Læs FAQ om GovCERT - Forsvarets Efterretningstjeneste
Læs FAQ om GovCERT - Forsvarets Efterretningstjeneste
Læs FAQ om GovCERT - Forsvarets Efterretningstjeneste
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
9. april 2013<br />
Dokumentnr.:<br />
CKG<br />
Ofte stillede spørgsmål <strong>om</strong> <strong>GovCERT</strong>’s serviceydelser og sensornetværk<br />
Indhold:<br />
1. Organisation.....................................................................................................................................2<br />
2. Serviceydelser ..................................................................................................................................3<br />
3. Teknik ...............................................................................................................................................6<br />
4. Gældende regler ..............................................................................................................................9<br />
1/9
1. Organisation<br />
Hvem er <strong>GovCERT</strong>?<br />
<strong>GovCERT</strong> er en varslingstjeneste for internettrusler, der registrerer sikkerhedstilstanden på den statslige del<br />
af internettet og identificerer cyberangreb rettet mod myndigheder. <strong>GovCERT</strong> er det nationale<br />
kontaktpunkt vedrørende internetrelaterede sikkerhedshændelser på den statslige del af internettet for de<br />
nationale og internationale aktører og partnere.<br />
Ved at levere oplysninger <strong>om</strong> konkrete trusler til denne målgruppe bidrager <strong>GovCERT</strong> til at forebygge<br />
cyberangreb.<br />
Hvordan er <strong>GovCERT</strong> organiseret?<br />
<strong>GovCERT</strong> er en del af Center for Cybersikkerhed. Center for Cybersikkerhed er en del af <strong>Forsvarets</strong><br />
<strong>Efterretningstjeneste</strong> under Forsvarsministeriet. Chefen for centret refererer til chefen for <strong>Forsvarets</strong><br />
<strong>Efterretningstjeneste</strong>. Center for Cybersikkerhed består af cirka 50 medarbejdere fordelt på tre afdelinger<br />
og syv sektioner.<br />
2/9
2. Serviceydelser<br />
Hvilke serviceydelser og tjenester kan <strong>GovCERT</strong> tilbyde min organisation?<br />
<strong>GovCERT</strong> bidrager til, at du s<strong>om</strong> kunde har det bedst mulige grundlag for at håndtere sikkerhedsrisici i dit<br />
netværk og dine tjenester og understøtter dermed din mulighed for at:<br />
• Reagere hurtigt på internetbaserede trusler mod informationssikkerheden<br />
• Hurtigere imødegå konsekvenserne af elektroniske angreb<br />
• Foretage kvalificerede vurderinger af risici og beskyttelsesbehov.<br />
<strong>GovCERT</strong> tilbyder en række tjenester og serviceydelser, der kan være med til at beskytte væsentlige dele af<br />
din it-infrastruktur:<br />
• Varsling: <strong>GovCERT</strong> udsender varsler <strong>om</strong> pågående relevante sikkerhedshændelser. Indholdet kan<br />
være af ren teknisk karakter eller have karakter af mere generel information og oplysning.<br />
Varslerne baseres primært på informationer fra <strong>GovCERT</strong>’s sensornetværk og lukkede kilder.<br />
• Tilslutning til sensornetværk: Hvis din organisation er tilsluttet sensornetværket, analyserer<br />
<strong>GovCERT</strong> kontinuerligt jeres internettrafik for at finde mønstre, der indikerer tegn på ondsindet<br />
aktivitet. Til det formål benyttes information <strong>om</strong> angrebsmønstre fra lukkede kilder, partnere,<br />
efterretningstjenester og egne analyser. <strong>GovCERT</strong> leverer til dette formål en sensor til installation<br />
hos din organisation.<br />
• Bistand til håndtering af hændelser: Hvis din organisation er udsat for en internetrelateret<br />
hændelse, kan du henvende dig til <strong>GovCERT</strong>, s<strong>om</strong> derefter vil vurdere <strong>om</strong>fanget af den bistand, der<br />
kan tilbydes. Dette afhænger blandt andet af <strong>GovCERT</strong>’s aktuelle ressourcesituation, risikoen for<br />
flere parallelle hændelser samt den generelle væsentlighed og risikovurdering.<br />
• Situationsbilleder: <strong>GovCERT</strong> opbygger og vedligeholder kvartalsmæssigt et situationsbillede af<br />
udviklingen i truslerne på internettet på baggrund af data fra åbne kilder, lukkede kilder og<br />
sensornettet. Situationsbilledet kan bidrage til dit eget specifikke risikobillede. Det er en<br />
forudsætning for kvaliteten af <strong>GovCERT</strong>’s situationsbillede, at din organisation bidrager med<br />
information <strong>om</strong> relevante sikkerhedsmæssige hændelser i jeres it-systemer.<br />
Hvad er <strong>GovCERT</strong>’s sensornetværk, og hvad bruges det til?<br />
<strong>GovCERT</strong>’s sensornetværk består af en række elektroniske alarmenheder (sensorer) placeret hos <strong>GovCERT</strong>’s<br />
kunder. Sensornetværket bruges til at indsamle, registrere, analysere og opbevare data samt alarmere ved<br />
sikkerhedshændelser. Dele af den opsamlede data samt alle alarmer fra sensoren bliver overført til<br />
<strong>GovCERT</strong>’s centrale og særskilte netværk, hvor det bliver analyseret af <strong>GovCERT</strong>.<br />
Hvem kan blive kunde hos <strong>GovCERT</strong>?<br />
Det kan alle offentlige institutioner, k<strong>om</strong>muner, regioner og til en vis udstrækning private virks<strong>om</strong>heder,<br />
der beskæftiger sig med kritisk infrastruktur.<br />
Hvilke typer informationer vil min organisation modtage fra <strong>GovCERT</strong>?<br />
• Målrettede informationer, s<strong>om</strong> er genereret på baggrund af observationer i din egen hardware<br />
3/9
• Generelle informationer, s<strong>om</strong> er genereret på baggrund af observationer i det samlede<br />
kundegrundlag<br />
• Informationer af generel og individuel karakter, s<strong>om</strong> er genereret på baggrund af en k<strong>om</strong>bination af<br />
individuelle og fælles observationer hos alle kunder, for eksempel i forbindelse med et varsel.<br />
Følger der rådgivning, vejledning og anbefalinger til konkrete handlinger for den enkelte kunde,<br />
på baggrund af de indsamlede informationer?<br />
Ja, det vil der gøre i nogle tilfælde, s<strong>om</strong> ofte er bestemt af hændelsens natur. For eksempel kan <strong>GovCERT</strong><br />
bistå med informationer og rådgivning i forhold til hændelseshåndtering, hvis der tale <strong>om</strong> et målrettet<br />
angreb.<br />
Er det Center for Cybersikkerheds rolle at forhindre eller opklare forbrydelser?<br />
<strong>GovCERT</strong> ved Center for Cybersikkerhed er en varslingstjeneste for internettrusler, der registrerer<br />
sikkerhedstilstanden på internettet og identificerer cyberangreb rettet mod sine kunder. De ydelser, s<strong>om</strong><br />
<strong>GovCERT</strong> tilbyder, er en del af en samlet sikkerhedsstrategi for jeres organisation og et element til sikring<br />
på lige fod med andre sikkerhedsforanstaltninger, sås<strong>om</strong> firewalls og antivirus.<br />
Center for Cybersikkerheds primære rolle er at forhindre cyberhændelser og -angreb. Det er politiets<br />
opgave at efterforske og retsforfølge eventuelle kriminelle handlinger. Ved kriminelle handlinger kan<br />
Center for Cybersikkerhed bistå med udlevering af bevismateriale til politiet.<br />
Udgør <strong>GovCERT</strong> en varslingstjeneste mod både interne og eksterne trusler, og vil den interne<br />
trafik også blive scannet?<br />
Det afhænger af sensorens placering. Placeres sensoren på ydersiden af firewall’en, vil det primært være<br />
angreb mod organisationens yderside, der bliver registeret.<br />
Hvordan tilkobles <strong>GovCERT</strong>’s sensornet til min organisations eksisterende infrastruktur?<br />
Formålet med <strong>GovCERT</strong>’s sensor er at analysere trafikken til og fra jeres organisation via internettet.<br />
Sensoren placeres derfor mellem jeres firewall og endepunktet af jeres internetforbindelse fra den valgte<br />
internetudbyder (ISP). Det gør det muligt at opsamle den samlede trafik til og fra internettet, uanset<br />
konfigurationen af firewallen, dvs. uden de begrænsninger på internettrafikken, s<strong>om</strong> I måtte have valgt.<br />
Placeringen af sensoren efter ISP’ens endepunkt vil desuden gøre det muligt at vurdere, <strong>om</strong> indgreb udført<br />
af jeres valgte ISP, f.eks. i forbindelse med et Denial-of-Service (DoS) angreb, har den ønskede effekt. Et<br />
sådant indgreb vil blive udført i udstyr, s<strong>om</strong> er styret og kontrolleret af ISP’en.<br />
Ønsker I, at sensoren er placeret før eventuelt endepunktsudstyr, skal dette godkendes af jeres ISP, da det<br />
vil kræve en ændring i ISP’ens fysiske setup.<br />
Der er to muligheder for at overføre data mellem jeres organisation og <strong>GovCERT</strong> via sensoren:<br />
1. Via den eksisterende internetforbindelse, men på ydersiden af jeres firewall<br />
2. Via en dedikeret DSL linje (out-of-band).<br />
4/9
<strong>GovCERT</strong> anbefaler, at kunden vælger at benytte sin eksisterende linje, idet en dedikeret DSL linje ofte ikke<br />
har nok kapacitet, med mindre der vælges en DSL linje med kapacitet 10/10 Mbit eller derover.<br />
Fælles for begge typer af opkoblinger er, at data vil blive sendt via en krypteret VPN forbindelse. Desuden<br />
vil forbindelsen kun blive anvendt til at håndtere en VPN forbindelse mellem <strong>GovCERT</strong> og sensoren. Derfor<br />
vil der ikke være adgang til internettet fra sensoren gennem VPN forbindelsen eller direkte via DSL<br />
forbindelsen. Al opdatering af sensor vil ske direkte fra <strong>GovCERT</strong>’s administrations netværk (gennem VPN<br />
forbindelsen).<br />
5/9
3. Teknik<br />
Hvad er de tekniske forudsætninger for installation af sensoren?<br />
I skal selv sørge for at have de tekniske forudsætninger på plads, før en installation af sensoren<br />
kan påbegyndes, herunder plads i racks, strømudtag og internet forbindelse. Se vores datablad på<br />
hjemmesiden for mere information.<br />
Hvilke informationer er nødvendige, før en installation af sensoren kan påbegyndes?<br />
I skal sørge for have undersøgt hvilken type tilkobling der skal lyttes på og hvilken type fiber, og<br />
hvad hastigheden er på den internetforbindelse der skal overvåges. For mere information se vores<br />
datablad på hjemmesiden.<br />
Hvilke anbefalinger har <strong>GovCERT</strong> i forhold til udstyret?<br />
<strong>GovCERT</strong> anbefaler en tilslutning via den eksisterende internetforbindelse. Derved sikrer man, at<br />
hastigheden er tilstrækkelig på linjen.<br />
Kan min organisation selv overvåge udstyret og sensoren?<br />
Nej, sensoren og det tilhørende udstyr er Center for Cybersikkerheds ejend<strong>om</strong> og må udelukkende<br />
håndteres af centrets ansatte.<br />
Har sensoren negativ påvirkning af hastigheden i infrastrukturen?<br />
Nej, <strong>GovCERT</strong>’s sensor har ingen påvirkning på hastigheden.<br />
Hvad sker der med den trafik, s<strong>om</strong> går gennem <strong>GovCERT</strong>’s sensorer?<br />
<strong>GovCERT</strong>’s sensorer benytter Deep Packet Inspection-teknologi (DPI) til at undersøge og analysere<br />
pakkedata, s<strong>om</strong> passerer gennem sensoren. DPI er en form for c<strong>om</strong>puternetværks pakkefiltrering, der<br />
undersøger alle datadele af en datapakke, når den passerer et kontrolpunkt (i dette tilfælde sensoren) og<br />
undersøger dataene for mønstre, der eventuelt kan udløse en alarm.<br />
Hvor i min organisations infrastruktur skal hardware opstilles ved tilslutning til <strong>GovCERT</strong>’s<br />
sensornet?<br />
<strong>GovCERT</strong> har mulighed for at tilslutte sensoren både via fiber og kobber. Til at duplikere trafikken til<br />
sensoren benyttes en tap. Denne tap placeres på det kabel, der lyttes på, og duplikerer trafikken ud på en<br />
monitoreringsport. Designet af tap'en er afhængigt af det medie, der lyttes på. Det er derfor vigtigt at<br />
identificere det anvendte medie og tilslutning inden installationen.<br />
Ved kobber-tilslutning skal den tap, s<strong>om</strong> anvendes, være tilsluttet forsyningsnettet (220V), dvs. at den<br />
indeholder aktive k<strong>om</strong>ponenter. Ved fibertilslutning foretages en passiv tilslutning uden aktive<br />
k<strong>om</strong>ponenter eller tilslutning til forsyningsnettet.<br />
Fælles for begge typer af taps gælder, at de ikke vil forhindre trafik ved tilfælde af fejl eller nedbrud,<br />
medmindre tappen fysisk bliver ødelagt.<br />
6/9
Det er også muligt at tilslutte sensoren til en monitor/span port i en switch. Denne type af tilslutning kan<br />
<strong>GovCERT</strong> ikke umiddelbart anbefale. Årsagen er, at man potentielt kan miste trafik, og hermed data, da den<br />
pågældende span port kan modtage mere trafik, end den har kapacitet til. Et eksempel kan være, at span<br />
porten har en kapacitet på 100 Mbit, men der spejles trafik fra flere 100 Mbit porte, hvilket overstiger span<br />
portens kapacitet med det resultat, at der mistes trafik.<br />
<strong>GovCERT</strong> anbefaler en tilslutning via den eksisterende internet forbindelse.<br />
Figur 1: Placering af sensor uden DSL forbindelse<br />
Figur 1 viser den anbefalede opsætningen af sensor uden en ekstern DSL linje. I konfigurationen forbindes<br />
ydersiden af <strong>GovCERT</strong>’s firewall til router/switch på internetforbindelsen fra ISP, dvs. på ydersiden af<br />
kundens firewall.<br />
Figur 2: Opsætning fa sensor med DSL linje<br />
Figur 2 viser opsætningen af sensoren med en ekstern DSL linje, hvorigennem en tunnel opretholdes til<br />
<strong>GovCERT</strong> mellem <strong>GovCERT</strong>’s centrale firewall og en <strong>GovCERT</strong> firewall, der er placeret hos kunden. Den<br />
<strong>GovCERT</strong> firewall, der placeres hos kunden, har en ’drop-all policy’ på ydersiden. Den eksterne DSL linje skal<br />
7/9
s<strong>om</strong> minimum være en 10/10 Mbit linje, dvs. 10 Mbit upload hhv. download.<br />
Hvad med redundante internetforbindelser?<br />
S<strong>om</strong> udgangspunkt lytter <strong>GovCERT</strong>’s sensor udelukkende på én linje. Det kan være en udfordring i<br />
forbindelse med redundante linjer, hvis der er tale <strong>om</strong> to aktive linjer (eventuelt i forbindelse med load<br />
balancing). <strong>GovCERT</strong> har dog mulighed for at overvåge to forbindelser efter specifik aftale.<br />
8/9
4. Gældende regler<br />
Hvem ejer sensoren og dens data?<br />
<strong>GovCERT</strong> ejer sensoren og de relevante data. Mens data passerer gennem sensoren, bliver alt ind- og<br />
udgående pakke- og trafikdata opsamlet i forbindelse med analysen. Pakkedata må dog kun analyseres ved<br />
begrundet mistanke <strong>om</strong> en stedfunden eller forventet sikkerhedshændelse, og kun i det <strong>om</strong>fang det er<br />
nødvendigt for at gennemføre den pågældende analyse.<br />
Uanset formålet med behandlingen gælder følgende:<br />
1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, må højst opbevares i 3 år<br />
2) Pakkedata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 14 dage og under<br />
normale <strong>om</strong>stændigheder kun i 6 dage<br />
3) Trafikdata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 12 måneder.<br />
Fristerne regnes fra tidspunktet for registreringen af de pågældende data i den statslige varslingstjeneste.<br />
Alle ansatte i Center for Cybersikkerhed har tavshedspligt.<br />
Data, der behandles s<strong>om</strong> led i den statslige varslingstjenestes aktiviteter, kan kun videregives i følgende<br />
tilfælde:<br />
1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, kan videregives til politiet<br />
2) Pakkedata, der knytter sig til en sikkerhedshændelse, kan videregives til MilCERT, hvor <strong>GovCERT</strong><br />
skønner det nødvendigt, for at beskytte nationale digitale infrastrukturer mod sikkerhedsmæssige<br />
trusler<br />
3) Trafikdata kan, hvor dette er nødvendigt i henhold til varslingstjenestens formål og aktiviteter,<br />
videregives til danske myndigheder, tilsluttede private virks<strong>om</strong>heder og tilsvarende<br />
varslingstjenester i andre lande.<br />
9/9