Zhruba před rokem jsme publikovali článek o spolupráci v oblasti kybernetické bezpečnosti ve světě, v Evropě a v Česku. Dnes se podrobně podíváme na fungování organizace, která působí v evropském regionu.
Organizace TF-CSIRT je domovem pro týmy, které reagují na kybernetické bezpečnostní incidenty (CERT, CSIRT), ale i pro další subjekty působící v oblasti kybernetické bezpečnosti (SOC, ISAC, PSIRT). Usiluje o budování důvěry, spolupráce a pokrok v kybernetické bezpečnosti. Zaměřuje se primárně na Evropu, ale svou činností posiluje i globální síť podobně zaměřených týmů.
TF-CSIRT stojí na třech pilířích.
První pilíř: Infrastruktura Trusted Introducer
Trusted Introducer propojuje, ověřuje a podporuje týmy, které se kybernetickou bezpečností zabývají. Jedná se o rozsáhlou databázi všech členských týmů. V této databázi lze vyhledávat organizace podle různých kritérií, přičemž je podmínkou, aby kontaktní údaje byly funkční. To dává komunitě, ale i široké veřejnosti, výjimečnou možnost efektivně spolupracovat na řešení kybernetických bezpečnostních incidentů.
Druhý pilíř: Pracovní skupina a spolupráce
Druhým klíčovým pilířem TF-CSIRT je komunita členů a vytváření podmínek pro osobní setkávání a sdílení zkušeností. Cílem je, aby byla setkání inkluzivní, přístupná a cenově dostupná pro všechny evropské týmy reagující na incidenty bez ohledu na členskou zemi, sektor i úroveň členství. Pokud je tým, který o členství žádá, uveden v mezinárodním sankčním seznamu, schvaluje členství nebo rozhoduje o jeho zamítnutí či pozastavení řídící výbor organizace.
TF-CSIRT podporuje otevřenou, nezávislou a důvěryhodnou komunitu, která sdílí znalosti, zkušenosti i nástroje podle zásady:
„Co se stane jednomu z nás, by se mělo stát pouze jednomu z nás.“
Taková spolupráce posiluje důvěru a motivaci sdílet své znalosti a zkušenosti a pomáhá budovat bezpečnější a odolnější kyberprostor.
Třetí pilíř: Kurzy TRANSITS
Třetím pilířem TF-CSIRT je vzdělávání a rozvoj kompetencí prostřednictvím programu TRANSITS, který nabízí kvalitní a cenově dostupné školení pro týmy CSIRT, SOC, PSIRT či ISAC. Kurzy kombinují teorii s praxí a pokrývají jak organizační a právní, tak technické a komunikační aspekty práce v oblasti reakce na incidenty. Základní kurz TRANSITS I je určen pro nové členy týmů, zatímco TRANSITS Extended rozvíjí pokročilé dovednosti zkušenějších pracovníků. Tento program pomáhá ještě více prohlubovat odbornost i soudržnost celé evropské komunity TF-CSIRT. Registrace na TRANSITS I i TRANSITS Extended je aktuálně otevřená.
Počet členů v Česku od roku 2011 stále roste a my doufáme, že s platností nového zákona o kybernetické bezpečnosti budeme v tomto trendu pokračovat.
Úrovně členství v TF-CSIRT
Pokud vás komunita TF-CSIRT zaujala, můžete se poměrně snadno stát její součástí. Vstoupit musíte jako registrovaný tým a posunout se můžete až na nejvyšší úroveň členství. Tyto úrovně jsou tři pro týmy a jedna pro fyzické osoby.
Status „listed“ (registrovaný tým) představuje základní úroveň členství. Získání je poměrně snadné a neplacené. Stačí získat podporu alespoň dvou týmů z komunity TF-CSIRT, vyplnit krátkou žádost a počkat na schválení. Pokud žádný tým neznáte, můžete se obrátit na info@csirt.cz.
Status „accredited“ (akreditovaný tým) je vyšší úroveň po zalistování a potvrzuje, že tým splňuje požadavky důvěryhodného a funkčního CSIRTu. Musí mít zveřejněné RFC 2350, projít ověřením, získat podporu dvou týmů a podat žádost o akreditaci. Za členství se platí poplatek, ale tým tím získává hlasovací práva, možnost účasti na neveřejných jednáních, přednostní registraci na workshopy a aktivní vliv na směřování komunity TF-CSIRT.
Status „certified“ (certifikovaný tým) je nejvyšší úroveň členství a potvrzuje, že tým splňuje mezinárodní standard SIM3 pro hodnocení úrovně vyspělosti bezpečnosti CSIRT týmu v klíčových oblastech. Certifikaci může získat pouze akreditovaný tým s aktuálními údaji a dobrou reputací. Proces zahrnuje i osobní návštěvu odborného auditora, který v mnoha případech poskytuje týmům cenná doporučení. Hodnocení trvá několik měsíců. Certifikace je platná tři roky, poté následuje re-certifikace, která pomáhá udržovat procesy v rámci organizace aktuální a efektivní.
Pokud nejste členem žádné organizace s vlastním bezpečnostním týmem, ale rádi byste se zapojili do komunity TF-CSIRT, můžete požádat o status „TI Associate“ (formálně uznaný člen). Stačí získat nominaci alespoň od dvou osob, které jsou součástí TF-CSIRT, a vyplnit stručný formulář s informacemi o vaší odbornosti.
Všichni členové komunity a nejen ti, by měli být obeznámeni s TLP Protokolem, který usnadňuje označování a sdílení informací.
TF-CSIRT představuje přirozenou cestu, jak se stát součástí prostředí, které se dlouhodobě zabývá problematikou kybernetické bezpečnosti. Pro subjekty, které nemají s kybernetickou bezpečností příliš velké zkušenosti, je to nejjednodušší způsob, jak získat přístup k osvědčeným a často bezplatným řešením sdíleným mezi odborníky napříč Evropou, a pro odborníky v této oblasti zase platformou, kde uplatňovat, rozvíjet a sdílet své zkušenosti a pomáhat tak budovat bezpečnější prostředí pro nás všechny.