Læs FAQ om GovCERT - Forsvarets Efterretningstjeneste

9. april 2013
Dokumentnr.:
CKG
Ofte stillede spørgsmål om GovCERT’s serviceydelser og sensornetværk
Indhold:
1. Organisation.....................................................................................................................................2
2. Serviceydelser ..................................................................................................................................3
3. Teknik ...............................................................................................................................................6
4. Gældende regler ..............................................................................................................................9
1/9

1. Organisation
Hvem er GovCERT?
GovCERT er en varslingstjeneste for internettrusler, der registrerer sikkerhedstilstanden på den statslige del
af internettet og identificerer cyberangreb rettet mod myndigheder. GovCERT er det nationale
kontaktpunkt vedrørende internetrelaterede sikkerhedshændelser på den statslige del af internettet for de
nationale og internationale aktører og partnere.
Ved at levere oplysninger om konkrete trusler til denne målgruppe bidrager GovCERT til at forebygge
cyberangreb.
Hvordan er GovCERT organiseret?
GovCERT er en del af Center for Cybersikkerhed. Center for Cybersikkerhed er en del af Forsvarets
Efterretningstjeneste under Forsvarsministeriet. Chefen for centret refererer til chefen for Forsvarets
Efterretningstjeneste. Center for Cybersikkerhed består af cirka 50 medarbejdere fordelt på tre afdelinger
og syv sektioner.
2/9

2. Serviceydelser
Hvilke serviceydelser og tjenester kan GovCERT tilbyde min organisation?
GovCERT bidrager til, at du som kunde har det bedst mulige grundlag for at håndtere sikkerhedsrisici i dit
netværk og dine tjenester og understøtter dermed din mulighed for at:
• Reagere hurtigt på internetbaserede trusler mod informationssikkerheden
• Hurtigere imødegå konsekvenserne af elektroniske angreb
• Foretage kvalificerede vurderinger af risici og beskyttelsesbehov.
GovCERT tilbyder en række tjenester og serviceydelser, der kan være med til at beskytte væsentlige dele af
din it-infrastruktur:
• Varsling: GovCERT udsender varsler om pågående relevante sikkerhedshændelser. Indholdet kan
være af ren teknisk karakter eller have karakter af mere generel information og oplysning.
Varslerne baseres primært på informationer fra GovCERT’s sensornetværk og lukkede kilder.
• Tilslutning til sensornetværk: Hvis din organisation er tilsluttet sensornetværket, analyserer
GovCERT kontinuerligt jeres internettrafik for at finde mønstre, der indikerer tegn på ondsindet
aktivitet. Til det formål benyttes information om angrebsmønstre fra lukkede kilder, partnere,
efterretningstjenester og egne analyser. GovCERT leverer til dette formål en sensor til installation
hos din organisation.
• Bistand til håndtering af hændelser: Hvis din organisation er udsat for en internetrelateret
hændelse, kan du henvende dig til GovCERT, som derefter vil vurdere omfanget af den bistand, der
kan tilbydes. Dette afhænger blandt andet af GovCERT’s aktuelle ressourcesituation, risikoen for
flere parallelle hændelser samt den generelle væsentlighed og risikovurdering.
• Situationsbilleder: GovCERT opbygger og vedligeholder kvartalsmæssigt et situationsbillede af
udviklingen i truslerne på internettet på baggrund af data fra åbne kilder, lukkede kilder og
sensornettet. Situationsbilledet kan bidrage til dit eget specifikke risikobillede. Det er en
forudsætning for kvaliteten af GovCERT’s situationsbillede, at din organisation bidrager med
information om relevante sikkerhedsmæssige hændelser i jeres it-systemer.
Hvad er GovCERT’s sensornetværk, og hvad bruges det til?
GovCERT’s sensornetværk består af en række elektroniske alarmenheder (sensorer) placeret hos GovCERT’s
kunder. Sensornetværket bruges til at indsamle, registrere, analysere og opbevare data samt alarmere ved
sikkerhedshændelser. Dele af den opsamlede data samt alle alarmer fra sensoren bliver overført til
GovCERT’s centrale og særskilte netværk, hvor det bliver analyseret af GovCERT.
Hvem kan blive kunde hos GovCERT?
Det kan alle offentlige institutioner, kommuner, regioner og til en vis udstrækning private virksomheder,
der beskæftiger sig med kritisk infrastruktur.
Hvilke typer informationer vil min organisation modtage fra GovCERT?
• Målrettede informationer, som er genereret på baggrund af observationer i din egen hardware
3/9

• Generelle informationer, som er genereret på baggrund af observationer i det samlede
kundegrundlag
• Informationer af generel og individuel karakter, som er genereret på baggrund af en kombination af
individuelle og fælles observationer hos alle kunder, for eksempel i forbindelse med et varsel.
Følger der rådgivning, vejledning og anbefalinger til konkrete handlinger for den enkelte kunde,
på baggrund af de indsamlede informationer?
Ja, det vil der gøre i nogle tilfælde, som ofte er bestemt af hændelsens natur. For eksempel kan GovCERT
bistå med informationer og rådgivning i forhold til hændelseshåndtering, hvis der tale om et målrettet
angreb.
Er det Center for Cybersikkerheds rolle at forhindre eller opklare forbrydelser?
GovCERT ved Center for Cybersikkerhed er en varslingstjeneste for internettrusler, der registrerer
sikkerhedstilstanden på internettet og identificerer cyberangreb rettet mod sine kunder. De ydelser, som
GovCERT tilbyder, er en del af en samlet sikkerhedsstrategi for jeres organisation og et element til sikring
på lige fod med andre sikkerhedsforanstaltninger, såsom firewalls og antivirus.
Center for Cybersikkerheds primære rolle er at forhindre cyberhændelser og -angreb. Det er politiets
opgave at efterforske og retsforfølge eventuelle kriminelle handlinger. Ved kriminelle handlinger kan
Center for Cybersikkerhed bistå med udlevering af bevismateriale til politiet.
Udgør GovCERT en varslingstjeneste mod både interne og eksterne trusler, og vil den interne
trafik også blive scannet?
Det afhænger af sensorens placering. Placeres sensoren på ydersiden af firewall’en, vil det primært være
angreb mod organisationens yderside, der bliver registeret.
Hvordan tilkobles GovCERT’s sensornet til min organisations eksisterende infrastruktur?
Formålet med GovCERT’s sensor er at analysere trafikken til og fra jeres organisation via internettet.
Sensoren placeres derfor mellem jeres firewall og endepunktet af jeres internetforbindelse fra den valgte
internetudbyder (ISP). Det gør det muligt at opsamle den samlede trafik til og fra internettet, uanset
konfigurationen af firewallen, dvs. uden de begrænsninger på internettrafikken, som I måtte have valgt.
Placeringen af sensoren efter ISP’ens endepunkt vil desuden gøre det muligt at vurdere, om indgreb udført
af jeres valgte ISP, f.eks. i forbindelse med et Denial-of-Service (DoS) angreb, har den ønskede effekt. Et
sådant indgreb vil blive udført i udstyr, som er styret og kontrolleret af ISP’en.
Ønsker I, at sensoren er placeret før eventuelt endepunktsudstyr, skal dette godkendes af jeres ISP, da det
vil kræve en ændring i ISP’ens fysiske setup.
Der er to muligheder for at overføre data mellem jeres organisation og GovCERT via sensoren:
1. Via den eksisterende internetforbindelse, men på ydersiden af jeres firewall
2. Via en dedikeret DSL linje (out-of-band).
4/9

GovCERT anbefaler, at kunden vælger at benytte sin eksisterende linje, idet en dedikeret DSL linje ofte ikke
har nok kapacitet, med mindre der vælges en DSL linje med kapacitet 10/10 Mbit eller derover.
Fælles for begge typer af opkoblinger er, at data vil blive sendt via en krypteret VPN forbindelse. Desuden
vil forbindelsen kun blive anvendt til at håndtere en VPN forbindelse mellem GovCERT og sensoren. Derfor
vil der ikke være adgang til internettet fra sensoren gennem VPN forbindelsen eller direkte via DSL
forbindelsen. Al opdatering af sensor vil ske direkte fra GovCERT’s administrations netværk (gennem VPN
forbindelsen).
5/9

3. Teknik
Hvad er de tekniske forudsætninger for installation af sensoren?
I skal selv sørge for at have de tekniske forudsætninger på plads, før en installation af sensoren
kan påbegyndes, herunder plads i racks, strømudtag og internet forbindelse. Se vores datablad på
hjemmesiden for mere information.
Hvilke informationer er nødvendige, før en installation af sensoren kan påbegyndes?
I skal sørge for have undersøgt hvilken type tilkobling der skal lyttes på og hvilken type fiber, og
hvad hastigheden er på den internetforbindelse der skal overvåges. For mere information se vores
datablad på hjemmesiden.
Hvilke anbefalinger har GovCERT i forhold til udstyret?
GovCERT anbefaler en tilslutning via den eksisterende internetforbindelse. Derved sikrer man, at
hastigheden er tilstrækkelig på linjen.
Kan min organisation selv overvåge udstyret og sensoren?
Nej, sensoren og det tilhørende udstyr er Center for Cybersikkerheds ejendom og må udelukkende
håndteres af centrets ansatte.
Har sensoren negativ påvirkning af hastigheden i infrastrukturen?
Nej, GovCERT’s sensor har ingen påvirkning på hastigheden.
Hvad sker der med den trafik, som går gennem GovCERT’s sensorer?
GovCERT’s sensorer benytter Deep Packet Inspection-teknologi (DPI) til at undersøge og analysere
pakkedata, som passerer gennem sensoren. DPI er en form for computernetværks pakkefiltrering, der
undersøger alle datadele af en datapakke, når den passerer et kontrolpunkt (i dette tilfælde sensoren) og
undersøger dataene for mønstre, der eventuelt kan udløse en alarm.
Hvor i min organisations infrastruktur skal hardware opstilles ved tilslutning til GovCERT’s
sensornet?
GovCERT har mulighed for at tilslutte sensoren både via fiber og kobber. Til at duplikere trafikken til
sensoren benyttes en tap. Denne tap placeres på det kabel, der lyttes på, og duplikerer trafikken ud på en
monitoreringsport. Designet af tap'en er afhængigt af det medie, der lyttes på. Det er derfor vigtigt at
identificere det anvendte medie og tilslutning inden installationen.
Ved kobber-tilslutning skal den tap, som anvendes, være tilsluttet forsyningsnettet (220V), dvs. at den
indeholder aktive komponenter. Ved fibertilslutning foretages en passiv tilslutning uden aktive
komponenter eller tilslutning til forsyningsnettet.
Fælles for begge typer af taps gælder, at de ikke vil forhindre trafik ved tilfælde af fejl eller nedbrud,
medmindre tappen fysisk bliver ødelagt.
6/9

Det er også muligt at tilslutte sensoren til en monitor/span port i en switch. Denne type af tilslutning kan
GovCERT ikke umiddelbart anbefale. Årsagen er, at man potentielt kan miste trafik, og hermed data, da den
pågældende span port kan modtage mere trafik, end den har kapacitet til. Et eksempel kan være, at span
porten har en kapacitet på 100 Mbit, men der spejles trafik fra flere 100 Mbit porte, hvilket overstiger span
portens kapacitet med det resultat, at der mistes trafik.
GovCERT anbefaler en tilslutning via den eksisterende internet forbindelse.
Figur 1: Placering af sensor uden DSL forbindelse
Figur 1 viser den anbefalede opsætningen af sensor uden en ekstern DSL linje. I konfigurationen forbindes
ydersiden af GovCERT’s firewall til router/switch på internetforbindelsen fra ISP, dvs. på ydersiden af
kundens firewall.
Figur 2: Opsætning fa sensor med DSL linje
Figur 2 viser opsætningen af sensoren med en ekstern DSL linje, hvorigennem en tunnel opretholdes til
GovCERT mellem GovCERT’s centrale firewall og en GovCERT firewall, der er placeret hos kunden. Den
GovCERT firewall, der placeres hos kunden, har en ’drop-all policy’ på ydersiden. Den eksterne DSL linje skal
7/9

som minimum være en 10/10 Mbit linje, dvs. 10 Mbit upload hhv. download.
Hvad med redundante internetforbindelser?
Som udgangspunkt lytter GovCERT’s sensor udelukkende på én linje. Det kan være en udfordring i
forbindelse med redundante linjer, hvis der er tale om to aktive linjer (eventuelt i forbindelse med load
balancing). GovCERT har dog mulighed for at overvåge to forbindelser efter specifik aftale.
8/9

4. Gældende regler
Hvem ejer sensoren og dens data?
GovCERT ejer sensoren og de relevante data. Mens data passerer gennem sensoren, bliver alt ind- og
udgående pakke- og trafikdata opsamlet i forbindelse med analysen. Pakkedata må dog kun analyseres ved
begrundet mistanke om en stedfunden eller forventet sikkerhedshændelse, og kun i det omfang det er
nødvendigt for at gennemføre den pågældende analyse.
Uanset formålet med behandlingen gælder følgende:
1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, må højst opbevares i 3 år
2) Pakkedata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 14 dage og under
normale omstændigheder kun i 6 dage
3) Trafikdata, der ikke knytter sig til en sikkerhedshændelse, må højst opbevares i 12 måneder.
Fristerne regnes fra tidspunktet for registreringen af de pågældende data i den statslige varslingstjeneste.
Alle ansatte i Center for Cybersikkerhed har tavshedspligt.
Data, der behandles som led i den statslige varslingstjenestes aktiviteter, kan kun videregives i følgende
tilfælde:
1) Pakke- og trafikdata, der knytter sig til en sikkerhedshændelse, kan videregives til politiet
2) Pakkedata, der knytter sig til en sikkerhedshændelse, kan videregives til MilCERT, hvor GovCERT
skønner det nødvendigt, for at beskytte nationale digitale infrastrukturer mod sikkerhedsmæssige
trusler
3) Trafikdata kan, hvor dette er nødvendigt i henhold til varslingstjenestens formål og aktiviteter,
videregives til danske myndigheder, tilsluttede private virksomheder og tilsvarende
varslingstjenester i andre lande.
9/9