CERT Polska
![]() | |
![]() Siedziba Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego przy ul. Kolskiej 12 w Warszawie | |
Państwo | |
---|---|
Data utworzenia |
1 stycznia 1996 |
Siedziba | |
Kierownik |
Marcin Dudek[1] |
Adres | |
ul. Kolska 12 01-045 Warszawa | |
Położenie na mapie Warszawy ![]() | |
Położenie na mapie Polski ![]() | |
Położenie na mapie województwa mazowieckiego ![]() | |
![]() | |
Strona internetowa |
CERT Polska – zespół działający w strukturach Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego, powołany w 1996 roku do reagowania na incydenty bezpieczeństwa komputerowego. Od 2018 roku realizuje zadania CSIRT NASK, jednego z trzech takich zespołów działających na poziomie krajowym w ramach krajowego systemu cyberbezpieczeństwa.
Zadania zespołu
[edytuj | edytuj kod]Głównymi zadaniami zespołu są: monitorowanie zagrożeń cyberbezpieczeństwa, koordynacja obsługi incydentów na poziomie krajowym, przeciwdziałanie im oraz budowanie świadomości w obszarze cyberbezpieczeństwa. Opisuje je ustawa o krajowym systemie cyberbezpieczeństwa[2]. Zespół realizuje je wobec administracji państwowej (z wyłączeniem ścisłej administracji rządowej), administracji samorządowej, operatorów usług kluczowych, dostawców usług cyfrowych oraz wszystkich innych instytucji, a także firm i obywateli, które nie są we właściwości innych CSIRT-ów poziomu krajowego.
Przyjmowanie zgłoszeń o zagrożeniach i incydentach
[edytuj | edytuj kod]Głównym źródłem informacji o zagrożeniach i incydentach cyberbezpieczeństwa są zgłoszenia. Podmioty publiczne, operatorzy usług kluczowych oraz dostawcy usług cyfrowych są prawnie zobowiązane do dokonywania zgłoszeń incydentów. Pozostałe instytucje, firmy i obywatele mogą dokonywać zgłoszeń dobrowolnie. Zgłoszenia podejrzanych wiadomości SMS przyjmowane są poprzez przekazywanie ich na darmowy numer 8080, a inne za pomocą formularza dostępnego na stronie incydent.cert.pl oraz w ramach usługi Bezpiecznie w sieci w aplikacji mObywatel.
Koordynacja reagowania na incydenty
[edytuj | edytuj kod]Zespół koordynuje reagowanie na zagrożenia i incydenty cyberbezpieczeństwa w swojej właściwości na poziomie krajowym. Wspiera w tym również bezpośrednio podmioty, a zakres wsparcia zależy od rodzaju incydentu, jego skali i poważności potencjalnych skutków. Reagowanie obejmuje analizę zagrożenia (przy użyciu technik informatyki śledczej czy inżynierii wstecznej oprogramowania) oraz podjęcie czynności zmierzających do likwidacji zagrożenia, zniwelowania jego negatywnych skutków oraz zmniejszenia szansy na ponowne wystąpienie podobnego incydentu.
Monitorowanie zagrożeń i zapobieganie incydentom
[edytuj | edytuj kod]Zespół we własnym zakresie aktywnie monitoruje zagrożenia występujące w polskim internecie.
Zgodnie z mechanizmami wprowadzonymi ustawą z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej[3] zespół CERT Polska prowadzi:
- Listę Ostrzeżeń zawierającą zidentyfikowane domeny służące dokonywaniu oszustw za pomocą phishingu, do których dostęp jest blokowany przez dostawców usług internetowych[4],
- wykaz oszukańczych wzorców smishingowych wiadomości SMS blokowanych obligatoryjnie przez operatorów telekomunikacyjnych,
- wykaz nadpisów zapobiegający podszywaniu się w wiadomościach SMS pod pole nadawcy będących podmiotami publicznymi.
W celu zapobiegania wykorzystywania podatności bezpieczeństwa, zespół przy użyciu stworzonego przez siebie narzędzia Artemis skanuje publicznie dostępne systemy informatyczne oraz powiadamia ich administratorów o znalezionych podatnościach i błędach w konfiguracji.
Szczególnym rodzajem zagrożenia monitorowanym przez zespół CERT Polska są ataki Advanced Persistent Threat (APT) o charakterze wywiadowczym i sabotażowym dokonywane przez rządy obcych państw lub grupy wspierane i sponsorowane przez nie. Najczęściej obserwowane w Polsce grupy APT pochodzą z Rosji i Białorusi[5].
Budowanie świadomości
[edytuj | edytuj kod]W celu budowania świadomości obywateli w obszarze cyberbezpieczeństwa zespół prowadzi kanały informacyjne w mediach społecznościowych[6][7][8] oraz swojej stronie internetowej.
Poprzez usługę Bezpiecznie w sieci w aplikacji mObywatel zespół udostępnia bazę wiedzy o zagadnieniach cyberbezpieczeństwa oraz umożliwia zapisanie się do powiadomień o aktualnych zagrożeniach cyberbezpieczeństwa.
Krajobraz zagrożeń cyberbezpieczeństwa opisywany jest w corocznym raporcie z działalności zespołu[9].
Rozwój narzędzi
[edytuj | edytuj kod]Zespół tworzy narzędzia oraz systemy informatyczne wspomagające podmioty krajowego systemu cyberbezpieczeństwa. Korzystanie z nich jest bezpłatne, a wiele z nich udostępnianych jest na otwartej licencji w serwisie GitHub[10].
Podstawową metodą korzystania z usług i informacji udostępnianych dla administratorów sieci przez zespół CERT Polska jest portal moje.cert.pl[11].
Skaner bezpieczeństwa Artemis[12][13] sprawdza poziom bezpieczeństwa publicznie dostępnych stron i systemów informatycznych oraz powiadamia ich administratorów o podatnościach bezpieczeństwa i błędach w konfiguracji.
System n6 służy do wymiany informacji na temat zdarzeń cyberbezpieczeństwa w infrastrukturach sieciowych zapisanych organizacji[14].
MWDB (Malware Database) to platforma wymiany informacji na temat złośliwego oprogramowania[15][16]. Działa na bazie stworzonego przez zespół frameworku Karton[17]. Poddawane automatycznej, dynamicznej analizie złośliwe oprogramowanie uruchamiane jest w bezpiecznym środowisku Drakvuf Sandbox[18].
Skoordynowane ujawnianie informacji o podatnościach
[edytuj | edytuj kod]Zespół CERT Polska jako jedyna instytucja w Polsce[19] może nadawać numery CVE w ramach międzynarodowego programu wspierającego ujawnianie luk bezpieczeństwa w oprogramowaniu komputerowym[20].
W ramach tego procesu, zespół CERT Polska przyjmuje zgłoszenia o znalezionych przez badaczy podatnościach bezpieczeństwa oraz pośredniczy pomiędzy badaczami a dostawcami oprogramowania w celu klasyfikacji podatności, ich naprawy oraz powiadomienia użytkowników.
Współpraca
[edytuj | edytuj kod]Zespół współpracuje z wieloma podobnymi zespołami w Polsce i zagranicą.
W ramach współpracy krajowej, jako CSIRT NASK zespół współdziała z pozostałymi zespołami CSIRT poziomu krajowego: CSIRT MON w strukturach Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni oraz CSIRT GOV w Agencji Bezpieczeństwa Wewnętrznego, a także z sektorowymi zespołami cyberbezpieczeństwa: CSIRT KNF w Komisji Nadzoru Finansowego oraz CSIRT CeZ w Centrum e-Zdrowia. Zespół współpracuje również z pozostałymi podmiotami odpowiadającymi za bezpieczeństwo wewnętrzne państwa, w tym służbami specjalnymi oraz organami ścigania, organami właściwymi cyberbezpieczeństwa oraz regulatorami rynków.
W ramach współpracy w Unii Europejskiej, zespół jest częścią Sieci CSIRT (ang. CSIRT Network)[21] prowadzonej przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa i zrzeszającej zespoły CSIRT krajów członkowskich, w ramach której koordynowane jest reagowanie na incydenty transgraniczne.
W ramach współpracy międzynarodowej, zespół CERT Polska jest członkiem forum FIRST zrzeszającego zespoły reagujące z całego świata, należy do grupy roboczej europejskich zespołów reagujących TF-CSIRT oraz powiązanej z nią organizacji Trusted Introducer[22]. Zespół jest również członkiem organizacji Anti-Phishing Working Group gromadzącej organizacje walczące z cyberprzestępczością.
Dodatkowo, CERT Polska bierze udział w wielu europejskich projektach badawczo-rozwojowych w ramach programów ramowych takich jak Horyzont 2020, Łącząc Europę czy Cyfrowa Europa.
Historia
[edytuj | edytuj kod]W 1996 roku w ramach NASK został powołany pierwszy w Polsce zespół reagujący na incydenty bezpieczeństwa komputerowego pod nazwą CERT NASK. W 1997 roku przystąpił do forum FIRST. Od roku 2000 zespół należy do grupy TF-CSIRT i organizacji Trusted Introducer. Pod koniec 2000 roku zespół zmienił nazwę na CERT Polska. W 2005 roku z inicjatywy zespołu powstało forum polskich zespołów abuse - Abuse FORUM. W 2010 roku zespół dołączył do stowarzyszenia APWG. Od 2018 roku i wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa, CERT Polska pełni rolę zespołu CSIRT NASK. W 2020 roku zespół CERT Polska uzyskał najwyższy status Certified w TF-CSIRT[22].
Podstawa prawna
[edytuj | edytuj kod]Zespół CERT Polska działa na podstawie:
- ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[2],
- ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej[3],
- ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych[23],
- statutu NASK - Państwowego Instytutu Badawczego[24].
NASK - Państwowy Instytut Badawczy, w ramach którego działa zespół CERT Polska nadzorowany jest przez Ministra Cyfryzacji.
Działalność bieżąca zespołu CERT Polska w roli CSIRT NASK finansowana jest w formie dotacji podmiotowej z budżetu państwa.
Zobacz też
[edytuj | edytuj kod]Przypisy
[edytuj | edytuj kod]- ↑ CERT Polska z nowym kierownikiem.
- ↑ a b Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560)
- ↑ a b Ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz.U. z 2023 r. poz. 1703)
- ↑ Lista Ostrzeżeń przed niebezpiecznymi stronami.
- ↑ Sprawozdanie Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa za 2023 rok [online], s. 13 .
- ↑ Strona zespołu w portalu Facebook.
- ↑ Strona zespołu w portalu X.
- ↑ Strona zespołu w portalu LinkedIn.
- ↑ Raporty Roczne CERT Polska.
- ↑ Profil CERT Polska w serwisie GitHub.
- ↑ Opis portalu moje.cert.pl na stronie zespołu.
- ↑ Opis narzędzia Artemis.
- ↑ Narzędzie Artemis w serwisie GitHub.
- ↑ Strona projektu n6.
- ↑ Strona platformy MWDB.
- ↑ Narzędzie MWDB w serwisie GitHub.
- ↑ Narzędzie Karton w serwisie Github.
- ↑ Narzędzie Drakvuf Sandbox w serwisie Github.
- ↑ Strona programu CVE.
- ↑ Polityka zgłaszania podatności w programie CVD.
- ↑ Strona sieci CSIRT Network.
- ↑ a b Opis CERT Polska na stronie Trusted Introducer.
- ↑ Ustawa z dnia 30 kwietnia 2010 r. o instytutach badawczych (Dz.U. z 2010 r. nr 96, poz. 618)
- ↑ Statut NASK - Państwowego Instytutu Badawczego.