Nahlásiť incident

CSIRT.SK ako vládna jednotka pre riešenie počítačových bezpečnostných incidentov pomáha pri riešení kybernetických bezpečnostných incidentov organizáciám štátnej a verejnej správy.

Bezpečnostný incident je možné zadať nasledovne:

Zaslaním e-mailu na adresu incident (at) csirt.sk. K e-mailu je možné priložiť prílohy a v prípade potreby využiť aj  PGP kľúč (44,3 kB) na ich zašifrovanie. (V prípade potreby je možné použiť voľne dostupný nástroj GNU GPG).
Odtlačok kľúča: DFB9 E47B 4304 CB18 AF97 E49D EC51 77D3 E4E1 1CE2

Pri hlásení incidentu (zaslaním e-mailu) platia nasledujúce pravidlá:

  • Je nutné uvádzať korektnú e-mailovú adresu, ktorá je primárnym kontaktom.
  • Je nutné uviesť jednoznačný popis incidentu.
  • Pri popise incidentu uveďte čo najviac informácií, ktoré by mohli pomôcť pri jeho analýze a následnom spracovaní. Každá, aj zdanlivo na prvý pohľad neužitočná informácia, môže byť veľmi užitočná.

Príklad užitočných údajov, ktoré môžu pomôcť pri riešení incidentu:

  • Informácie o osobe v organizácii, ktorá hlási incident:
    • funkcia/pracovné zaradenie
    • názov organizácie, typ organizácie (štátna, súkromná, škola, …)
    • ďalšie dotknuté organizácie
  • Informácie o incidente:
    • čas začiatku incidentu (ak je známy)
    • čas a spôsob zistenia
    • ide o prebiehajúci incident? (áno/nie/neviem)
    • boli  zneužité nejaké známe zraniteľnosti? (áno/nie/neviem)
    • aké protiopatrenia boli vykonané
    • detailný popis – popis priebehu incidentu, aké typy útokov boli použité, odkiaľ útok smeroval, aké boli bezpečnostné opatrenia (firewall, antivirus, …),či boli prekonané apod.
    • ak ide o spam pripojte úplnú hlavičku a telo e-mailovej správy
    •  ak ide o vírus, tak dotknutý súbor zabalený vo formáte ZIP zabezpečený heslom: „incident
    • ak ide o phishing alebo pharming, pripojte prosím aj úplnú adresu URL.
    • ak ide o sieťové skenovanie alebo útok typu odopretia služieb (DoS), pripojte prosím časové známky, časovú zónu, zdrojové a cieľové IP (prípadne MAC)  adresy a porty, typ protokolu (TCP, UDP, ICMP,…) – ak je možné vzorku zachytených paketov  (napr. pomocou programu WireShark)
  • Informácie o zasiahnutých zariadeniach  a dopadoch:
    • typ a funkcia zariadenia
    • IP adresa, hostname,
    • protokol a porty na ktoré útok smeroval,
    • popis hardwaru zariadenia,
    • operačný systém (typ, verzia)
    • zasiahnutý software alebo súbory
    • ide o kritické zariadenie z pohľadu pokračovania v činnosti?
    • je zariadenie v prevádzke?
    • kontaktná osoba pre získanie prístupu k zariadeniu
    • obsahuje neverejné informácie?

Pomôcka ako identifikovať typy incidentu

Posledná aktualizácia