Пролог
“Упомоћ! Неко ми је закључао све податке, траже неке биткоине - откуд мени то? Куку, остадох без комплетне архиве фирме!”
Не звучи вам познато? Срећници! И то међу све ређима.
Следи питање: “Шта да радим? Кога да зовем?”. Одговор је обично: “Сад - ништа. Требало је редовно радити бекап (прављење резервне копије)”.
Но, иако је тај одговор прилично тачан за конкретну ситуацију када вас је ransomware (вирус “уцењивач”) већ трефио, питање кога звати у случају сајбер-инцидента сасвим је на месту.
У једној анкети са истим питањем одговори учесника су били помало забрињавајући: највећи број људи позвао би пријатеља, ИТ стручњака, а нешто мање њих у помоћ би позвало - Google Search! Одговор који би, за све не-сајбер ситуације, био најприкладнији налазио се на последњем месту: полицију. Један одговор, међутим, све је чешћи: пријавио бих инцидент ЦЕРТ-у.
Шта је (тај) ЦЕРТ и зашто му се обратити?
Оно што је за случај пожара био 93, за хитну помоћ 94, а полицију 92, за сајбер-инциденте требало би да буде CERT (Computer Emergency Response Team), што би се могло објаснити као центар за превенцију безбедносних ризика и одговор на сајбер инциденте. Приметићете да се, у неким случајевима по свету, користе и скраћенице CSIRT (Computer Security Incident Response Team) и CIRT (Computer Incident Response Team) – што би, функционално, било исто. Чућете и термин SOC (Security Operations Center), али о томе касније.
ЦЕРТ се обично пореди са ватрогасцима: кад избије „сајбер пожар“, зовете их да га угасе. Можда је ипак боље поредити га са хитном помоћи: када неком систему “сајбер позли“ услед напада, ЦЕРТ ускаче да заустави ширење инфекције вируса, понуди могуће лекове, па и реанимира ако постоје могућности. Много важније од тога је да ЦЕРТ најчешће ради и на превенцији: упозорава компаније, институције и појединце о случајевима “сајбер зараза“ у региону, и откривеним рањивостима које могу утицати на имунитет разних система, па и на ширење „заразе“, и предлаже мере превенције и дигиталне хигијене.
Звучи корисно имати један број за такву помоћ, признаћете!
И таман кад се дохватите именика (или Google Search) да нађете контакт тог ЦЕРТ-а, сазнаћете да их - има више! Национални ЦЕРТ, РНИДС ЦЕРТ, govCERT, МУП ЦЕРТ, академски ЦЕРТ, Share CERT, па разни SOC-ови…
Који ЦЕРТ звати и за шта? За шта је који надлежан? Шта који ради?
Рецимо да је национални ЦЕРТ - званично Национални центар за превенцију безбедносних ризика у ИКТ системима Републике Србије - прва и главна тачка контакта. Превенција је најважнија: на свом сајту (cert.rs) национални ЦЕРТ редовно обавештава о регистрованим нападима и инфекцијама код нас, у региону и свету, о откривеним рањивостима у разним комерцијалним системима које треба закрпити, и разним корисним мерама предострожности. ЦЕРТ је, наравно, и основна тачка контакта за пријаву инцидента - ко год да сте, важно је да сваки упад у систем, инфекцију вирусом, DDoS напад (у сврху обарања и недоступности система) и слично пријавите кроз онлајн формулар.
За критичне системе од државне важности национални ЦЕРТ прискаче у помоћ кроз експертизу, партнерства са компанијама и операторима, и врло важне међународне контакте са ЦЕРТ-овима других земаља (што је често од пресудне важности за ефикасан одговор на инцидент или напад). Многим „обичним” корисницима, чињеница је, национални ЦЕРТ неће увек притећи у помоћ јер има (нажалост) врло ограничене ресурсе које приоритетно користи за критичне националне системе, али их може усмерити ка могућем решењу или другим партнерима који могу помоћи. Пријавом инцидента помоћи ћете и јасније праћење целокупне слике тренутних ризика и упозоравање других.
Шта ако нам национални ЦЕРТ не може прискочити у помоћ?
Ту сада ускачу други ЦЕРТ-ови. На пример, за већину државних органа надлежан је govCERT. Академске институције могу се обратити академском ЦЕРТ-у АМРЕС-а. МУП ЦЕРТ води рачуна о инфраструктури државних органа везаних за послове МУП-а попут издавања личних исправа. РНИДС ЦЕРТ помаже овлашћеним регистрима и регистрантима, али и свим другима који су погођени инцидентом у коме фигурира неки домаћи .rs или .срб домен, док ЦЕРТ Share фондације помаже посебно медијима и невладином сектору. А за све оне који могу да приуште комерцијалну услугу, ту су и разни приватни SOC-ови - сервиси одговора на инциденте, као и свих врста подршке и савета како ИТ системе, поготово у компанијама и институцијама, учинити безбеднијим.
А шта ако нама уопште не треба помоћ јер имамо сопствене SOC капацитете?
У том случају драго нам је да уопште и читате овај текст - јер за вас следи важан део: зашто сарађивати са националним и другим ЦЕРТ-овима. Са једне стране, за многе ентитете постоје законске обавезе за пријаву сајбер инцидената одређеним надлежним органима - на пример националном ЦЕРТ-у, односно РАТЕЛ-у у чијем је склопу, или Народној банци. Много важније је, међутим, схватити да дељењем информација о нападима са националним ЦЕРТ-ом превасходно - чак и ако вам није потребна помоћ у датом случају - стварате круг поверења са важним сарадницима: ЦЕРТ-у је веома важно да има правовремене информације о различитим врстама напада који су у току, како би склопио ширу слику и благовремено обавестио јавност и међународне партнере; вама ће таква рана упозорења о могућим нападима бити драгоцена у превенцији, а на све то изузетна међународна повезаност националног ЦЕРТ-а са другим ЦЕРТ-овима и SOC-овима у земљи и свету може вам бити пресудна у превенцији напада - на пример за брзо заустављање DDoS напада или корумпираног botnet сервера из иностранства.
Чек’ - а где је ту полиција?
У причи о позивању ЦЕРТ-ова упомоћ често заборављамо да ми, грађани, имамо државни орган који плаћамо да нас штити од криминала: полицију. Има ли смисла обратити им се, и шта можемо од њих добити?
На прво питање одговор је недвосмислен: да, треба им се обратити. И МУП и Тужилаштво имају оделења за високотехнолошки криминал, којима треба пријавити не само инцидент, сајбер напад или хаковање и упад у мрежу - проблеме који се пријављују и ЦЕРТ-у - већ и узнемиравање, нелегалан садржај, и све што ЦЕРТ-ови обично не раде а полиција ради у не-сајбер свету.
Одговор на друго питање је комплекснији и обично разочаравајући: полиција, заправо, најчешће не може много да помогне. Конкретно, полиција свакако не игра улогу у одговору на инцидент, и у већини случајева неће моћи да долија ситнијим међународним преварантима и криминалцима - а за хватање домаћих обично су потребни месеци. Ово је последица глобалног карактера сајбер криминала, непостојања функционалних међународних механизама за прикупљање, размену и процесуирање доказа (мада се ово полако мења набоље), и недостатка ресурса које је наша држава определила за ове службе. Но, полиција може имати успеха у хватању неких криминалаца на пољу најосетљивијих тема као што је злоупотреба деце, или разбијања великих ланаца сајбер криминалаца - јер се такве акције раде у сарадњи са Еф-Би-Ајем, Интерполом и Еурополом.
Зашто онда уопште пријављивати проблем полицији, ако већ пријављујемо ЦЕРТ-у?
ЦЕРТ је оперативно тело које помаже брзом решавању проблема и превенцији на дуже стазе. Полиција пак има фокус на хватању преступника и прикупљању доказа. Иако ЦЕРТ-ови имају добру сарадњу са полицијом, они, по правилу, у већини случајева не деле податке са полицијом (из више разлога: првенствено да би одржали заједницу од поверења око себе, али и зато што подаци које ЦЕРТ прикупља често не могу послужити као докази). Шта год краткорочно добили заузврат од једних и других, пријављивањем инцидената дугорочно чинимо услугу и себи и друштву: на основу више сакупљених података ЦЕРТ-ови ће нас прецизније упозоравати на долазеће инциденте и нападе, а полиција ће имати више материјала да јури починиоце.
Епилог
“И, онда, ко ће мени помоћи да вратим податке? Кога да зовем, коме да плачем, кукам и молим?”
Вирус “уцењивач” је, иако све чешћи, само једна врста инцидента која може да задеси организацију, компанију или институцију, и да изазове поражавајуће последице. У таквом случају, најбољи и готово једини лек је превентива - прављење редовних копија садржаја на више независних медија, и рад на култури дигиталне хигијене (читај: не кликћи на сумњиве линкове, не отварај сумњиве документе, користи антивирус, итд.). Па ипак, ЦЕРТ-ови су од помоћи: превентивно, ЦЕРТ-ови упозоравају када се нека кампања уцењивања проширила (на основу података од партнера, као и на основу пријављених случајева) и зове на опрез; након што је штета учињена, ЦЕРТ можда може помоћи са претрагом евентуалних доступних кључева за откључавање фајлова (које некада експертска заједница успе да креира за неке типове вируса и неке случајеве), или неким другим смерницама за смањење штете.
Не заборавимо на крају вашу улогу у свему! Осим основних мера предострожности, о којима вас сваки ЦЕРТ може детаљно известити, ваша је друштвена (а понекад и законска) одговорност да инциденте пријавите ЦЕРТ-у и полицији, и да што више информација поделите са њима како би помогли вама и другима који се нађу у сличној ситуацији и/или пронашли починиоце. И можда најважније јесте да се активно укључите у еснафске и националне активности за подизање свести и капацитета за превенцију и одговор на инциденте, и обликовање државних политика - законских и подзаконских аката, стратегија, и других јавних политика - на тему сајбер безбедности.
Ако неко почне и од овог текста, то је добар корак.