocol (TLP) er staðall um dreifingu upplýsinga. Markmið hans er að tryggja að viðkvæmum upplýsingum sé dreift innan rétts hóps. TLP notast við fjóra liti til að gefa til kynna mun á hversu viðkvæm gögnin eru og hve víða má dreifa þeim.
Sjá meira Sjá minna
RED
Hvenær á að notast við það?
TLP:RED er notað þegar ekki er hægt að bregðast við upplýsingunum á árangursríkan máta án mikillar hættu gagnvart trúnaði, orðspori eða rekstri viðeigandi fyrirtækja eða stofnunar.
Hvernig má deila upplýsingum?
Upplýsingarnar eru aðeins fyrir augu og eyru þeirra sem upplýsingarnar eru stílaðar á. Það má því ekki deila þeim áfram til neins. Í samhengi funda eru upplýsingarnar eingöngu fyrir þá sem eru viðstaddir.
AMBER + STRICT
Hvenær á að notast við það?
TLP:AMBER er notað þegar upplýsingar krefjast stuðnings annarra til þess að brugðist sé við á árangursríkan máta, en þær fela í sér hættu gagnvart trúnaði, orðspori eða rekstri viðeigandi fyrirtækja eða stofnunar.
Hvernig má deila upplýsingum?
Viðtakendur mega aðeins deila upplýsingunum til þeirra sem þurfa að vita (e. need-to-know) innan fyrirtækis. Ekki má deila þessum upplýsingum til tengdra aðila svo sem ytri þjónustuaðila eða viðskiptavina.
GREEN
Hvenær á að notast við það?
TLP:GREEN er notað þegar upplýsingarnar eru gagnlegar til að auka vitund innan samfélagsins. Hægt er að tilgreina til hvaða samfélags upplýsingarnar eiga við. Aftur á móti ef samfélag er ekki skilgreint frekar má áætla að upplýsingarnar eiga erindi til netöryggissamfélagsins í heild sinni.
Hvernig má deila upplýsingum?
TLP:GREEN má deila milli allra samstarfsfyrirtækja og annarra fyrirtækja í sama samfélagi, en ekki dreifa opinberlega.
CLEAR
Hvenær á að notast við það?
TLP:CLEAR er notað þegar upplýsingarnar innihalda lágmarks eða enga áhættu á að vera misnotaðar ef þær birtast opinberlega.
Hvernig má deila upplýsingum?
TLP:CLEAR er notað þegar upplýsingarnar innihalda lágmarks eða enga áhættu á að vera misnotaðar ef þær birtast opinberlega.
Hægt er að lesa frekar um TLP hér
