Центар за реаговање у случају инцидената везаних за информационе системе

Центар за реаговање у случају инцидената везаних за информационе системе

Дефиниција

Центар за реаговање у случају инцидената везаних за информационе системе (енглески термин CERT – Computer Emergency Response Team) је организација која обавља послове информационе безбедности ради подршке угроженим субјектима приликом напада на информационе системе (ИС), објављивања упозорења о претњама, као и пружања других информација ради унапређења безбедности ИС.

Поред енглеског термина CERТ који означава ове организације, у јавности се употребљава и термин CSIRT (Computer Security Incident Response Team), који је прецизнији у односу на термин CERT, с обзиром да се послови ових тимова не односе искључиво на реаговање на инциденте, већ и на превенцију и информисање о опасностима у ИС.

Врсте центара за реаговање у случају инцидената

Центри могу да буду различитог типа: национални, владини, војни, научно-истраживачки, финансијски и други. Иако заштита од инцидената у ИС треба да буде организована и распоређена у различитим областима друштва, што подразумева постојање више посебних тимова зависно од потреба, веома је битно да, поред таквих тимова, држава одреди и централну институцију која ће вршити ове послове, како би превенција, заштита и информисање били доступнији и свеобухватнији.

Националне службе постоје у великом броју европских земаља, а послови које обављају нису уједначени и зависе од прописа и политике држава у тој области. У државама чланицама ЕУ послове националног центра врше органи различитог типа: академске мреже, безбедносне агенције или посебни центри за информациону безбедност, регулаторна тела и друге институције.

Активности

Најчешће активности су следеће:

  • Праћење технолошких информација о рањивостима система;
  • Пружање техничких савета о имплементацији сигурносних механизама;
  • Процена безбедности система одређеног корисника;
  • Пружање услуге откривања неовлашћеног упада у информационе системе (енглески термин: intrusion-detection услуга);
  • Обрада инцидената у ИС;
  • Објава упозорења о инцидентима, малициозном софтверу и сличним опасностима;
  • Развој свести у друштву о ризицима за угрожавање ИС;
  • Образовање и тренинзи.

Регулатива ЕУ и српски правни систем

На нивоу ЕУ, Директивом о мрежној и информационој безбедности планира се унификација активности националних центара за реаговање на инциденте у ИС, као и прописивање техничких, кадровских, безбедносних и других услова које центри морају да испуне.

Са друге стране, у Србији тренутно не постоји Национални центар за реаговање у случају инцидената везаних за ИС. Ипак, то не значи да у појединим сегментима друштва не постоје институције које се баве заштитом ИС.

Академска мрежа Републике Србије

Све већа употреба информационо-комуникационих технологија у раду и увећање број претњи и инцидената захтевало је организовање посебних служби у државним органима, али и приватном сектору. Заштиту од инцидената у информационим системима образовних и научно-истраживачких институција врши републичка установа Академска мрежа Републике Србије (АМРЕС), у оквиру које постоји посебна јединица за заштиту од инцидената у ИС – CSIRT служба. АМРЕС-ов тим се налази на Trusted Introducer листи коју води GÉANT асоцијација, паневропска академска рачунарска мрежа.

Тимови на наведеној листи могу да имају три статуса: први је статус „тима унетог на листу“ (listed team); други је статус „акредитованог тима“, а трећи статус „сертификованог тима“. АМРЕС има статус „тима унетог на листу“, што пре свега омогућује да на листи буду приказане основне информације о тиму, и чиме се показује прихваћеност тима у заједници.

Управа за заједничке послове републичких органа

У погледу заштите информационих система државних органа, у оквиру Управе за заједничке послове републичких органа (УЗЗПРО) постоји служба која врши послове везане за заштиту од инцидената у ИС, управљање безбедносним ризицима у ИС државних органа, заштиту рачунарске мреже и података, као и сарадњу и координацију у пословима везаним за информациону безбедност. Треба истаћи и да поједине институције у Србији, пре свега оне који врше послове безбедносног карактера, имају сопствене независне тимове за реаговање на инциденте у ИС.

Неопходност доношења Закона о информационој безбедности

Као што смо већ писали, у Закону о информационој безбедности требало би да се одреди институција у оквиру које ће национални Центар за реаговање у случају инцидената везаних за информационе системе бити успостављен, као и делокруг послова тог органа. При избору надлежне институције, важно је имати у виду постојеће услове у којима институција послује, односно водити рачуна о стручности кадра, искуству и техничкој опремљености, али и пројекцијама будућег пословања.

С обзиром да напади на информационе системе могу да буду веома разноврсне и комплексне природе и да могу да изазову велику штету по безбедност државе и грађана, национални центар би морао да поседује квалитетне и обучене професионалце, који имају довољно искуство у раду на пословима везаним за информациону безбедност.

Такође, опрема би требала да буде одговарајућа, сходно потребама за ефикасно обављање послова, док би континуитет рада те опреме у случају отказа морао да буде обезбеђен. Неопходно је да се успостави јасно дефинисана и квалитетна сарадња центра са полицијом, тужилаштвом и судом, како би се предупредили инциденти и водили ефикасни поступци против починиоца.

У сваком случају, Центар за реаговање у случају инцидената везаних за информационе системе је Србији веома потребан, јер појединачни напори ради заштите ИС нису увек довољни да се обезбеди одговарајућа заштита на државном нивоу, те је потребно успоставити кровну институцију која ће обезбедити организовану и делотворну превенцију и заштиту.

Милан Војводић

Дипломирани правник са фокусом на информациону безбедност. Ради у Министарству трговине, туризма и телекомуникација - Сектор за информационо друштво. Био члан делегације Р. Србије на скринингу у оквиру ПГ 10 - Информационо друштво и медији.