RFC 2350 Wersja: 1.2 Publikacja 2020/11/12 1. Wstęp Ten dokument zawiera opis NIRT zgodnie z RFC 2350. Zawiera on podstawowe informacje o NIRT, sposób, w jaki można się z nim skontaktować, opisuje jego obowiązki i oferowane usługi. 1.1 Data aktualizacji This is version 1.2, published 2021/01/18. 1.2 Lista dystrybucji powiadomień Obecnie NIRT nie korzysta z żadnej listy dystrybucyjnej mającej na celu powiadamianie o zmianach w tym dokumencie. 1.3 Lokalizacje w których można znaleźć ten dokument Aktualna wersja dokumentu może być znaleziona na: stronie www NASK pod adresem https://www.nask.pl/pl/dzialalnosc/nauka-i-biznes/nask-incident-response/3985,NASK-Incident-Response-Team.html Proszę upewnić się, że używasz najnowszej wersji. 1.4 Uwierzytelnianie tego dokumentu Ten dokument został podpisany kluczem PGP należącym do NIRT. Jego sygnaturę można znaleźć na: https://www.nask.pl/pl/dzialalnosc/nauka-i-biznes/nask-incident-response/3985,NASK-Incident-Response-Team.html 2. Dane Kontaktowe 2.1 Nazwa zespołu NIRT (NASK Incident Response Team) 2.2 Adres zepsołu NASK - National Research Institute Kolska 12 01-045 Warsaw Poland 2.3 Strefa czasowa Środkowoeuropejski (GMT+0100, GMT+0200 od kwietnia do października) 2.4 Numer telefonu +48 182 00 22 2.5 Numer fax +48 22 380 82 01 (this is *not* a secure fax) 2.6 Inna forma kontaktu Niedostępna. 2.7 Adres poczty elektronicznej nirt@nask.pl 2.8 Klucze publiczne, informacje dotyczące szyfrowania -----BEGIN PGP PUBLIC KEY BLOCK----- mQINBFxlaKkBEADWtTWt5b362THfjQIirrYaZyxxCQuFwsZKk8BcBdjIHfE6CxnX Bnn/yhSWPl+W6fu8ruXnHoRi1naG/IzG6nIYX2E9WlX/N0E3IMkFoeWkJ3MchctO d2k5U9U8j19Gvt3mq3iEKdX75TbUxsLbIkiXQvVULPld82MGjIcEbRPn9CkJl567 YMOCGDHze+fPurAhN57RlrPvill42M/rJuBP3lsg68seKxmEyL4HnzP7ji1Hp6jz eMyxx6LH5De9Byn7GJRs5fARUYhQ5ssF3ITZk++Oa7GQO3/Bd90ofqojosjFnwUl wqbxzxOZduXWCkd+Nn1ZsetM2wrMLy5nhla0nqm9pWM6GAkhlw/oq8EsC660FCx8 VB9oAPEjqrxM4r/58JjS1cH68yLN3D75tKiSAeehkcaMKQoHhY+u+Wbohr74uD07 s+pPLGnjMG6MJLlmSl0bCtD8BcDhUGuSZcnIBycf5AcCoD61mKCkwSkHHTjzZbA8 HbkHKe766uhmBQDmHyd2DCdv7iYKIMboVZfq0dv1wTY2BbEsCvo4FoWUhkIkRNdp na9T6SeVx3+Podp1JdKOFp9YTmZJnKbP1ue7KSdLZRquk8kY6qV38iNyakYNmU0L kxQ3S1zTdyyLA9squ6MEJlE2/9oALjDOmVianIrulc9F1cjDYef8K9zz0wARAQAB tDZOQVNLIE5JUlQgKE5BU0sgSW5jaWRlbnQgUmVzcG9uc2UgVGVhbSkgPG5pcnRA bmFzay5wbD6JAlQEEwEKAD4WIQToVbb1qF0GsBJmriiv9KfFy5Ib6gUCXGVoqQIb AwUJCWYBgAULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRCv9KfFy5Ib6qcVD/sE Dm4nR81ucDNc/ZiS7X2CglSYzSpO1+jiGQ+ew3ni0f7bYuVV+Gg+wlVRSY2nOqNk jB+zijlFNf0prTemJ+yyNeNy9J5iJJ3uqFiw9gG/LHXlP+gaadFKqCpuN+FPv0yb phm3kuK15yR9swCt9EHEeNe2R7BhZE4YM1gNxvY4raqpyFyyGwcP4WmzZs/pACPv ktsdExmiFzDvQPFNQBlo+pvF0JCFgJKdSn2zqpXY7lbv/kU+GwElQTB52us+SxN1 36tlMzfxmBxjcedJcip1IijcvAWYXmXne/PR9J/zSSblUI6FTu7ixLwQSy0yClUS J4zsVxVvF54HVflW59jWnq+PhAAMGyR1V4REhvUkC+wnmkxDSPmOk0G/ObJLip0L 5wDA6ejsOZfCVqwkXk0SjVmXvZXUppmT4B5EiHJW9nXawwX5ZWtjlViU4lRU1KMN pHwAFat2IM0irxNq2nZ8N7LS2ZmzO0KKZytCW6S4S0imKLs43w1sWDSLU6TiQeRe 1Oxp5V2rP8+EN2iUXEDDZEznfuQo4M3HbyLKh2FCR1ERG/UgTvuaqe1XOXrHU2XB nanctzNmsUL1ZKIqJmp/REJDrsb5vc8DVtqrDMpXBijcp25HgWoVlfmf1iwHTANa yUiSWIwLMXum2kimt/c7RvXUmAbmXfZjSB8uqq/l7bkCDQRcZWipARAArPn02eqs AjiFv7YWMPwBA1LVMjMSZYIM5p3+AQ4SFTnlklYCmB1pOKEkbrxkLLKvdpkfOEVr 85fuBoJqKdGUK54lscbaM4NoFK4GH96wsYfBcCe+ftLFkNtMfbsWo+TWOzPmn7YR 0HbnaqR5NhR7PLie5kRsgOXXAbyiAwojdcZnZ26asFhl/ul9S+t4pW2bx3QjPiIT sOnDCt4pQHk52gpryi6X3w/eOs7lFBvYkS869UoKQqeJ4e3/fFklraELCdbioGeM 9wx1TLZ/taoMBM9l9BFmgUn5BxRS6Y2jydcK/js3U1mQfkjA2hVa930D1mYBPzJf bimODerwnFewywz4lFsHxWuKOM6bzIP7V1dQ7/OLiUDOEgrliXvWzQPqJzgFz+w7 X7OUTE96sRlEuzfL5+OUj3IDmLEwFAX8jz9plZ+/9UtNaDgtyzrHHOYI/4S56fLq qBKKLZ0Hs+Ll5sbh3vcXUwF4AsZpsyrlLQzGw9A0KTKTjKaXiD3ltB7bFTpyWioS MGJos/kSyzkkE1WP7Q+5g3e1Lrb156M5U9lk8CO98MjS1pLaMxtmJdonwaX9Dodg TzPto5AoQaNG94kcSmRrnrWp2z/cFaRXMJnS2Mb4xffsISZMKbDjnomJCugdlG3D ONDCcRtHv+PI7u5Yw8oVjXGmiXEzGjLMXhkAEQEAAYkCPAQYAQoAJhYhBOhVtvWo XQawEmauKK/0p8XLkhvqBQJcZWipAhsMBQkJZgGAAAoJEK/0p8XLkhvqWA8P/A64 rJJqCkWcS8VBmeu25CKNiNnq7ziwF7dsr0WWy1TTKkkQuiIIvs8Pod4pvnJAhL4L b+JVWgK3PLDZRLfIM5WcQRXlFuNCKrcAJhbPHI9L84/RTrwpiR0p9JaahAo8Hppj EYXDEZEVDtvAkXyUxAWN1wo2vdlglNeiWIeBY8F5a110zg6V2fExZ0cnmjlo2Ru1 YZOed6vvqVXfJGiF94Lp2dSF8moZTP3nJ0SIhnJ4ZU6uylJaidMj2NXgBQpBYpA0 dwOlgI6iGlmTeTRtW8kh0mfK+26x/mxpzCVM5lSgXTYq4LjzpYywSut0l243tDyy JQ6t+mNyY4bTOEWjF1TznxET8QG/V9E8qlMw4H8U+3OM9q8c5CjLmZv/+dlEu0BQ JDZch4Z8U4amqrZJHhUpJqh4fA8Y4yRoK6OzCJ+TixxuXWRsbSaG3rq0gpO9PvpF DAc8ccbr/MH4fFHIWHBDCE6mxB9HrXVDAmNgBbnlRznm44Bx9VrohUSoITFSl7RA dna2U6AE+0qDITkEJoCi79rVD97gsLO13gh3+6AtQPgIQnHT5oExlG+paKEza6mc rZnZZSGd9N6sou00VpkUf7jn21U5J1CFJ+bm7JKMuSbcyYzQL7dFg7Lcux7wEWMa u9Wx4Cq5vM05tk4NLmBq+6fR8xpWjG/QJmi/ynXY =mg2T -----END PGP PUBLIC KEY BLOCK----- 2.9 Członkowie zespołu Piotr Bisialski is the NIRT coordinator. Zespół NIRT składa się z doświadczonych ekspertów w dziedzinie zagadnień cyberbezpieczeństwa. 2.10 Inne informacje Więcej informacji na temat zespołu NIRT można znaleźć na: https://www.nask.pl/pl/dzialalnosc/nauka-i-biznes/nask-incident-response/3985,NASK-Incident-Response-Team.html 2.11 Informacje kontaktowe dla Klientów Preferowaną metodą kontaktu z NIRT jest poczta elektroniczna pod adresem ; poczta elektroniczna wysłana na ten adres będzie prowadziła odpowiedzialnego człowieka lub zostanie automatycznie przekazana do odpowiedniej osoby odpowiedzialnej za obsłuigę incydentów. Jeśli potrzebujesz pilnej pomocy, wpisz "pilne" w temacie. Jeśli nie jest to możliwe (lub niewskazane ze względów bezpieczeństwa) aby skorzystać z poczty elektronicznej, prosże o kontakt telefoniczny we wskazanych godzinach pracy. Godziny opercyjne zepsołu NIRT (9:00-17:00 od poniedziałku do piatku) 3. Status 3.1 Misja Celem NIRT jest wspieranie klientów komercyjnych (zespoły SOC) i wewnętrznego SOC w NASK we wdrażaniu proaktywnych działań mających na celu zmniejszenie ryzyka wystąpienia incydentów związanych z bezpieczeństwem komputerowym oraz pomoc w skutecznym reagowaniu na takie incydenty, gdy one wystąpią. NIRT aktywnie uczestniczy w krajowym systemie bezpieczeństwa cybernetycznego w Polsce. 3.2 Grupa użytkowników Grupa uzytwkoników dla których NIRT świadczy usługi to instytucje z sektora prywatnego i publicznego. którzy podpisali umowę handlową na korzystanie z naszego systemu zarządzania incydentami, oraz wewnętrzny Działa Bepzieczeństwa NASK. Wykrywane przez zepsół NIRT zagrożenia w domenie TLD .pl sa przekazaywane do do krajowego zepsołu CSIRT NASK. 3.3 Sponsoring oazr afiliacje Zespół NIRT jest finansowo utrzymywany przez Naukową i Akademicką Sięć Komputerową, funkcjonując jako wewnętrzny zespół w strukturze organizacyjnej NASK. 3.4 Autorytet NIRT działa pod auspicjami i upoważnieniem kierownictwa Naukowej i Akademickiej Sieci Komputerowej. 4. Polityki 4.1 Typy incydentów oraz poziom wsparcia NIRT jest upoważniony do zajmowania się wszystkimi rodzajami komputerowych incydentów bezpieczeństwa, które mają miejsce lub mogą mieć miejsce w osłigianej grupie użytkowników. Poziom wsparcia udzielanego przez NIRT będzie się różnił w zależności od rodzaj i dotkliwość zdarzenia oraz dostępność członków zepsołu NIRT w daym czasie. 4.2 Współpraca, interakcja i ujawnianie informacji NIRT oświadcza, że wszystkie informacje związane z incydentami traktowany jest jako poufny. Żadne dane osobowe nie są wymieniane, chyba że za wyraźnym upoważnieniem. Wszystkie wrażliwe dane (takie jak dane osobowe, konfiguracje systemu, znane luki w ich lokalizacjach) są szyfrowane, jeśli muszą być przesyłane w niezabezpieczonym środowisku. Informacje przekazywane do NIRT mogą być przekazaywane do innych odpowiednich podmiotów w celu obsługi zgłosoznych incydentów takih jak CSIRT/CERT, ISP, firm hostingowych. 4.3 Komunikacja i uwierzytelnianie NIRT stosuje szyfrowanie PGP w celu zapewnienia poufnościi integralność komunikacji. Wszystkie wysyłane informacje wrażliwe powinny być szyfrowane. NIRT jest zobowiązany do przestrzegania przepisów i zasad obowiązujących w Polsce i Unii Europejskiej w sprawach dotyczących informacji wrażliwych. Wszelkie wiadomości e-mail powinny być oznaczone za pomocą standardów TLP. Dane o niskiej wrażliwości można wysyłać za pomocą niezaszyfrowanych wiadomości e-mail, jednak nie jest to uznawane za bezpieczne. Zalecane jest szyfrowanie PGP, szczególnie w przypadku poufnych danych. 5. Usługi 5.1 Odpowiedź na incydenty Dla incydentów występujących w grupie użytkowników, NIRT świadczy szeroki zakres usług, w tym: 5.1.1 Detekcja i analiza incydentów - Określanie autentyczności zdarzenia - Ustalenie zakresu incydentu (w tym potencjalnego wpływu na grupe Grupe Użytkowników NIRT) - Zbieranie dowodów oraz wskaźników kompromitacji - Analiza złośliwego oprogramowania - Inżynieria wsteczna 5.1.2 Koordyncja incydentów - Ustalenie pierwotnej przyczyny zdarzenia (podatność wykorzystana). - Kontakt z innymi stronami, które mogą być pomocne w niwelowaniu skutków incydentu. - Kontakt z właściwymi organami ścigania, w razie potrzeby - Wpsółpraca z innyi zepsołami CSIRT, jeśli dotyczy - Składanie ogłoszeń do klienta (członka okręgu wyborczego), jeśli dotyczy. - Tworzenie zaleceń dotyczących ulepszeń bezpieczeństwa dla administratorów systemu 5.1.3 Ocena i ewaluacja incydentów - Doradzanie lokalnym administratorom bepzieczeństwa w zakresie odpowiednich działań - Gromadzenie danych statystycznych o zdarzeniach w dotyczących obsługiwanej Grupy Użytkowników - Analiza zebranych dowodów i przygotowywanie niezbędnych zaleceń 5.2 Prewencja - Zwiększanie świadomości o aktualnych cyber zagrożeniach bezpieczeństwa w ramach obsługiwanej Grupy Użytkowników - Tworzenie i dystrybucja raportów dla w obsługiwanej Grupy Użytkowników w oparciu o własne źródła informacji. 6. Raportowanie incydentów bepzieczeństwa NIRT nie posiada specjalnego formularza zgłaszani incydentów. Incydenty bezpieczeństwa powinny być raportowane za pośrednictwem poczty szyfrowanej na adres nirt@nask.pl 7. Zastrzeżenia Zastrzega się, że pomimo że wszelkie dostępne środki ostrożności zostaną powzięte podczas przygotowania informacji, notyfikacji oraz alarmów bezpieczeństwa, NIRT nie ponosi odpowiedzialności za błędy, pominięcia oraz szkody wynikające z informacji w nich zawartych.