Prolog
“Upomoć! Neko mi je zaključao sve podatke, traže neke bitkoine - otkud meni to? Kuku, ostadoh bez kompletne arhive firme!”
Ne zvuči vam poznato? Srećnici! I to među sve ređima.
Sledi pitanje: “Šta da radim? Koga da zovem?”. Odgovor je obično: “Sad - ništa. Trebalo je redovno raditi bekap (pravljenje rezervne kopije)”.
No, iako je taj odgovor prilično tačan za konkretnu situaciju kada vas je ransomware (virus “ucenjivač”) već trefio, pitanje koga zvati u slučaju sajber-incidenta sasvim je na mestu.
U jednoj anketi sa istim pitanjem odgovori učesnika su bili pomalo zabrinjavajući: najveći broj ljudi pozvao bi prijatelja, IT stručnjaka, a nešto manje njih u pomoć bi pozvalo - Google Search! Odgovor koji bi, za sve ne-sajber situacije, bio najprikladniji nalazio se na poslednjem mestu: policiju. Jedan odgovor, međutim, sve je češći: prijavio bih incident CERT-u.
Šta je (taj) CERT i zašto mu se obratiti?
Ono što je za slučaj požara bio 93, za hitnu pomoć 94, a policiju 92, za sajber-incidente trebalo bi da bude CERT (Computer Emergency Response Team), što bi se moglo objasniti kao centar za prevenciju bezbednosnih rizika i odgovor na sajber incidente. Primetićete da se, u nekim slučajevima po svetu, koriste i skraćenice CSIRT (Computer Security Incident Response Team) i CIRT (Computer Incident Response Team) – što bi, funkcionalno, bilo isto. Čućete i termin SOC (Security Operations Center), ali o tome kasnije.
CERT se obično poredi sa vatrogascima: kad izbije „sajber požar“, zovete ih da ga ugase. Možda je ipak bolje porediti ga sa hitnom pomoći: kada nekom sistemu “sajber pozli“ usled napada, CERT uskače da zaustavi širenje infekcije virusa, ponudi moguće lekove, pa i reanimira ako postoje mogućnosti. Mnogo važnije od toga je da CERT najčešće radi i na prevenciji: upozorava kompanije, institucije i pojedince o slučajevima “sajber zaraza“ u regionu, i otkrivenim ranjivostima koje mogu uticati na imunitet raznih sistema, pa i na širenje „zaraze“, i predlaže mere prevencije i digitalne higijene.
Zvuči korisno imati jedan broj za takvu pomoć, priznaćete!
I taman kad se dohvatite imenika (ili Google Search) da nađete kontakt tog CERT-a, saznaćete da ih - ima više! Nacionalni CERT, RNIDS CERT, govCERT, MUP CERT, akademski CERT, Share CERT, pa razni SOC-ovi…
Koji CERT zvati i za šta? Za šta je koji nadležan? Šta koji radi?
Recimo da je nacionalni CERT - zvanično Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima Republike Srbije - prva i glavna tačka kontakta. Prevencija je najvažnija: na svom sajtu (cert.rs) nacionalni CERT redovno obaveštava o registrovanim napadima i infekcijama kod nas, u regionu i svetu, o otkrivenim ranjivostima u raznim komercijalnim sistemima koje treba zakrpiti, i raznim korisnim merama predostrožnosti. CERT je, naravno, i osnovna tačka kontakta za prijavu incidenta - ko god da ste, važno je da svaki upad u sistem, infekciju virusom, DDoS napad (u svrhu obaranja i nedostupnosti sistema) i slično prijavite kroz onlajn formular.
Za kritične sisteme od državne važnosti nacionalni CERT priskače u pomoć kroz ekspertizu, partnerstva sa kompanijama i operatorima, i vrlo važne međunarodne kontakte sa CERT-ovima drugih zemalja (što je često od presudne važnosti za efikasan odgovor na incident ili napad). Mnogim „običnim” korisnicima, činjenica je, nacionalni CERT neće uvek priteći u pomoć jer ima (nažalost) vrlo ograničene resurse koje prioritetno koristi za kritične nacionalne sisteme, ali ih može usmeriti ka mogućem rešenju ili drugim partnerima koji mogu pomoći. Prijavom incidenta pomoći ćete i jasnije praćenje celokupne slike trenutnih rizika i upozoravanje drugih.
Šta ako nam nacionalni CERT ne može priskočiti u pomoć?
Tu sada uskaču drugi CERT-ovi. Na primer, za većinu državnih organa nadležan je govCERT. Akademske institucije mogu se obratiti akademskom CERT-u AMRES-a. MUP CERT vodi računa o infrastrukturi državnih organa vezanih za poslove MUP-a poput izdavanja ličnih isprava. RNIDS CERT pomaže ovlašćenim registrima i registrantima, ali i svim drugima koji su pogođeni incidentom u kome figurira neki domaći .rs ili .срб domen, dok CERT Share fondacije pomaže posebno medijima i nevladinom sektoru. A za sve one koji mogu da priušte komercijalnu uslugu, tu su i razni privatni SOC-ovi - servisi odgovora na incidente, kao i svih vrsta podrške i saveta kako IT sisteme, pogotovo u kompanijama i institucijama, učiniti bezbednijim.
A šta ako nama uopšte ne treba pomoć jer imamo sopstvene SOC kapacitete?
U tom slučaju drago nam je da uopšte i čitate ovaj tekst - jer za vas sledi važan deo: zašto sarađivati sa nacionalnim i drugim CERT-ovima. Sa jedne strane, za mnoge entitete postoje zakonske obaveze za prijavu sajber incidenata određenim nadležnim organima - na primer nacionalnom CERT-u, odnosno RATEL-u u čijem je sklopu, ili Narodnoj banci. Mnogo važnije je, međutim, shvatiti da deljenjem informacija o napadima sa nacionalnim CERT-om prevashodno - čak i ako vam nije potrebna pomoć u datom slučaju - stvarate krug poverenja sa važnim saradnicima: CERT-u je veoma važno da ima pravovremene informacije o različitim vrstama napada koji su u toku, kako bi sklopio širu sliku i blagovremeno obavestio javnost i međunarodne partnere; vama će takva rana upozorenja o mogućim napadima biti dragocena u prevenciji, a na sve to izuzetna međunarodna povezanost nacionalnog CERT-a sa drugim CERT-ovima i SOC-ovima u zemlji i svetu može vam biti presudna u prevenciji napada - na primer za brzo zaustavljanje DDoS napada ili korumpiranog botnet servera iz inostranstva.
Ček’ - a gde je tu policija?
U priči o pozivanju CERT-ova upomoć često zaboravljamo da mi, građani, imamo državni organ koji plaćamo da nas štiti od kriminala: policiju. Ima li smisla obratiti im se, i šta možemo od njih dobiti?
Na prvo pitanje odgovor je nedvosmislen: da, treba im se obratiti. I MUP i Tužilaštvo imaju odelenja za visokotehnološki kriminal, kojima treba prijaviti ne samo incident, sajber napad ili hakovanje i upad u mrežu - probleme koji se prijavljuju i CERT-u - već i uznemiravanje, nelegalan sadržaj, i sve što CERT-ovi obično ne rade a policija radi u ne-sajber svetu.
Odgovor na drugo pitanje je kompleksniji i obično razočaravajući: policija, zapravo, najčešće ne može mnogo da pomogne. Konkretno, policija svakako ne igra ulogu u odgovoru na incident, i u većini slučajeva neće moći da dolija sitnijim međunarodnim prevarantima i kriminalcima - a za hvatanje domaćih obično su potrebni meseci. Ovo je posledica globalnog karaktera sajber kriminala, nepostojanja funkcionalnih međunarodnih mehanizama za prikupljanje, razmenu i procesuiranje dokaza (mada se ovo polako menja nabolje), i nedostatka resursa koje je naša država opredelila za ove službe. No, policija može imati uspeha u hvatanju nekih kriminalaca na polju najosetljivijih tema kao što je zloupotreba dece, ili razbijanja velikih lanaca sajber kriminalaca - jer se takve akcije rade u saradnji sa Ef-Bi-Ajem, Interpolom i Europolom.
Zašto onda uopšte prijavljivati problem policiji, ako već prijavljujemo CERT-u?
CERT je operativno telo koje pomaže brzom rešavanju problema i prevenciji na duže staze. Policija pak ima fokus na hvatanju prestupnika i prikupljanju dokaza. Iako CERT-ovi imaju dobru saradnju sa policijom, oni, po pravilu, u većini slučajeva ne dele podatke sa policijom (iz više razloga: prvenstveno da bi održali zajednicu od poverenja oko sebe, ali i zato što podaci koje CERT prikuplja često ne mogu poslužiti kao dokazi). Šta god kratkoročno dobili zauzvrat od jednih i drugih, prijavljivanjem incidenata dugoročno činimo uslugu i sebi i društvu: na osnovu više sakupljenih podataka CERT-ovi će nas preciznije upozoravati na dolazeće incidente i napade, a policija će imati više materijala da juri počinioce.
Epilog
“I, onda, ko će meni pomoći da vratim podatke? Koga da zovem, kome da plačem, kukam i molim?”
Virus “ucenjivač” je, iako sve češći, samo jedna vrsta incidenta koja može da zadesi organizaciju, kompaniju ili instituciju, i da izazove poražavajuće posledice. U takvom slučaju, najbolji i gotovo jedini lek je preventiva - pravljenje redovnih kopija sadržaja na više nezavisnih medija, i rad na kulturi digitalne higijene (čitaj: ne klikći na sumnjive linkove, ne otvaraj sumnjive dokumente, koristi antivirus, itd.). Pa ipak, CERT-ovi su od pomoći: preventivno, CERT-ovi upozoravaju kada se neka kampanja ucenjivanja proširila (na osnovu podataka od partnera, kao i na osnovu prijavljenih slučajeva) i zove na oprez; nakon što je šteta učinjena, CERT možda može pomoći sa pretragom eventualnih dostupnih ključeva za otključavanje fajlova (koje nekada ekspertska zajednica uspe da kreira za neke tipove virusa i neke slučajeve), ili nekim drugim smernicama za smanjenje štete.
Ne zaboravimo na kraju vašu ulogu u svemu! Osim osnovnih mera predostrožnosti, o kojima vas svaki CERT može detaljno izvestiti, vaša je društvena (a ponekad i zakonska) odgovornost da incidente prijavite CERT-u i policiji, i da što više informacija podelite sa njima kako bi pomogli vama i drugima koji se nađu u sličnoj situaciji i/ili pronašli počinioce. I možda najvažnije jeste da se aktivno uključite u esnafske i nacionalne aktivnosti za podizanje svesti i kapaciteta za prevenciju i odgovor na incidente, i oblikovanje državnih politika - zakonskih i podzakonskih akata, strategija, i drugih javnih politika - na temu sajber bezbednosti.
Ako neko počne i od ovog teksta, to je dobar korak.