====== Jak správně napsat hlášení bezpečnostního incidentu ======

CESNET-CERTS preferuje hlášení bezpečnostních incidentů zaslaná elektronickou poštou na adresu [[certs@cesnet.cz]]. Každé hlášení by mělo obsahovat kompletní popis problému. Pracovníci CESNET-CERTS se budou zabývat ohlášeným incidentem co nejdříve a budou vás informovat o vyřešení problému. Odpověd na ohlášený incident obdržíte z adresy [[certs@cesnet.cz]] a zpráva bude podepsána naším [[https://csirt.cesnet.cz/publickey.asc|PGP klíčem]].

===== Základní pravidla pro vytvoření hlášení bezpečnostního incidentu =====

  * Hlášení pošlete jako **jednoduchý textový e-mail**, v případě potřeby s přílohou.
  * Report by se měl týkat **jedné IP adresy** nebo **jednoho adresového bloku**.
  * **Předmět** zprávy by měl obsahovat **IP adresu** nebo **adresový blok** a **typ incidentu** (spam, virus, scanning, DDOS, hacking, phishing, pharming, porušení autorských práv, ...).
  * **Hlášení o scanování** musí obsahovat část logu obsahující záznamy o útoku:
    * časové známky, časovou zónu, přesnost údajů (synchronisace prostřednictvím NTP)
    * zdrojovou a cílovou IP adresu
    * zdrojový a cílový port
    * použitý protokol (TCP/UDP/ICMP).
  * **Hlášení o spamu nebo viru** musí obsahovat kompletní nemodifikovanou hlavičku údajného infikovaného nebo spamujícího e-mailu.
  * **Hlášení o spamu** ("unsolicited commercial email") by mělo obsahovat kompletní nemodifikovanou hlavičku i tělo zprávy.
  * **Hlášení porušení autorských práv** musí obsahovat následující informace:
    * časovou známku, časovou zónu, přesnost údajů (synchronisace prostřednictvím NTP)
    * IP adresu, na které je uloženo dílo porušující autorské právo
    * službu použitou pro zveřejnění díla porušujícího autorské právo (BitTorrent, FTP, ...)
    * typ (název, ...) díla porušujícího autorské právo.
  * **Hlášení phishingu nebo pharmingu** musí obsahovat URL a pokud možno i zdrojová data webové stránky.
  * **Hlášení musí obsahovat základní kontaktní informace** - jméno reportujícího a jméno organizace. Pokud se jedná o urgentní záležitost, uveďte laskavě i telefonní číslo.
  * **Hlášení musí být odesláno z platné e-mailové adresy.**
  * Uveďte informaci, zda je hlášení pouze informativního charakteru, nebo zda očekáváte odpověď. 
===== Doporučení =====

Pro hlášení odeslané elektronickou poštou doporučujeme dodržet i tato pravidla:

  * Vhodně zvolit jazyk. Pokud si nejste jisti, který jazyk cílový adresát ovládá, napište dopis anglicky.
  * Zpráva by měla být sestavena tak, aby ji nevyřadila antispamová nebo antivirová ochrana.
  * Podpis: "občanský" podpis je samozřejmostí; z hlediska ochrany vlastní identity a integrity zprávy je vhodný i elektronický podpis (PGP, X.509).
  * Každé hlášení by mělo být stručné, jasné, srozumitelné a zdvořilé. Mělo by také obsahovat sdělení, zda se jedná pouze o upozornění nevyžadující odpověď, nebo zda očekáváte reakci (vysvětlení, výčet podniknutých kroků, ...).

===== Základní bezpečnostní incidenty =====

Jakékoliv porušení platných zákonů České republiky, např.
  * pokusy o neoprávněné průniky do cizích strojů, útoky na běžící služby
  * pokusy o neoprávněný přístup k důvěrným datům,
  * útoky DoS a DDoS,
  * jakékoli rozsáhlé a plošné útoky, např. phishing, lámání hesel, šíření virů a spamu, scanování,
  * zneužití přístupového jména a hesla,
  * porušení autorských práv,
  * ohrožení osob.

===== Hlásit nebo nehlásit? =====

Nepředpokládáme, že každý je odborník na počítačovou bezpečnost. To je role týmu CESNET-CERTS.

Nepředpokládáme ani, že každý je schopen správně rozpoznat, klasifikovat a popsat bezpečnostní incident. Pokud tedy váháte, jestli incident ohlásit nebo ne, raději jej nahlaste. Na chybějící informace se v případě potřeby doptáme.

Děkujeme za spolupráci

Tým CESNET-CERTS