Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk



Relaterede dokumenter
HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

Center for Cybersikkerheds beretning Center for Cybersikkerheds beretning 2014

Evaluering af GovCERT-loven

Forsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt

GovCERT og DK CERT. Forskningsnettet 17. november 2010

Lov om Center for Cybersikkerhed

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

Retningslinjer for behandling af personoplysninger m.v. i Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste

Forslag. Lov om Center for Cybersikkerhed

Forslag. Lov om Center for Cybersikkerhed

Forslag. Lov om Center for Cybersikkerhed

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

Forslag. Lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste

Ny lov for Center for Cybersikkerhed. En analyse blandt IDAs it-politiske panel

e êáåö=îéçêk=içî=çã=`éåíéê=ñçê=`óäéêëáââéêüéç=

Forslag. Lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste. Lovforslag nr. L 197 Folketinget

Forslag. Lov om behandling af personoplysninger ved driften af den statslige varslingstjeneste. Lovforslag nr. L 197 Folketinget

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Reducér risikoen for falske mails

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

Høringsnotat. Høringssvar over udkast til forslag til lov om Center for Cybersikkerhed. (Initiativer til styrkelse af cybersikkerheden).

Tilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K. Årsredegørelse Center for Cybersikkerhed

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Infrastruktur i hjemmet og begreber

GovCERT-tilsynets årsredegørelse 2013

Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v3.

Sikkerhedspolitik Version d. 6. maj 2014

Bekendtgørelse af lov om Forsvarets Efterretningstjeneste (FE)

Forslag. Lov om den statslige varslingstjeneste for internettruslers behandling af personoplysninger

PRODUKTDOKUMENTATION FLEXFONE INTERNET

Undersøgelsesrapport. Målrettede forsøg på hacking af den danske energisektor

Forskningsnettets deltagelse i det danske operationelle ISP-beredskab

Introduktion til computernetværk

Betænkning. Forslag til lov om Center for Cybersikkerhed

DK-CERT Orienteringsmøde 8. marts 2010 Eigtveds Pakhus. Shehzad Ahmad, DK-CERT

F-Secure Anti-Virus for Mac 2015

Service Level Agreement (SLA)

Tilsynet med Efterretningstjenesterne Borgergade 28, 1. sal, 1300 København K. Årsredegørelse Center for Cybersikkerhed

Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

Årsredegørelse Center for Cybersikkerhed

Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed.

VULA PairBonding er et produkt, hvor xdsl-forbindelsen produceres på 2 kobberpar for at levere en

U d k a s t. Forslag til Lov om ændring af lov om Center for Cybersikkerhed

Forslag. Lov om ændring af lov om Center for Cybersikkerhed

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet (ADSL) samt instruktion mv.

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen

DI og DI ITEK's vejledning om bevissikring

Forsvarsudvalget L 155 endeligt svar på spørgsmål 11 Offentligt

HOSTING VILKÅR 10. REVISION JANUAR CompuSoft A/S. Sunekær 9. DK-5471 Søndersø. CVR-nr.: (i det følgende kaldet leverandøren)

Redegørelse 2014 og Center for Cybersikkerhed

Basis Abonnement 28 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet.

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

DOES NOT COMPUTE IT-SIKKERHED ER VENDT PÅ HOVEDET. BESKYT DINE DATA MED VEEAM CLOUD CONNECT

Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen

Tillægsvilkår for Redundans Mobil og Redundans Mobil Plus

Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Privatlivspolitik og sikkerhed i Green Volcano

H Ø R I N G O V E R U D K A S T T I L F O R S L A G T I L L O V O M

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

CFCS Beretning Center for Cybersikkerhed.

Trusselsvurdering Cyberangreb mod leverandører

Vejledning i udarbejdelse af kontrakt mellem virksomheder i el- og naturgassektorerne og itsikkerhedstjenester.

Trådløst internet Brugervejledning

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Cybertruslen mod et fjernvarmeværk

ANALYSE AF IT-INFRASTRUKTUR I FOLKESKOLEN 2016

Sikkerhedspolitik Version d. 3. oktober 2013

H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET

Lov om ændring af lov om Center for Cybersikkerhed - høringssvar - deres sagsnummer 2018/006599

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

Industrivirus og industrispionage. It-sikkerhed 2011

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Pair Bonding Ver 1.0 TWD

Retningslinjer for Forsvarets Efterretningstjenestes behandling af personoplysninger mv. om danske statsborgere og herboende udlændinge.

sikre dataforbindelser når det skal fungere

TDC HomeBox VDSL. Installationsvejled ning til dig med telefoni og bredbånd

Kom godt i gang DRG 703 med mediekonverter Fordelerboks

Pair Bonding 25/ Ver 2.0

Kapitel 1: Introduktion...3

Rigspolitiet har imidlertid fundet anledning til at begrænse din adgang til aktindsigt i oplysningerne, som anført nedenfor.

Bilag 3.1 til samarbejdsaftalen IT backend-samarbejdet. Service Level Agreement (SLA) vedrørende IT-Backend. mellem Gymnasiefællesskabet

Undgå DNS Amplification attacks

Rapport om erfaringerne med lov om Center for Cybersikkerhed

Bilag 1b Infrastruktur & Kapacitet

Kære medarbejder og leder

Sikkerhedsvurderinger

beskrivelse af netværket på NOVI

Informationssikkerhed regler og råd

Præsentation af Curanets sikringsmiljø

Bredbånd. Installationsvejledning - WGW BOX

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

INTERNET OG TV som det burde være

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Transkript:

9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9

1. Organisation Hvem er GovCERT? GovCERT er en varslingstjeneste for internettrusler, der registrerer sikkerhedstilstanden på den statslige del af internettet og identificerer cyberangreb rettet mod myndigheder. GovCERT er det nationale kontaktpunkt vedrørende internetrelaterede sikkerhedshændelser på den statslige del af internettet for de nationale og internationale aktører og partnere. Ved at levere oplysninger om konkrete trusler til denne målgruppe bidrager GovCERT til at forebygge cyberangreb. Hvordan er GovCERT organiseret? GovCERT er en del af Center for Cybersikkerhed. Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste under Forsvarsministeriet. Chefen for centret refererer til chefen for Forsvarets Efterretningstjeneste. Center for Cybersikkerhed består af cirka 50 medarbejdere fordelt på tre afdelinger og syv sektioner. 2/9

2. Serviceydelser Hvilke serviceydelser og tjenester kan GovCERT tilbyde min organisation? GovCERT bidrager til, at du som kunde har det bedst mulige grundlag for at håndtere sikkerhedsrisici i dit netværk og dine tjenester og understøtter dermed din mulighed for at: Reagere hurtigt på internetbaserede trusler mod informationssikkerheden Hurtigere imødegå konsekvenserne af elektroniske angreb Foretage kvalificerede vurderinger af risici og beskyttelsesbehov. GovCERT tilbyder en række tjenester og serviceydelser, der kan være med til at beskytte væsentlige dele af din it-infrastruktur: Varsling: GovCERT udsender varsler om pågående relevante sikkerhedshændelser. Indholdet kan være af ren teknisk karakter eller have karakter af mere generel information og oplysning. Varslerne baseres primært på informationer fra GovCERT s sensornetværk og lukkede kilder. Tilslutning til sensornetværk: Hvis din organisation er tilsluttet sensornetværket, analyserer GovCERT kontinuerligt jeres internettrafik for at finde mønstre, der indikerer tegn på ondsindet aktivitet. Til det formål benyttes information om angrebsmønstre fra lukkede kilder, partnere, efterretningstjenester og egne analyser. GovCERT leverer til dette formål en sensor til installation hos din organisation. Bistand til håndtering af hændelser: Hvis din organisation er udsat for en internetrelateret hændelse, kan du henvende dig til GovCERT, som derefter vil vurdere omfanget af den bistand, der kan tilbydes. Dette afhænger blandt andet af GovCERT s aktuelle ressourcesituation, risikoen for flere parallelle hændelser samt den generelle væsentlighed og risikovurdering. Situationsbilleder: GovCERT opbygger og vedligeholder kvartalsmæssigt et situationsbillede af udviklingen i truslerne på internettet på baggrund af data fra åbne kilder, lukkede kilder og sensornettet. Situationsbilledet kan bidrage til dit eget specifikke risikobillede. Det er en forudsætning for kvaliteten af GovCERT s situationsbillede, at din organisation bidrager med information om relevante sikkerhedsmæssige hændelser i jeres it-systemer. Hvad er GovCERT s sensornetværk, og hvad bruges det til? GovCERT s sensornetværk består af en række elektroniske alarmenheder (sensorer) placeret hos GovCERT s kunder. Sensornetværket bruges til at indsamle, registrere, analysere og opbevare data samt alarmere ved sikkerhedshændelser. Dele af den opsamlede data samt alle alarmer fra sensoren bliver overført til GovCERT s centrale og særskilte netværk, hvor det bliver analyseret af GovCERT. Hvem kan blive kunde hos GovCERT? Det kan alle offentlige institutioner, kommuner, regioner og til en vis udstrækning private virksomheder, der beskæftiger sig med kritisk infrastruktur. Hvilke typer informationer vil min organisation modtage fra GovCERT? Målrettede informationer, som er genereret på baggrund af observationer i din egen hardware 3/9

Generelle informationer, som er genereret på baggrund af observationer i det samlede kundegrundlag Informationer af generel og individuel karakter, som er genereret på baggrund af en kombination af individuelle og fælles observationer hos alle kunder, for eksempel i forbindelse med et varsel. Følger der rådgivning, vejledning og anbefalinger til konkrete handlinger for den enkelte kunde, på baggrund af de indsamlede informationer? Ja, det vil der gøre i nogle tilfælde, som ofte er bestemt af hændelsens natur. For eksempel kan GovCERT bistå med informationer og rådgivning i forhold til hændelseshåndtering, hvis der tale om et målrettet angreb. Er det Center for Cybersikkerheds rolle at forhindre eller opklare forbrydelser? GovCERT ved Center for Cybersikkerhed er en varslingstjeneste for internettrusler, der registrerer sikkerhedstilstanden på internettet og identificerer cyberangreb rettet mod sine kunder. De ydelser, som GovCERT tilbyder, er en del af en samlet sikkerhedsstrategi for jeres organisation og et element til sikring på lige fod med andre sikkerhedsforanstaltninger, såsom firewalls og antivirus. Center for Cybersikkerheds primære rolle er at forhindre cyberhændelser og -angreb. Det er politiets opgave at efterforske og retsforfølge eventuelle kriminelle handlinger. Ved kriminelle handlinger kan Center for Cybersikkerhed bistå med udlevering af bevismateriale til politiet. Udgør GovCERT en varslingstjeneste mod både interne og eksterne trusler, og vil den interne trafik også blive scannet? Det afhænger af sensorens placering. Placeres sensoren på ydersiden af firewall en, vil det primært være angreb mod organisationens yderside, der bliver registeret. Hvordan tilkobles GovCERT s sensornet til min organisations eksisterende infrastruktur? Formålet med GovCERT s sensor er at analysere trafikken til og fra jeres organisation via internettet. Sensoren placeres derfor mellem jeres firewall og endepunktet af jeres internetforbindelse fra den valgte internetudbyder (ISP). Det gør det muligt at opsamle den samlede trafik til og fra internettet, uanset konfigurationen af firewallen, dvs. uden de begrænsninger på internettrafikken, som I måtte have valgt. Placeringen af sensoren efter ISP ens endepunkt vil desuden gøre det muligt at vurdere, om indgreb udført af jeres valgte ISP, f.eks. i forbindelse med et Denial-of-Service (DoS) angreb, har den ønskede effekt. Et sådant indgreb vil blive udført i udstyr, som er styret og kontrolleret af ISP en. Ønsker I, at sensoren er placeret før eventuelt endepunktsudstyr, skal dette godkendes af jeres ISP, da det vil kræve en ændring i ISP ens fysiske setup. Der er to muligheder for at overføre data mellem jeres organisation og GovCERT via sensoren: 1. Via den eksisterende internetforbindelse, men på ydersiden af jeres firewall 2. Via en dedikeret DSL linje (out-of-band). 4/9

GovCERT anbefaler, at kunden vælger at benytte sin eksisterende linje, idet en dedikeret DSL linje ofte ikke har nok kapacitet, med mindre der vælges en DSL linje med kapacitet 10/10 Mbit eller derover. Fælles for begge typer af opkoblinger er, at data vil blive sendt via en krypteret VPN forbindelse. Desuden vil forbindelsen kun blive anvendt til at håndtere en VPN forbindelse mellem GovCERT og sensoren. Derfor vil der ikke være adgang til internettet fra sensoren gennem VPN forbindelsen eller direkte via DSL forbindelsen. Al opdatering af sensor vil ske direkte fra GovCERT s administrations netværk (gennem VPN forbindelsen). 5/9

3. Teknik Hvad er de tekniske forudsætninger for installation af sensoren? I skal selv sørge for at have de tekniske forudsætninger på plads, før en installation af sensoren kan påbegyndes, herunder plads i racks, strømudtag og internet forbindelse. Se vores datablad på hjemmesiden for mere information. Hvilke informationer er nødvendige, før en installation af sensoren kan påbegyndes? I skal sørge for have undersøgt hvilken type tilkobling der skal lyttes på og hvilken type fiber, og hvad hastigheden er på den internetforbindelse der skal overvåges. For mere information se vores datablad på hjemmesiden. Hvilke anbefalinger har GovCERT i forhold til udstyret? GovCERT anbefaler en tilslutning via den eksisterende internetforbindelse. Derved sikrer man, at hastigheden er tilstrækkelig på linjen. Kan min organisation selv overvåge udstyret og sensoren? Nej, sensoren og det tilhørende udstyr er Center for Cybersikkerheds ejendom og må udelukkende håndteres af centrets ansatte. Har sensoren negativ påvirkning af hastigheden i infrastrukturen? Nej, GovCERT s sensor har ingen påvirkning på hastigheden. Hvad sker der med den trafik, som går gennem GovCERT s sensorer? GovCERT s sensorer benytter Deep Packet Inspection-teknologi (DPI) til at undersøge og analysere pakkedata, som passerer gennem sensoren. DPI er en form for computernetværks pakkefiltrering, der undersøger alle datadele af en datapakke, når den passerer et kontrolpunkt (i dette tilfælde sensoren) og undersøger dataene for mønstre, der eventuelt kan udløse en alarm. Hvor i min organisations infrastruktur skal hardware opstilles ved tilslutning til GovCERT s sensornet? GovCERT har mulighed for at tilslutte sensoren både via fiber og kobber. Til at duplikere trafikken til sensoren benyttes en tap. Denne tap placeres på det kabel, der lyttes på, og duplikerer trafikken ud på en monitoreringsport. Designet af tap'en er afhængigt af det medie, der lyttes på. Det er derfor vigtigt at identificere det anvendte medie og tilslutning inden installationen. Ved kobber-tilslutning skal den tap, som anvendes, være tilsluttet forsyningsnettet (220V), dvs. at den indeholder aktive komponenter. Ved fibertilslutning foretages en passiv tilslutning uden aktive komponenter eller tilslutning til forsyningsnettet. Fælles for begge typer af taps gælder, at de ikke vil forhindre trafik ved tilfælde af fejl eller nedbrud, medmindre tappen fysisk bliver ødelagt. 6/9

Det er også muligt at tilslutte sensoren til en monitor/span port i en switch. Denne type af tilslutning kan GovCERT ikke umiddelbart anbefale. Årsagen er, at man potentielt kan miste trafik, og hermed data, da den pågældende span port kan modtage mere trafik, end den har kapacitet til. Et eksempel kan være, at span porten har en kapacitet på 100 Mbit, men der spejles trafik fra flere 100 Mbit porte, hvilket overstiger span portens kapacitet med det resultat, at der mistes trafik. GovCERT anbefaler en tilslutning via den eksisterende internet forbindelse. Figur 1: Placering af sensor uden DSL forbindelse Figur 1 viser den anbefalede opsætningen af sensor uden en ekstern DSL linje. I konfigurationen forbindes ydersiden af GovCERT s firewall til router/switch på internetforbindelsen fra ISP, dvs. på ydersiden af kundens firewall. Figur 2: Opsætning fa sensor med DSL linje Figur 2 viser opsætningen af sensoren med en ekstern DSL linje, hvorigennem en tunnel opretholdes til GovCERT mellem GovCERT s centrale firewall og en GovCERT firewall, der er placeret hos kunden. Den GovCERT firewall, der placeres hos kunden, har en drop-all policy på ydersiden. Den eksterne DSL linje skal 7/9

som minimum være en 10/10 Mbit linje, dvs. 10 Mbit upload hhv. download. Hvad med redundante internetforbindelser? Som udgangspunkt lytter GovCERT s sensor udelukkende på én linje. Det kan være en udfordring i forbindelse med redundante linjer, hvis der er tale om to aktive linjer (eventuelt i forbindelse med load balancing). GovCERT har dog mulighed for at overvåge to forbindelser efter specifik aftale. 8/9

4. Gældende regler Hvem ejer sensoren og dens data? GovCERT ejer sensoren og de relevante data. Mens data passerer gennem sensoren, bliver alt ind- og udgående pakke- og trafikdata opsamlet i forbindelse med analysen. Pakkedata må dog kun analyseres ved begrundet mistanke om en stedfunden eller forventet sikkerhedshændelse, og kun i det omfang det er nødvendigt for at gennemføre den pågældende analyse. Uanset formålet med behandlingen gælder følgende: 1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, må højst opbevares i 3 år 2) Pakkedata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 14 dage og under normale omstændigheder kun i 6 dage 3) Trafikdata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 12 måneder. Fristerne regnes fra tidspunktet for registreringen af de pågældende data i den statslige varslingstjeneste. Alle ansatte i Center for Cybersikkerhed har tavshedspligt. Data, der behandles som led i den statslige varslingstjenestes aktiviteter, kan kun videregives i følgende tilfælde: 1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, kan videregives til politiet 2) Pakkedata, der knytter sig til en sikkerhedshændelse, kan videregives til MilCERT, hvor GovCERT skønner det nødvendigt, for at beskytte nationale digitale infrastrukturer mod sikkerhedsmæssige trusler 3) Trafikdata kan, hvor dette er nødvendigt i henhold til varslingstjenestens formål og aktiviteter, videregives til danske myndigheder, tilsluttede private virksomheder og tilsvarende varslingstjenester i andre lande. 9/9

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback