Form og innihald tilkynninga um atvik

Tilkynningar um öryggisatvik eiga að vera stuttar en hnitmiðaðar til að hægt sé að meta eðli og umfang atviksins og bregðast við með skilvirkum hætti. Tilkynningar eru meðhöndlaðar með þeim trúnaði sem tilkynnandi óskar, en þó ber að athuga að CERT-IS ber skylda til að upplýsa eftirlitsstjórnvöld um eðli og stöðu atvkia sem teljast tilkynningaskyld undir NIS löggjöfinni. Sjá nánar um upplýsingagjöf CERT-IS til eftirlitsstjórnvalda.

Form tilkynninga

Mælt með að stuðst sé við eftirfarandi gátlista við gerð tilkynninga um öryggisatvik

  • Helstu tengiliðaupplýsingar sendanda s.s. nafn, staða, símanúmer og tölvupóstfang til að hægt sé að fylgja eftir ef nauðsynlegt er.
  • Fyrirtæki eða stofnun tilkynnanda, sérstaklega þegar um er að ræða skilgreindan rekstraraðila nauðsynlegrar þjónustu eða veitanda stafrænnar þjónustu. Einnig reksraraðila þeirra kerfa sem er ógnað, s.s. ef rekstri er útvistað.
  • Trúnaðarflokkun tilkynningarinnar - notast má við TLP flokkunarkerfið. Sjá nánar um trúnaðarflokkun og örugga meðferð tilkynninga.
  • Eigið mat tilkynnanda á alvarleika, umfang og áhrif atviks.
  • Hvort tilkynnandi metur að um sé að ræða skyldubundna tilkynningu samkvæmt NIS löggjöfinniNauðsynlegt er að skýra frá þeim atriðum í lýsingu sem krafist er í NIS skyldutilkynningum.
  • Stutt samantekt um atvikið miðað við stöðu þegar atvikið er tilkynnt. 
  • Helstu tímasetningar, að lágmarki hvenær atviks varð fyrst vart og, ef við á, hvenær því taldist lokið. 
  • Mótvægisaðgerðir sem gripið hefur verið til og áformað er að grípa til, með tímasetningum. 
  • Aðgerðir sem óskað er eftir frá CERT-IS til að aðstoða við úrlausn atviksins.
  • Aðgerðir sem verður eða hefur verið óskað frá öðrum aðilum, s.s. eftirlitsstjórnvöldum, öðrum fyrirtækjum/stofnunum í geira, lögreglu, Persónuvernd eða öryggissérfræðingum.

Samantekt um atvik og stöðu þess

Stutt og hnitmiðuð lýsing á atviki, s.s. eðli þess og aðdraganda þess að það var uppgötvað. Styðjast má við flokkunarfræði CERT-IS við að lýsa atviki. Dæmi:

  • Álagsárás - DDoS. SYN flood
  • Spillikóði/Sýkt kerfi - Vírus sýking
  • Upplysingaöflun/póstveiðar - Phishing tölvupóstur
  • Upplýsingaöryggi - skrám breytt án heimildar

Gott er að tiltaka tæknilegar upplýsingar, bæði um eigin kerfi sem hafa orðið fyrir skaða eða eru í hættu vegna atviksins, og einnig um gerendur séu þeir þekktir. Sérstaklega er mikilvægt að taka fram rekstraraðila útvistaðra kerfa.

Vísar (IoC - Indicators-of-Comromise) eru þær tæknilegu upplýsingar sem nota má til að greina innviði og aðferðafræði árásaraðila. Mikilvægt er að telja upp sem mest af þeim vísum sem geta hjálpað við greiningu. Einnig er hægt að nýta vísa til að gera öðrum aðilum kleyft að verjast með markvissri miðlunm, sem er eitt af hlutverkum CERT-IS sem CSIRT. Til vísa teljast m.a.

  • IP tölur sem tengjast innviðum geranda
  • URL sem hafa verið notuð í árásum
  • Tölvupóstföng sem notuð hafa verið í veiðiárás (phishing)
  • Nöfn og/eða hakkasummur spillikóða (malware)
  • Registry lyklar eða aðrar breytingar á uppsetningu sem árásaraðili er talinn hafa gert eða komið fyrir

Umfang, áhrif og staða atviks

Mikilvægt er að leggja mat á umfang, áhrif og stöðu öryggisatviks í stuttu máli, sérstaklega ef um er að ræða NIS skyldutilkynningu. Eftirfarandi atriði eru til stuðnings:

  • Mat á alvarleika atviksins eða áhættu s.s. Lágt / miðlungs / hátt. Styðjast má við leiðbeiningar um mat á alvarleika öryggisatvika
  • Mat á umfangi atviksins, s.s. fjölda rekstrarstöðva, notenda eða viðskiptavina sem hafa orðið fyrir eða geta orðið fyrir áhrifum.
  • Mat á núverandi stöðu, s.s.
    - rannsókn yfirstandandi, áhrif ekki ljós að svo stöddu
    - atvik og meðhöndlun þess yfirstandandi
    - atvik hamið ("contained") og ekki frekari hætta
    - lokið með aðgerðum tilkynnanda og/eða annarra
  • Mat á mögulegum smitáhrifum, s.s. hvort önnur kerfi tilkynnanda séu í hættu, en einnig hvort talið sé að önnur kerfi mikilvægra innviða séu í hættu. Sérstaklega er mikilvægt að taka fram hvort áhrifa geti gætt yfir landamæri. 

Skrár og ítarefni  

Hengja má við skrár sem tengjast atviki og geta hjálpað við greiningu þess og meðhöndlun s.s. 

  • Skrár með spillikóða
  • afrit eða skjáskot af hótunarbréfum eða öðrum einkennum atviks
  • umferðarkrár (loggar). 

Sé virkur spillikóði sendur með tilkynningu er þess óskað að honum sé pakkað í zip skrá eða sambærilegt sem læst sé með einföldu lykilorði (mælt með 1234) og að skráarnafn gefi innihald greinilega til kynna s.s. með að nota forskeytið MALWARE.