- Οι ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) συμμορφώνονται με τις ακόλουθες απαιτήσεις:
α) εξασφαλίζουν υψηλό επίπεδο διαθεσιμότητας των διαύλων επικοινωνίας τους, αποφεύγοντας μοναδικά σημεία αστοχίας και διαθέτουν εναλλακτικούς τρόπους για εισερχόμενη και εξερχόμενη επικοινωνία με τρίτους ανά πάσα στιγμή· προσδιορίζουν σαφώς τους διαύλους επικοινωνίας και τους γνωστοποιούν στα μέλη της περιοχής ευθύνης τους και στους συνεργαζόμενους εταίρους,
β) οι εγκαταστάσεις των CSIRTs και τα υποστηρικτικά πληροφοριακά συστήματα βρίσκονται σε ασφαλείς χώρους,
γ) οι CSIRTs είναι εφοδιασμένες με κατάλληλο σύστημα διαχείρισης και δρομολόγησης αιτημάτων, ιδίως προκειμένου να διευκολύνεται η αποτελεσματική και αποδοτική άσκηση καθηκόντων,
δ) οι CSIRTs διασφαλίζουν την εμπιστευτικότητα και την αξιοπιστία των δραστηριοτήτων τους,
ε) οι CSIRTs είναι επαρκώς στελεχωμένες, ώστε να διασφαλίζουν τη διαθεσιμότητα των υπηρεσιών τους ανά πάσα στιγμή και διασφαλίζουν ότι το προσωπικό τους είναι κατάλληλα καταρτισμένο,
στ) οι CSIRTs είναι εξοπλισμένες με εφεδρικά συστήματα και εφεδρικό χώρο εργασίας για τη διασφάλιση της συνέχειας των υπηρεσιών τους.
Η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας, καθώς και οι λοιπές CSIRTs μπορούν να συμμετέχουν σε διεθνή δίκτυα συνεργασίας. Ιδίως η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας δύναται να επικουρείται από τις λοιπές CSIRT για τη συμμετοχή της στα παραπάνω δίκτυα.
- Οι CSIRTs είναι επιφορτισμένες με τα ακόλουθα καθήκοντα:
α) παρακολούθηση και ανάλυση κυβερνοαπειλών, ευπαθειών και περιστατικών σε εθνικό επίπεδο, αποκλειστικά για τους τομείς και οργανισμούς αρμοδιότητάς τους και, κατόπιν αιτήματος, παροχή συνδρομής σε επηρεαζόμενες βασικές και σημαντικές οντότητες σχετικά με την παρακολούθηση των συστημάτων δικτύου και πληροφοριακών συστημάτων τους σε πραγματικό χρόνο ή σχεδόν σε πραγματικό χρόνο,
β) παροχή έγκαιρων προειδοποιήσεων, ειδοποιήσεων, ανακοινώσεων και πληροφοριών σε εμπλεκόμενες βασικές και σημαντικές οντότητες, καθώς και σε αρμόδιες αρχές και άλλα σχετικά ενδιαφερόμενα μέρη σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά, ει δυνατόν σε σχεδόν πραγματικό χρόνο,
γ) αντιμετώπιση περιστατικών και παροχή συνδρομής στις επηρεαζόμενες βασικές και σημαντικές οντότητες, κατά περίπτωση,
δ) συλλογή και ανάλυση εγκληματολογικών δεδομένων και δυναμική ανάλυση κινδύνων και περιστατικών και επίγνωση της κατάστασης σε θέματα κυβερνοασφάλειας,
ε) παροχή, κατόπιν αιτήματος βασικής ή σημαντικής οντότητας, προληπτικής σάρωσης των συστημάτων δικτύου και πληροφοριακών συστημάτων της οικείας οντότητας για τον εντοπισμό ευπαθειών με δυνητικό σημαντικό αντίκτυπο,
στ) συμμετοχή, μετά από απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, στο δίκτυο CSIRTs του άρθρου 15 της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (L 333)· παροχή αμοιβαίας συνδρομής σύμφωνα με τις ικανότητες και τις αρμοδιότητές τους σε άλλα μέλη του δικτύου CSIRTs κατόπιν αιτήματός τους,
ζ) συμβολή στην ανάπτυξη ασφαλών εργαλείων ανταλλαγής πληροφοριών σύμφωνα με την παρ. 4 του άρθρου 10.
Οι CSIRTs μπορούν να διενεργούν προληπτική μη παρεμβατική σάρωση των δημοσίως προσβάσιμων συστημάτων δικτύου και πληροφοριακών συστημάτων βασικών και σημαντικών οντοτήτων, εφόσον δεν έχει αρνητικές συνέπειες για τη λειτουργία των υπηρεσιών των οντοτήτων. Η εν λόγω σάρωση διενεργείται για τον εντοπισμό ευπαθών ή επισφαλώς διαμορφωμένων συστημάτων δικτύου και πληροφοριακών συστημάτων και για την ενημέρωση των οικείων οντοτήτων.
Κατά την εκτέλεση των καθηκόντων που αναφέρονται στο πρώτο εδάφιο, οι CSIRTs μπορούν να δίνουν προτεραιότητα σε συγκεκριμένα καθήκοντα στο πλαίσιο προσέγγισης βάσει κινδύνου.
- Οι CSIRTs δύνανται να συνεργάζονται με ενδιαφερόμενα μέρη του ιδιωτικού τομέα, με σκοπό την επίτευξη των στόχων του παρόντος νόμου. Προκειμένου να διευκολυνθεί η συνεργασία, οι CSIRTs προωθούν την υιοθέτηση και τη χρήση κοινών ή τυποποιημένων πρακτικών, συστημάτων ταξινόμησης και ταξινομιών σε σχέση με:
α) διαδικασίες διαχείρισης περιστατικών·
β) διαχείριση κρίσεων· και
γ) συντονισμένη γνωστοποίηση ευπαθειών σύμφωνα με την παρ. 1 του άρθρου 12.
§1 ε) CSIRTs ευρύτερου δημοσίου τομέα: πώς προβλέπεται η στελέχωσή τους; Πρέπει να αναφερθεί και να υπάρξει δέσμευση άμεσων προσλήψεων.
§1 στ) CSIRTs ευρύτερου δημοσίου τομέα: πώς προβλέπεται η ανάπτυξη του τεχνολογικού εξοπλισμός τους και η κτηριακή υποδομή τους; Να αναφερθεί ποιος, πώς θα τα παράσχει όλα αυτά.
§2 ε) Θα είναι εφικτή η προληπτική σάρωση και σε άλλες οντότητες, που δεν εντάσσονται στον παρόντα νόμο;
§2 ζ) Θα πρότεινα ενιαία – κεντρική – εθνική ανάπτυξη και διανομή των εργαλείων αυτών σε όλες τις CSIRTs ευρύτερου δημοσίου τομέα.
Προληπτική μη παρεμβατική σάρωση: εν γνώση των φορέων θα γίνεται αυτό;
§3 Θα προηγηθεί προτυποποίηση από την ΕΑΚ;
Είναι σημαντικό, θεωρώ, προς αποφυγή σύγχυσης να γίνει πολύ προσεκτική διαχείριση της ορολογίας στον τρόπο περιγραφής της κατάστασης ασφάλειας στην οποία βρίσκεται μια οντότητα σε σχέση με τις ενέργειες που καταγράφονται σε κάθε λογής συστήματα που την υποστηρίζουν.
Είναι σημαντικό να είναι αντιληπτό και να περνά και στο κείμενο ότι τα «συμβάντα» (events) που συνήθως καταγράφονται στα αρχεία καταγραφων (log files) είναι συνεχή και πάρα πολλά σε αριθμό και διαχωρίζονται σε πολλά επίπεδα με βάση τη σοβαρότητά τους, αλλά δεν αποτελούν κατ’ανάγκη συνθήκη που εκκινεί μια ειδική διαδικασία αντιμετώπισης μια βλαπτικής κατάσταση.
Τα «συμβάντα» τυγχάνουν αξιολόγησης από επάλληλα επίπεδα αναλυτών καθώς κλιμακώνονται και αναλύονται από εμπειρότερα στελέχη μέχρι την οριστική κλιμάκωση του στο επόμενο επίπεδο, αυτό του «περιστατικού» (incident) το οποίο παράγει ένα βλαπτικό αποτέλεσμα για τον οργανισμό και το οποίο συναπαρτίζουν κατά κανόνα ένας μεγάλος αριθμός «συμβάντων». Η πιθανότητα ένα «συμβάν ασφαλείας» να αναβιβαστεί σε «περιστατικό ασφαλείας» είναι βάσει της καθαρά αριθμητικής συσχέτισης των δύο στατιστικά πολύ σπάνια, ωστόσο μόνο αν μια σειρά «συμβάντων» αναβιβαστούν σε «περιστατικό ασφάλειας» μπορούν να κινητοποιήσούν την έναρξη μιας οργανωμένης «διαδικασίας αντιμετώπισης περιστατικού ασφάλειας», η οποία μπορεί να μετριάσει την επίδραση του «περιστατικού» αποτρέποντας την ευρύτςρης κλίμακας «παραβίαση» (breach), όταν αποδεδειγμένα ένα «περιστατικό» έχει οδηγήσει σε συγκεκριμένα αρνητικά αποτελέσματα όπως μη εξουσιοδοτημένη πρόσβαση, κλοπή δεδομένων, κρυπτογράφηση αρχείων κ.λπ..
Παράδειγμα περίπτωσης είναι η καταγραφή χιλιάδων «συμβάντων» αναγνώρισης των ορίων ανοχής ενός διακομιστή ιστού, με σκοπό να αντιληφθεί ένας επιτιθέμενος τα όρια μέσα στα οποία μπορεί να «πιέσει» τον διακομιστή χωρίς να μπλοκαριστεί από συστήματα ασφαλείας, ώστε να γνωρίσει ποιο είναι το βέλτιστο κατώφλι στο οποίο θα πρέπει να προγραμματίσει τις ενέργειες προσπέλασης ενός δικτύου κακόβουλα ελεγχόμενων υπολογιστών (botnet), ώστε κάθε ένα ελεγχόμενο μηχάνημα κατά μόνας να μπορεί να τραβήξει το μέγιστο αριθμό πόρων από τον διακομιστή χωρίς να μπλοκάρεται και έτσι να τον απασχολεί άσκοπα. Τα συμβάντα αυτά κατά κανόνα, ενώ καταγράφονται, δεν αξιολογούνται από τους αναλυτές και μένουν απλώς «συμβάντα» στο αρχείο καταγραφής ενός διακομιστή ιστού που εντοπίζει μια αναδρομική (ex-post) ανάλυση ψηφιακής εγκληματολογίας (digital forensics). Κατά τη στιγμή της επίθεσης Κατανεμημενης Αρνησης Υπηρεσίας (DDoS), όμως, όταν de facto ο διακομιστής χάνει τη διαθεσιμότητά του και δεν εξυπηρετεί πλέον, τότε τα χιλιάδες «συμβάντα» που τον ωθούν σε αυτή την κατάσταση από κοινού κλιμακώνονται συλλήβδην σε ένα «περιστατικό» κυβερνοεπίθεσης Κατανεμημενης Αρνησης Υπηρεσίας και ενεργοποιούν αυτόματα (ή σχεδόν αυτόματα) τη διαδικασία αντιμετώπισης περιστατικών κυβερνοασφάλειας. Ωστόσο, μια τέτοια κυβερνοεπίθεση (δηλ. ένα τέτοιο «περιστατικό») δεν θα κλιμακωθεί ποτέ στο επίπεδο της «παραβίασης» από μόνη της, εκτός και αν λειτουργεί επιβοηθητικά για την εκτέλεση παράλληλων επιθέσεων ως αντιπερισπασμός ή με σκοπό να καταλυθούν σημεία ελέγχου στον διακομιστή ή στην διαδικτυακή εφαρμογή λόγω της προηγούμενης επίθεσης.
Συνεπώς:
event = συμβάν (πολύ μεγάλος αριθμός)
incident = περιστατικό (μικρός αριθμός)
breach = παραβίαση (πολύ μικρός αριθμός)
Οι CSIRTS θα πρέπει να πληρούν συγκεκριμένα κριτήρια, γνώσεις, πτυχία και να κατέχουν κατάλληλες πιστοποιήσεις, θα πρέπει να αναφέρονται.