Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Intzidenteei erantzutea

INTZIDENTEEI ERANTZUTEA

NISTek intzidenteei erantzuteko proposaturiko zikloan oinarrituriko diagrama

BCSCn errespetatzen ditugu National Institute of Standards and Technology-k  (NIST) eta Trusted Introducer-en praktika onen kodeak proposatzen dituzten jarraibideak intzidenteak kudeatzeko.

Oinarri bezala harturik NISTen  Computer Security Incident Handling Guide dokumentua, zibersegurtasuneko intzidente deitzen zaio segurtasun-politikak, erabilera-politikak edo ohiko segurtasun-praktikak aldatzen edo mehatxatzen dituen gertakari orori. Hona hemen intzidenteen adibide batzuk:

  • Erasotzaile batek botnet bat erabiltzen du zerbitzua ukatuz eraso egiteko.
  • Erabiltzaile batzuei iruzur egiten diete posta elektroniko bidez jasotako fitxategi bat –malware batena– irekitzeko. Ondorioz, erabiltzaile horien ekipoa kutsatzen da, eta horien sarekoak ere kutsa daitezke.
  • Erasotzaile batek informazio sentikorra lortzen du, eta informazio hori argitaratzeko mehatxu egiten du, baldin eta erakundeak diru-kopuru bat ordaintzen ez badu.
  • Erabiltzaileak informazio sentikorra ematen edo erakusten die beste batzuei P2P truke-zerbitzuen bidez.

Horrez gain, zibersegurtasun-intzidente deitzen zaio sistema baten segurtasuna, konfidentzialtasuna, osotasuna eta erabilgarritasuna mehatxatzen duen gertakizun orori.

Horrelako egoerei aurre egiteko, honako zerbitzu hauek eskaintzen ditugu:

  • Intzidente baten berri izatean, emandako informazioa eta horrekin loturiko ebidentziak aztertzen ditugu. Analisi horrek aukera ematen digu intzidentea sailkatzeko eta lehentasun-maila zehazteko (triage), eta baita ere intzidente isolatua den edo jaso dugun beste batekin lotura izan dezakeen jakiteko. Hala, modu eraginkorragoan egin ahal izango diogu aurre.
  • Intzidenteei erantzuteko laguntza (Incident response support):  laguntza eta aholkua ematen diegu zibersegurtasun-intzidente bat jasan duten erabiltzaileei. Zer jarraibide bete behar dituzten esaten diegu, eta, beharrezkoa bada, kontaktu-puntu egokienera bideratzen ditugu.

Aholkularitza bidez eskaintzen dira bi zerbitzu horiek. Intzidente baten berri emateko, kontsulta tekniko bat egiteko edo eskaintzen ditugun zerbitzuak jasotzeko, honako bide hauek erabil daitezke:

contactos BCSC

Datuak:

  • Norbanakoa edo enpresa.
  • Izen-abizenak edo enpresaren izena.
  • Telefonoa.
  • Herria.
  • Probintzia.
  • Helbide elektronikoa.
  • GaiaKontsultaren azalpena (ahalik eta zehatzena eta argiena izan behar du, laguntza egokia eman ahal izateko).

“Ematen dizkiguzun datu pertsonalak “Kontaktuak” izeneko Sociedad para la Transformación Competitiva – Eraldaketa Lehiakorrerako Sozietatea, S.Aren (aurrerantzean SPRI) jabetzako fitxategi batean gordeko dira, eta bakarrik erabiliko dira erabiltzaileak lantzean eskatzen dituen zerbitzuak kudeatu, eman, zabaldu eta hobetzeko, kontsulten jarraipena egiteko, edota estatistikak egiteko. SPRIk konpromisoa hartzen du datu pertsonal guztiak sekretupean gordetzeko eta konfidentzialtasunez tratatzeko, indarrean dagoen legeari jarraiki. Horretarako, behar diren neurriak hartuko ditu datu horiek ez daitezen aldatu edo galdu, eta inork ez ditzan baliatu edo kontsultatu baimenik gabe. Nolanahi ere, datuak eskuratu, zuzendu, ezabatu edo aurkatu nahi badituzu, SPRIk zure eskubideak bermatzen dizkizu, horretarako aski izango duzularik zure nahia idatziz jakinaraztea helbide honetan: Urkijo zumarkalea, 36 - 4 Bizkaia Plaza Eraikina – 48011 BILBO.

Horrez gain, intzidenteei erantzuteko koordinazio-zerbitzua eskaintzen dugu (Incident response coordination): etengabeko kontaktuan gaude beste CERT eta CSIRT batzuekin, hornitzaileekin eta Estatuko segurtasun-indarrekin, erantzun koordinatu eta eraginkorra eman ahal izateko.

BCSCren talde guztiak konpromisoa hartu du kudeatzen dugun informazioa isilpean mantentzeko, edozein dela ere informazioren formatua, biltegiratuta dagoen bitartekoa edo transmititzeko erabiltzen den bidea.

Halaber, informazioa trukatzen dugunean, need-to-know printzipioa betetzen dugu, alegia, informazio horren berri izan behar dutenekin bakarrik partekatzen dugu.

Beste batzuetan, anonimo bihurtzen dugu informazioa, eta ez dugu informazio pertsonalik partekatzen, kaltetutako erabiltzaileek eta erakundeek berariaz baimentzen dutenean salbu.

Informazioa isilpean mantenduko dela bermatzeko, PGP gako publikoak erabiltzen ditugu. Hemen daude gako horiek:  BCSCri buruz / Gako publikoak. Halaber, TLP (Traffic Light Protocol) protokoloa erabiltzen dugu informazio sentikorra trukatzeko.

Segurtasun-intzidenteei erantzuteko erakunde batek BCSCrekin harremanetan jarri nahi izanez gero, honako postontzi hau erabil dezake: csirt@bcsc.eus