CERT-RO Centrul Național de Răspuns la Incidente de

Securitate Cibernetică

Prezent și perspective în implementarea strategiei CERT-RO

Cine suntem? • Instituție publică specializată care dispune de capacitatea necesară

pentru analiza, identificarea şi reacţia la incidentele de securitate cibernetică.

• Punct național de contact pentru colectarea sesizărilor şi a informaţiilor despre incidente de securitate cibernetică ce afectează spațiul cibernetic național.

• H.G. 494 / 2011 • Agenda digitală pentru Europa 2020

– Action area #3, Trust and Security: Member States should establish by 2012 a well-functioning network of CERTs at national level covering all of Europe

Ce servicii oferim? Proactive Reactive Suport

• Alerte privind noi amenințări și vulnerabilități ce pot afecta spațiul cibernetic național.

• Notificări privind posibilitatea producerii unor incidente majore de securitate cibernetică.

• Studii, ghiduri și documentații privind evoluții recente în domeniu securității IT&C.

• Evaluări de securitate pentru parteneri (pen test).

• Alerte şi atenţionări privind apariţia unor activităţi premergătoare atacurilor majore.

• Alerte și atenționări referitoare la producerea incidentelor de securitate cibernetică.

• Gestionarea bazei de date naționale cu incidentele de securitate cibernetică.

• Investigarea incidentelor de securitate și diseminarea rezultatelor.

• Activități de conștientizare pentru mediul guvernamental și parteneri.

• Analize de risc. • Suport în dezvoltarea

echipelor de tip CERT ale partenerilor.

• Consultanță securizare infrastructuri critice.

• Dezvoltare politici și strategii naționale de securitate alături de parteneri.

Ce obiective avem? 1. Gestionarea unei baze de date naționale cu incidente de

securitate cibernetică, care să poată servi drept suport de decizie în stabilirea strategilor și a politicilor naționale de securitate cibernetică.

2. Dezvoltarea unui Sistem Național de Alertă Timpurie și Informare în Timp Real (SNAT) privind incidentele cibernetice.

3. Dezvoltarea capacității naționale de răspuns la incidente de securitate cibernetică prin crearea unei comunități puternice de securitate, formată din majoritatea actorilor implicați, capabilă de acțiuni rapide și eficiente în caz de incidente de securitate.

4. Dezvoltarea culturii de securitate cibernetică la nivel național.

Ce facem concret? - Colectăm date despre diverse incidente/evenimente de securitate

cibernetică de la entitățile afectate (rapoarte de incidente). - Colectăm date (alerte) de la diferiți parteneri cu privire la activități

malițioase identificate în spațiul cibernetic românesc.

Statistică cazuri (incidente securitate)

• Zilnic între 50.000-100.000 alerte primite pe alerts@cert-ro.eu.

• Ce fel de alerte primim: - IP-uri din RO sau din afara RO implicate în diverse

atacuri cibernetice (ex: DDoS). - IP-uri din RO ce generează trafic malițios (botnet,

malware) - URL-uri (site-uri) din RO infectate sau care distribuie

malware, phishing etc. - Vulnerabilități ale unor sisteme informatice din RO

(sisteme SCADA etc.).

Statistică cazuri (incidente securitate)

• 1.086.321 IP-uri unice din RO, raportate ca desfășurând activități suspecte sau malițioase (de la 01.08.2012).

• 6081 incidente semnalate către CERT-RO (447 în lucru) din ianuarie 2012.

Statistică incidente

Tipul incidentelor Botnet&Malware (infectate) 5841 Distributie de malware 152 Phishing 34 SPAM 26 Denial of Service (DoS) 8 Compromitere sisteme 8 Activitati suspecte 5 Scanari de resurse 4 SCAM 3

Statistică incidente

Tipul entității afectate Neidentificat (ISP) 5985 Persoane fizice 42 Companii 31 Banci 16 Instituții publice 6 Instituții de învățământ 1

Ce se întâmplă cu datele colectate? • Sunt identificate entitățile implicate în incidentul de

securitate: – Sursa atacului – Organizațiile sau persoanele afectate (ținta) – ISP implicați – Metodologia, tipul de atac sau vulnerabilitatea vizată. – Autoritățile publice competente în cazul respectiv (ex:

Poliția, ANSPDCP, ANCOM etc.). • Se încearcă stoparea imediată a efectelor incidentului. • Se culeg datele necesare pentru demararea investigației

și eventual identificarea sursei reale a atacului.

Probleme întâmpinate • Lipsă feedback din partea anumitor entități implicate în

răspunsul la incidente de securitate.

• Lipsa unui cadru legislativ propice, care să faciliteze rezolvarea în timp util a notificărilor transmise de către CERT-RO.

Proiecte de viitor - SNAT

• SNAT=ansamblul de proceduri şi sisteme tehnice care au rolul de a identifica premisele de apariţie a incidentelor cibernetice şi de a avertiza în cazul producerii acestora.

• Presupune colectarea informațiilor privind atacurile cibernetice din rețelele naționale, permițând determinarea distribuției și naturii incidentelor majore în scopul alertării în timp real a potențialilor beneficiari.

SNAT

• Scop = avertizarea în timp real asupra amenințărilor reale specifice spațiului cibernetic românesc.

• Identificarea timpurie a pericolelor permite elaborarea rapidă și coerentă a strategiei de răspuns.

• Un spațiu cibernetic național mai sigur.

1.) SNAT

Proiecte de viitor

• Dezvoltarea culturii de securitate cibernetică în România • Stabilirea de parteneriate public-privat puternice care să

permită dezvoltarea de proiecte comune. • Adaptarea legislației naționale la dinamica domeniului.

Ce ar trebui?

• Crearea unui sistem integrat care să protejeze România de atacuri cibernetice – Avertizarea nu este totul

• Integrarea resurselor; • Eliminarea suprapunerilor; • Coordonarea răspunsului.

Va mulțumesc!