9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9
1. Organisation Hvem er GovCERT? GovCERT er en varslingstjeneste for internettrusler, der registrerer sikkerhedstilstanden på den statslige del af internettet og identificerer cyberangreb rettet mod myndigheder. GovCERT er det nationale kontaktpunkt vedrørende internetrelaterede sikkerhedshændelser på den statslige del af internettet for de nationale og internationale aktører og partnere. Ved at levere oplysninger om konkrete trusler til denne målgruppe bidrager GovCERT til at forebygge cyberangreb. Hvordan er GovCERT organiseret? GovCERT er en del af Center for Cybersikkerhed. Center for Cybersikkerhed er en del af Forsvarets Efterretningstjeneste under Forsvarsministeriet. Chefen for centret refererer til chefen for Forsvarets Efterretningstjeneste. Center for Cybersikkerhed består af cirka 50 medarbejdere fordelt på tre afdelinger og syv sektioner. 2/9
2. Serviceydelser Hvilke serviceydelser og tjenester kan GovCERT tilbyde min organisation? GovCERT bidrager til, at du som kunde har det bedst mulige grundlag for at håndtere sikkerhedsrisici i dit netværk og dine tjenester og understøtter dermed din mulighed for at: Reagere hurtigt på internetbaserede trusler mod informationssikkerheden Hurtigere imødegå konsekvenserne af elektroniske angreb Foretage kvalificerede vurderinger af risici og beskyttelsesbehov. GovCERT tilbyder en række tjenester og serviceydelser, der kan være med til at beskytte væsentlige dele af din it-infrastruktur: Varsling: GovCERT udsender varsler om pågående relevante sikkerhedshændelser. Indholdet kan være af ren teknisk karakter eller have karakter af mere generel information og oplysning. Varslerne baseres primært på informationer fra GovCERT s sensornetværk og lukkede kilder. Tilslutning til sensornetværk: Hvis din organisation er tilsluttet sensornetværket, analyserer GovCERT kontinuerligt jeres internettrafik for at finde mønstre, der indikerer tegn på ondsindet aktivitet. Til det formål benyttes information om angrebsmønstre fra lukkede kilder, partnere, efterretningstjenester og egne analyser. GovCERT leverer til dette formål en sensor til installation hos din organisation. Bistand til håndtering af hændelser: Hvis din organisation er udsat for en internetrelateret hændelse, kan du henvende dig til GovCERT, som derefter vil vurdere omfanget af den bistand, der kan tilbydes. Dette afhænger blandt andet af GovCERT s aktuelle ressourcesituation, risikoen for flere parallelle hændelser samt den generelle væsentlighed og risikovurdering. Situationsbilleder: GovCERT opbygger og vedligeholder kvartalsmæssigt et situationsbillede af udviklingen i truslerne på internettet på baggrund af data fra åbne kilder, lukkede kilder og sensornettet. Situationsbilledet kan bidrage til dit eget specifikke risikobillede. Det er en forudsætning for kvaliteten af GovCERT s situationsbillede, at din organisation bidrager med information om relevante sikkerhedsmæssige hændelser i jeres it-systemer. Hvad er GovCERT s sensornetværk, og hvad bruges det til? GovCERT s sensornetværk består af en række elektroniske alarmenheder (sensorer) placeret hos GovCERT s kunder. Sensornetværket bruges til at indsamle, registrere, analysere og opbevare data samt alarmere ved sikkerhedshændelser. Dele af den opsamlede data samt alle alarmer fra sensoren bliver overført til GovCERT s centrale og særskilte netværk, hvor det bliver analyseret af GovCERT. Hvem kan blive kunde hos GovCERT? Det kan alle offentlige institutioner, kommuner, regioner og til en vis udstrækning private virksomheder, der beskæftiger sig med kritisk infrastruktur. Hvilke typer informationer vil min organisation modtage fra GovCERT? Målrettede informationer, som er genereret på baggrund af observationer i din egen hardware 3/9
Generelle informationer, som er genereret på baggrund af observationer i det samlede kundegrundlag Informationer af generel og individuel karakter, som er genereret på baggrund af en kombination af individuelle og fælles observationer hos alle kunder, for eksempel i forbindelse med et varsel. Følger der rådgivning, vejledning og anbefalinger til konkrete handlinger for den enkelte kunde, på baggrund af de indsamlede informationer? Ja, det vil der gøre i nogle tilfælde, som ofte er bestemt af hændelsens natur. For eksempel kan GovCERT bistå med informationer og rådgivning i forhold til hændelseshåndtering, hvis der tale om et målrettet angreb. Er det Center for Cybersikkerheds rolle at forhindre eller opklare forbrydelser? GovCERT ved Center for Cybersikkerhed er en varslingstjeneste for internettrusler, der registrerer sikkerhedstilstanden på internettet og identificerer cyberangreb rettet mod sine kunder. De ydelser, som GovCERT tilbyder, er en del af en samlet sikkerhedsstrategi for jeres organisation og et element til sikring på lige fod med andre sikkerhedsforanstaltninger, såsom firewalls og antivirus. Center for Cybersikkerheds primære rolle er at forhindre cyberhændelser og -angreb. Det er politiets opgave at efterforske og retsforfølge eventuelle kriminelle handlinger. Ved kriminelle handlinger kan Center for Cybersikkerhed bistå med udlevering af bevismateriale til politiet. Udgør GovCERT en varslingstjeneste mod både interne og eksterne trusler, og vil den interne trafik også blive scannet? Det afhænger af sensorens placering. Placeres sensoren på ydersiden af firewall en, vil det primært være angreb mod organisationens yderside, der bliver registeret. Hvordan tilkobles GovCERT s sensornet til min organisations eksisterende infrastruktur? Formålet med GovCERT s sensor er at analysere trafikken til og fra jeres organisation via internettet. Sensoren placeres derfor mellem jeres firewall og endepunktet af jeres internetforbindelse fra den valgte internetudbyder (ISP). Det gør det muligt at opsamle den samlede trafik til og fra internettet, uanset konfigurationen af firewallen, dvs. uden de begrænsninger på internettrafikken, som I måtte have valgt. Placeringen af sensoren efter ISP ens endepunkt vil desuden gøre det muligt at vurdere, om indgreb udført af jeres valgte ISP, f.eks. i forbindelse med et Denial-of-Service (DoS) angreb, har den ønskede effekt. Et sådant indgreb vil blive udført i udstyr, som er styret og kontrolleret af ISP en. Ønsker I, at sensoren er placeret før eventuelt endepunktsudstyr, skal dette godkendes af jeres ISP, da det vil kræve en ændring i ISP ens fysiske setup. Der er to muligheder for at overføre data mellem jeres organisation og GovCERT via sensoren: 1. Via den eksisterende internetforbindelse, men på ydersiden af jeres firewall 2. Via en dedikeret DSL linje (out-of-band). 4/9
GovCERT anbefaler, at kunden vælger at benytte sin eksisterende linje, idet en dedikeret DSL linje ofte ikke har nok kapacitet, med mindre der vælges en DSL linje med kapacitet 10/10 Mbit eller derover. Fælles for begge typer af opkoblinger er, at data vil blive sendt via en krypteret VPN forbindelse. Desuden vil forbindelsen kun blive anvendt til at håndtere en VPN forbindelse mellem GovCERT og sensoren. Derfor vil der ikke være adgang til internettet fra sensoren gennem VPN forbindelsen eller direkte via DSL forbindelsen. Al opdatering af sensor vil ske direkte fra GovCERT s administrations netværk (gennem VPN forbindelsen). 5/9
3. Teknik Hvad er de tekniske forudsætninger for installation af sensoren? I skal selv sørge for at have de tekniske forudsætninger på plads, før en installation af sensoren kan påbegyndes, herunder plads i racks, strømudtag og internet forbindelse. Se vores datablad på hjemmesiden for mere information. Hvilke informationer er nødvendige, før en installation af sensoren kan påbegyndes? I skal sørge for have undersøgt hvilken type tilkobling der skal lyttes på og hvilken type fiber, og hvad hastigheden er på den internetforbindelse der skal overvåges. For mere information se vores datablad på hjemmesiden. Hvilke anbefalinger har GovCERT i forhold til udstyret? GovCERT anbefaler en tilslutning via den eksisterende internetforbindelse. Derved sikrer man, at hastigheden er tilstrækkelig på linjen. Kan min organisation selv overvåge udstyret og sensoren? Nej, sensoren og det tilhørende udstyr er Center for Cybersikkerheds ejendom og må udelukkende håndteres af centrets ansatte. Har sensoren negativ påvirkning af hastigheden i infrastrukturen? Nej, GovCERT s sensor har ingen påvirkning på hastigheden. Hvad sker der med den trafik, som går gennem GovCERT s sensorer? GovCERT s sensorer benytter Deep Packet Inspection-teknologi (DPI) til at undersøge og analysere pakkedata, som passerer gennem sensoren. DPI er en form for computernetværks pakkefiltrering, der undersøger alle datadele af en datapakke, når den passerer et kontrolpunkt (i dette tilfælde sensoren) og undersøger dataene for mønstre, der eventuelt kan udløse en alarm. Hvor i min organisations infrastruktur skal hardware opstilles ved tilslutning til GovCERT s sensornet? GovCERT har mulighed for at tilslutte sensoren både via fiber og kobber. Til at duplikere trafikken til sensoren benyttes en tap. Denne tap placeres på det kabel, der lyttes på, og duplikerer trafikken ud på en monitoreringsport. Designet af tap'en er afhængigt af det medie, der lyttes på. Det er derfor vigtigt at identificere det anvendte medie og tilslutning inden installationen. Ved kobber-tilslutning skal den tap, som anvendes, være tilsluttet forsyningsnettet (220V), dvs. at den indeholder aktive komponenter. Ved fibertilslutning foretages en passiv tilslutning uden aktive komponenter eller tilslutning til forsyningsnettet. Fælles for begge typer af taps gælder, at de ikke vil forhindre trafik ved tilfælde af fejl eller nedbrud, medmindre tappen fysisk bliver ødelagt. 6/9
Det er også muligt at tilslutte sensoren til en monitor/span port i en switch. Denne type af tilslutning kan GovCERT ikke umiddelbart anbefale. Årsagen er, at man potentielt kan miste trafik, og hermed data, da den pågældende span port kan modtage mere trafik, end den har kapacitet til. Et eksempel kan være, at span porten har en kapacitet på 100 Mbit, men der spejles trafik fra flere 100 Mbit porte, hvilket overstiger span portens kapacitet med det resultat, at der mistes trafik. GovCERT anbefaler en tilslutning via den eksisterende internet forbindelse. Figur 1: Placering af sensor uden DSL forbindelse Figur 1 viser den anbefalede opsætningen af sensor uden en ekstern DSL linje. I konfigurationen forbindes ydersiden af GovCERT s firewall til router/switch på internetforbindelsen fra ISP, dvs. på ydersiden af kundens firewall. Figur 2: Opsætning fa sensor med DSL linje Figur 2 viser opsætningen af sensoren med en ekstern DSL linje, hvorigennem en tunnel opretholdes til GovCERT mellem GovCERT s centrale firewall og en GovCERT firewall, der er placeret hos kunden. Den GovCERT firewall, der placeres hos kunden, har en drop-all policy på ydersiden. Den eksterne DSL linje skal 7/9
som minimum være en 10/10 Mbit linje, dvs. 10 Mbit upload hhv. download. Hvad med redundante internetforbindelser? Som udgangspunkt lytter GovCERT s sensor udelukkende på én linje. Det kan være en udfordring i forbindelse med redundante linjer, hvis der er tale om to aktive linjer (eventuelt i forbindelse med load balancing). GovCERT har dog mulighed for at overvåge to forbindelser efter specifik aftale. 8/9
4. Gældende regler Hvem ejer sensoren og dens data? GovCERT ejer sensoren og de relevante data. Mens data passerer gennem sensoren, bliver alt ind- og udgående pakke- og trafikdata opsamlet i forbindelse med analysen. Pakkedata må dog kun analyseres ved begrundet mistanke om en stedfunden eller forventet sikkerhedshændelse, og kun i det omfang det er nødvendigt for at gennemføre den pågældende analyse. Uanset formålet med behandlingen gælder følgende: 1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, må højst opbevares i 3 år 2) Pakkedata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 14 dage og under normale omstændigheder kun i 6 dage 3) Trafikdata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 12 måneder. Fristerne regnes fra tidspunktet for registreringen af de pågældende data i den statslige varslingstjeneste. Alle ansatte i Center for Cybersikkerhed har tavshedspligt. Data, der behandles som led i den statslige varslingstjenestes aktiviteter, kan kun videregives i følgende tilfælde: 1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, kan videregives til politiet 2) Pakkedata, der knytter sig til en sikkerhedshændelse, kan videregives til MilCERT, hvor GovCERT skønner det nødvendigt, for at beskytte nationale digitale infrastrukturer mod sikkerhedsmæssige trusler 3) Trafikdata kan, hvor dette er nødvendigt i henhold til varslingstjenestens formål og aktiviteter, videregives til danske myndigheder, tilsluttede private virksomheder og tilsvarende varslingstjenester i andre lande. 9/9