Embed Size (px)
Citation preview
Rola NASK w Krajowym Systemie Cyberbezpieczeństwa
Misja
Powołana w 1992 Naukowa i
Akademicka Sieć Komputerowa ma
status Państwowego Instytutu
Badawczego.
„Podłączyliśmy Polskę do Internetu.”
Główne obszary działań NASK to:
• Rejestr domeny .pl
• Cyberbezpieczeństwo
• Dyżurnet.pl i Safer Internet
• Badania naukowe w zakresie
sieci komputerowych
• Ogólnopolska Sieć Edukacyjna
• Badania społeczne
• Edukacja
• Projekty strategiczne
CERT Polska
• Pierwszy polski zespół CSIRT,
powołany w 1997.
• Projekty badawczo-rozwojowe:
• N6;
• ARAKIS;
• SISSDeN.
• Analiza złośliwego oprogramowania i
rozbijanie botnetów.
• Śledzenie działań cyberprzestępców.
• Informatyka śledcza i wsparcie dla
organów ścigania.
• Przyjmowanie zgłoszeń od podmiotów
Krajowego Systemu
Cyberbezpieczeństwa.
• Program partnerski „Partnerstwo dla
Cyberbezpieczeństwa”.
Projekty B+R
• N6:
• Nazwa: Network Security Incidents
Exchange (NSIX).
• Aktualizowana na bieżąco baza
danych zdarzeń bezpieczeństwa.
• Dostępny dla podmiotów
posiadających swoje zakresy
adresowe.
• Bezpłatne!
• https://n6.cert.pl/
• ARAKIS2
• System wczesnego ostrzegania
analizujący przepływy sieciowe oraz
dane z pułapek.
• Możliwość definiowania stałych
zapytań i dashboardów.
• SISSDeN
• System gromadzenia informacji o
zagrożeniach z pułapek sieciowych
różnych typów.
„Partnerstwo dla Cyberbezpieczeństwa”
• Partnerstwo Publiczno-
Prywatne pod auspicjami
Ministerstwa Cyfryzacji.
• Porozumienia trójstronne
pomiędzy Ministerstwem,
NASK-PIB i Partnerem.
• Umowa dwustronna pomiędzy
NASK-PIB i Partnerem.
• Strefa Partnera aktualizowana
na bieżąco.
• Dostęp do baz informacji o
zagrożeniach (MISP, n6).
• Biuletyn tygodniowy o stanie
bezpieczeństwa.
Harmonizacja z dyrektywą NIS
Wskazanie operatorów
usług kluczowych wraz z
podziałem na sektory:
• Energetyka
• Transport
• Bankowość i rynki finansowe
• Ochrona zdrowia
• Infrastruktura cyfrowa
• Wodociągi
Kategoria dostawców usług
cyfrowych.
Sektor publiczny.
Współpraca NASK z podmiotami KSC
• CSIRT NASK jest zespołem domyślnym dla podmiotów KSC, z wykluczeniem tych, które są obsługiwane przez:
• CSIRT GOV (administracja publiczna, infrastruktura krytyczna);
• CSIRT MON (wojsko).
• Współpraca za pośrednictwem sektorowych zespołów CSIRT.
• Możliwość zgłaszania incydentów i zagrożeń przez JST, SME i obywateli.
Zadania CSIRT poziomu krajowego
• Analizowanie zagrożeń i podatności.
• Monitorowanie wskaźników zagrożeń.
• Edukacja i budowanie świadomości
społecznej.
• Opracowywanie analiz, standardów i
dobrych praktyk. Wsparcie obsługi
incydentów poważnych i krytycznych.
• Udział w europejskiej Sieci zespołów
CSIRT.
• Analizowanie rozwiązań bezpieczeństwa.
• Międzynarodowa wymiana informacji o
incydentach poważnych i istotnych.
Zadania CSIRT NASK
• Rejestracja incydentów i ich klasyfikacja.
• Koordynowanie odpowiedzi na incydenty.
• Budowanie obrazu zagrożeń i ocena
ryzyka.
• Współpraca krajowa i międzynarodowa.
• Informowanie o zagrożeniach.
• Tworzenie raportu o stanie
cyberbezpieczeństwa dla Ministra
właściwego ds. informatyzacji.
• Współpraca z RCB oraz organem
właściwym ds. ochrony danych osobowych.
• Udział w Zespole ds. Incydentów
Krytycznych.
Współpraca NASK z podmiotami KSC
• CSIRT NASK jest zespołem domyślnym dla podmiotów KSC, z wykluczeniem tych, które są obsługiwane przez:
• CSIRT GOV (administracja publiczna, infrastruktura krytyczna);
• CSIRT MON (wojsko).
• Współpraca za pośrednictwem sektorowych zespołów CSIRT.
• Możliwość zgłaszania incydentów i zagrożeń przez JST, SME i obywateli.
https://incydent.cert.pl
Obsługa zgłoszeń incydentów
Obsługa zgłoszeń incydentów i zagrożeń
Zgłoszenia obsługiwane są w trybie
24/7/365. Pochodzą z:
• formularza na stronie CERT;
• podmioty KSC;
• obywatele;
• systemów automatycznych;
• od Partnerzów „PdC”.
• Kryteria oceny zgłoszenia:
• Czy dotyczy realnego zagrożenia?
• Jakie jest to zagrożenie?
• Czy to zagrożenie jest już znane?
• Jak poważne jest to zagrożenie
(incydent krytyczny lub poważny).
• Jakiego sektora dotyczy.
• Który CSIRT jest właściwy?
• Czy zgłoszenie należy przekazać organom
ścigania?
• Czy informacje o zagrożeniu uzasadniają
wydanie ostrzeżenia RSO?
Liczby
29 13
643
62 20 51 85 2
2834
3739
0
500
1000
1500
2000
2500
3000
3500
4000
INCYDENTY ZGŁOSZONE W 2018 WG SEKTORÓWŁącznie Liczba incydentów
Liczby
431
862
101153 125
49 46
1878
6925
0
200
400
600
800
1000
1200
1400
1600
1800
2000
Obraźliwe inielegalne treści
(Abusive Content)
Złośliweoprogramowanie(Malicious Code)
Gromadzenieinformacji
(Informationgathering)
Próby włamań(IntrusionAttempts)
Włamania(Intrusions)
Dostępnośćzasobów
Atak nabezpieczeństwo
informacji(Information
Content Security)
Oszustwakomputerowe
(Fraud)
Vulnerable Inne (Other)
KLASYFIKACJA INCYDENTÓW WG METODYKI ECSIRT.NET
Zagrożenia
Zagrożenia
• Przestępczość internetowa zorientowana na zysk:
• ransomware;
• kradzież danych (szantaż, szpiegostwo biznesowe);
• kradzież aktywów finansowych (ataki na konta
bankowe, kradzież kryptowalut);
• ataki na wizerunek firmy
• w celu wypchnięcia z rynku;
• w celu zarobku na krótkiej sprzedaży udziałów;
• ataki na infrastrukturę firmy jako dźwignia szantażu.
• Przestępczość zorientowana na cele polityczne
(cyberterroryzm/cyberaktywizm)
• dezinformacja;
• propaganda.
Zagrożenia
• Szpiegostwo:
• przemysłowe;
• rozpoznanie głębokiego zwiadu w poszukiwaniu podatności
w infrastrukturze krytycznej bądź kluczowej.
• Wojna hybrydowa:
• zaprzeczalny sabotaż motywowany celami politycznymi;
• propaganda;
• kombinacja wcześniej wymienionych działań w celu uzyskania
przewagi geostrategicznej.
Fałszywe sklepy
• Super atrakcyjna oferta.
• Płatność przez fałszywy serwis
finansowy.
• Olbrzymie zyski.
• Przeciętnemu konsumentowi trudno
zweryfikować sprzedawcę.
Thomas alias Armaged0n, obecnie „Tomasz T.”
• Przez kilka lat najbardziej wytrwały polski cyberprzestępca.
• Aresztowany dzięki współpracy NASK z organami ścigania.
• Udostępniamy narzędzie do odszyfrowania plików które padły łupem Thomasa.
Kontakt
