Jak správně napsat hlášení bezpečnostního incidentu

CESNET-CERTS preferuje hlášení bezpečnostních incidentů zaslaná elektronickou poštou na adresu certs@cesnet.cz. Každé hlášení by mělo obsahovat kompletní popis problému. Pracovníci CESNET-CERTS se budou zabývat ohlášeným incidentem co nejdříve a budou vás informovat o vyřešení problému. Odpověd na ohlášený incident obdržíte z adresy certs@cesnet.cz a zpráva bude podepsána naším PGP klíčem.

• Hlášení musí být odesláno z platné e-mailové adresy.
• Uveďte informaci, zda je hlášení pouze informativního charakteru, nebo zda očekáváte odpověď.
• Hlášení musí obsahovat základní kontaktní informace - jméno reportujícího a jméno organizace. Pokud se jedná o urgentní záležitost, uveďte laskavě i telefonní číslo.
• Hlášení pošlete jako jednoduchý textový e-mail, v případě potřeby s přílohou.
• V každé zprávě uvádějte pouze jeden síťový identifikátor (např. IP adresu nebo prefix).
• Použijte jasný, srozumitelný a informativní předmět zprávy, který odráží nahlášený problém a umožňuje rychlé třídění.

Pro jednotlivé typy incidentu bychom ocenili následující informace:

• Hlášení o scanování musí obsahovat část logu obsahující záznamy o útoku:
  • časové známky, časovou zónu, přesnost údajů (synchronisace prostřednictvím NTP)
  • zdrojovou a cílovou IP adresu
  • zdrojový a cílový port
  • použitý protokol (TCP/UDP/ICMP).
• Hlášení o spamu nebo viru musí obsahovat kompletní nemodifikovanou hlavičku údajného infikovaného nebo spamujícího e-mailu.
• Hlášení o spamu („unsolicited commercial email“) by mělo obsahovat kompletní nemodifikovanou hlavičku i tělo zprávy.
• Hlášení porušení autorských práv musí obsahovat následující informace:
  • časovou známku, časovou zónu, přesnost údajů (synchronisace prostřednictvím NTP)
  • IP adresu, na které je uloženo dílo porušující autorské právo
  • službu použitou pro zveřejnění díla porušujícího autorské právo (BitTorrent, FTP, …)
  • typ (název, …) díla porušujícího autorské právo.
• Hlášení phishingu nebo pharmingu musí obsahovat URL a pokud možno i zdrojová data webové stránky.

Pro hlášení odeslané elektronickou poštou doporučujeme dodržet i tato pravidla:

• Vhodně zvolit jazyk. Pokud si nejste jisti, který jazyk cílový adresát ovládá, napište dopis anglicky.
• Zpráva by měla být sestavena tak, aby ji nevyřadila antispamová nebo antivirová ochrana.
• Podpis: „občanský“ podpis je samozřejmostí; z hlediska ochrany vlastní identity a integrity zprávy je vhodný i elektronický podpis (PGP, X.509).
• Každé hlášení by mělo být stručné, jasné, srozumitelné a zdvořilé. Mělo by také obsahovat sdělení, zda se jedná pouze o upozornění nevyžadující odpověď, nebo zda očekáváte reakci (vysvětlení, výčet podniknutých kroků, …).

Jakékoliv porušení platných zákonů České republiky, např.

• pokusy o neoprávněné průniky do cizích strojů, útoky na běžící služby,
• pokusy o neoprávněný přístup k důvěrným datům,
• útoky DoS a DDoS,
• jakékoli rozsáhlé a plošné útoky, např. phishing, lámání hesel, šíření virů a spamu, scanování,
• zneužití přístupového jména a hesla,
• porušení autorských práv.

Nepředpokládáme, že každý je odborník na počítačovou bezpečnost. To je role týmu CESNET-CERTS.

Nepředpokládáme ani, že každý je schopen správně rozpoznat, klasifikovat a popsat bezpečnostní incident. Pokud tedy váháte, jestli incident ohlásit nebo ne, raději jej nahlaste. Na chybějící informace se v případě potřeby doptáme.

Děkujeme za spolupráci

Tým CESNET-CERTS