Tilkynning frá netöryggissveitinni CERT-IS

11. mars 2022

Vegna stríðsástands í Úkraínu er aukin ógn sem steðjar að íslenskum innviðum.
Eftirfarandi er mat CERT-IS á stöðunni ásamt almennum ráðleggingum til að bregðast við.

Athugið að þessi greinargerð CERT-IS er eingöngu gerð út frá netöryggisþáttum.

Ástandsmat og áhættur

15 dagar eru síðan Rússland réðst inn í Úkraínu og í kjölfarið hófu Evrópuríki, NATO ríki og fleiri ríki þvingunaraðgerðir gegn Rússlandi og ýmsan stuðning við Úkraínu. Rússland hefur gripið til mótaðgerða og borið hefur á auknum netárásum og meðal annars frá ógnarhópum sem hafa verið taldir tengjast rússneskum yfirvöldum. Dæmi er um árásir á Norðurlöndum, í Póllandi, á Spáni og í Þýskalandi sem eru taldar tengjast slíkum hópum. Tenging ógnarhópa (e. attribution) við ákveðin atvik eða hernaðaraðgerðir er hins vegar ekki áreiðanleg.

Áfram er er óvissa um með hvaða hætti aðgerðir munu þróast en að sama skapi að þrátt fyrir stuðning og þátttöku Íslands í aðgerðum og stakar sjálfstæðar efnahagsþvinganir er það áfram mat CERT-IS að Ísland eða íslensk fyrirtæki og stofnanir séu ekki bein skotmörk en að áhrifa muni geta gætt innan íslensks netumdæmis.

CERT-IS hefur ekki upplýsingar um atvik sem hafi raungerst á Íslandi eða tengt Íslandi, fyrir utan íslenskar ip tölur sem eru þáttakendur í DDOS árásum á erlend fórnarlömb. CERT-IS vaktar stöðuna í samstarfi við önnur stjórnvöld og metur eins og er að ekki sé ástæða til að virkja viðbragðsáætlun Almannavarna. Það mat er í samræmi við mat CERT/CSIRT teyma sem CERT-IS fær upplýsingar frá. Ógnarmat vegna log4j veikleikans var sem dæmi tvöfalt hærra en mat á núverandi stöðu. Þrátt fyrir að ekki sé ástæða til að ræsa neyðarstig Almannavarna og tilheyrandi áætlanir metur CERT-IS stöðuna þannig að staðan geti breyst hratt og því mikilvægt að vakta ástandið og gefa út ráðleggingar til mikilvægra innviða og annarra til að vera undirbúin ef ástandið stigmagnast og netárásir raungerast.

Ef til stigmögnunar kemur þá er líklegast að slík stigmögnun sé án neinna undanfara eða yfirlýsinga. Eins og er er það mat CERT-IS að líklegustu afleiðingarnar innan íslensks netumdæmis séu vegna afleiddra áhrifa en ekki beinna árása á landið. Afleidd áhrif gætu þá til dæmis verið vegna: 

  • Tímabundins þjónusturofs á erlendu netsambandi 
  • Þjónusturofs hjá erlendum þjónustuaðilum og skýjaþjónustum eða öðrum birgðakeðjum 
  • Óværur berist til aðila innan íslensks netumdæmis tengt ástandinu án þess að vera beinn skotspónn árásar 
  • Aukinnar tíðni minni DDoS/RDDoS árása án þess að tengjast beint ástandinu 

Afar mikilvægt er í þessari stöðu að CERT-IS fái án tafa tilkynningar rekstraraðila um öll netöryggisatvik með tölvupósti á cert@cert.is, meðal annars til að flýta viðbragði og samræma viðbrögð. CERT-IS metur allar ábendingar burtséð frá því hversu lítilvægar þær geta virst.

Ráðleggingar

Mat CERT-IS er að þetta ástand sé ekki til styttri tíma heldur muni standa yfir til lengri tíma. Það er því mikilvægt að líta ekki á aðgerðir sem tímabundinn sprett heldur sem langhlaup og fara skipulega í aðgerðir. 

Áhættumat er mikilvægt verkfæri til að stýra áhættum og lágmarka árásarfleti, þar sem slíkt mat byggir meðal annars á líkindum þá vill CERT-IS benda á mikilvægi þess að horfa sérstaklega til þess að bæta áfallaþol þegar kemur að netöryggi, en ekki horfa eingöngu til áhættumats.

CERT-IS hvetur alla aðila til að fylgjast vel með stöðunni, fara yfir viðbragðs- og neyðaráætlanir, minnka árásarfleti, fylgjast vel með eftirlitskerfum og leitist við að lágmarka áhættu í samræmi við eftirfarandi ráðleggingar.

  • Draga úr líkum á alvarlegum netöryggisatvikum [1][2]
    Stikkorð: 2FA, öryggisuppfærslur, minnka árásarfleti;
    • Athugið að 2FA stillingar geta átt við fyrirtæki sem hýsa og hafa umsjón með lénaskráningum, eins og t.d. ISNIC 
    • Við viljum benda sérstaklega á að fara yfir öryggisstillingar í skýjaþjónustum, til dæmis Microsoft 365, Amazon (AWS) og álíka
    • Afvirkja macros og rýna öryggisstillingar í Microsoft Office pakkanum
    • Rýna sérstaklega áhættur tengdar birgðakeðjum og verktökum
  • Innleiða getu til að greina og uppgötva innbrot [1
    Stikkorð: Log-kerfi, varnir á endapunktum, eftirlit 
  • Tryggja að hægt sé að virkja viðbragðs- og neyðaráætlanir [1
    Stikkorð: Neyðaráætlun við stóráföllum, aðgengi að lykilstarfsfólki, samfellu í samskiptum 
  • Auka seiglu gagnvart atvikum, sérstaklega gagnagíslatökum [1]
    Stikkorð: Öruggar afritunaraðferðir, prófanir öryggisafrita, rýna áætlanir um samfellu í rekstri við þjónusturof tölvukerfa 
    • Athuga sérstaklega afritun gagna í skýjaþjónustum og að meta þol gagnvart útfalli á skýjaþjónustum og meta mótvægisaðgerðir 
  • Setja í áhættumat hvort þörf sé á að endurmeta núverandi DDoS varnir [6]
    Stikkorð: DDoS, RDDoS 
  • Rýna eldveggjareglur og sérstaklega reglur um umferð út (e. outbound) út frá bestu venjum
    Stikkorð: Eldveggir 
  • Vakta og bregðast við veikleikum [3][5]
    Stikkorð: Veikleikar 
  • Fræða starfsmenn um vefveiðar (e. phishing/smishing) og þjálfa í því að greina slíkar sendingar. Setja upp kerfi sem geta greint og varað starfsmenn við mögulegum vefveiðapóstum [8][9]
    Stikkorð: Vefveiðar

Frekari lýsingar og ítarefni koma fram á vefsíðum CISA [1][4][7]. 


Tilvísanir:
[1] https://www.cisa.gov/shields-up
[2] https://www.cisa.gov/uscert/ncas/analysis-reports/ar21-013a
[3] https://www.cisa.gov/uscert/ncas/alerts/aa22-011a
[4] https://www.cisa.gov/uscert/shields-technical-guidance
[5] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[6] https://otx.alienvault.com/pulse/6218bdb0e0e53a935627f6da/
[7] https://www.cisa.gov/free-cybersecurity-services-and-tools
[8] https://netoryggi.is/haettur/vefveidar/
[9] https://netoryggi.is/um-vefinn/frettir/frett/2020/10/09/Netoryggi-okkar-allra/

 

Til baka