D.U.K - Nacionalinė incidentų valdymo sistema (NIVS)

Subjektas

Fizinis asmuo arba juridinis asmuo, įsteigtas ir tokiu pripažintas pagal jo įsteigimo vietos nacionalinę teisę, kurie, veikdami savo vardu, naudojasi teisėmis ir kuriems gali būti taikomos pareigos.

Kibernetinio saugumo subjektas

Subjektas, registruotas Kibernetinio saugumo informacinėje sistemoje.

Kibernetinis incidentas

Įvykis, dėl kurio kyla pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui.

Vos neįvykęs kibernetinis incidentas

Įvykis, dėl kurio galėjo būti sukeltas pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui, bet kuriam įvykti buvo sėkmingai užkirstas kelias arba kuris neįvyko

Nacionalinė kibernetinio saugumo strategija

Nuosekli sistema, apimanti nustatytus Lietuvos Respublikos kibernetinio saugumo srities strateginius tikslus ir prioritetus ir jų įgyvendinimo valdymą.

Tinklų ir informacinė sistema

Elektroninių ryšių tinklas, bet koks prietaisas arba tarpusavyje sujungtų arba susijusių prietaisų, iš kurių vienas ar daugiau pagal programą automatiškai apdoroja skaitmeninius duomenis, grupė arba skaitmeniniai duomenys, saugomi, tvarkomi, atkuriami arba perduodami nurodytomis priemonėmis jų valdymo, naudojimo, apsaugos ir priežiūros tikslais.

Tinklų ir informacinės sistemos spraga

Tinklų ir informacinės sistemos trūkumas, įskaitant informacinių ir ryšių technologijų produktų arba informacinių ir ryšių technologijų paslaugų trūkumus, dėl kurio gali įvykti kibernetinis incidentas ar kuriuo gali būti pasinaudota kibernetinei grėsmei kelti.

Šios ir kitos kibernetinio saugumo srities sąvokos nurodytos atnaujinto Kibernetinio saugumo įstatymo 2 straipsnyje. Kitos šiame įstatyme naudojamos sąvokos apibrėžtos įstatyme nurodytuose kituose Europos Sąjungos teisės aktuose ir Lietuvos įstatymuose.

Žemiau pateikiami pagrindiniai teisės aktai ir dokumentai, nustatantys kibernetinio saugumo užtikrinimo, incidentų valdymo ir informacinių sistemų apsaugos reikalavimus, taip pat KSIS ir NIVS veikimą bei kibernetinio saugumo reikalavimų taikymą.

• Lietuvos Respublikos kibernetinio saugumo įstatymas
• Kibernetinio saugumo reikalavimų aprašas
• Nacionalinis kibernetinių incidentų valdymo planas
• KSIS nuostatai

Daugiau aktualių teisės aktų ir susijusios informacijos rasite NKSC svetainės skiltyje Aktualu

Kibernetinio incidento sąvoka apibrėžta KSĮ 2 straipsnio 14 punkte: įvykis, dėl kurio kyla pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui.

Svarbu paminėti, kad SIEM, antivirusinės PĮ, IDS/IPS ar kitų saugumo priemonių pranešimai savaime nėra laikomi kibernetiniais incidentais. Taigi, apie automatizuotomis priemonėmis sulaikytas el. pašto šiukšles, ugniasienės blokuotus paketus ir pan. informacijos teikti nereikia.

Pranešti būtina apie nedidelius ir didelius kibernetinius incidentus. Žemiau pateiktame paveikslėlyje matyti terminai ir privalomos ataskaitos.

Didelio kibernetinio incidento sąvoka pateikta KSĮ 18 straipsnio 2 punkte. Kibernetiniai incidentai, netenkinantys didelio kibernetinio incidento kriterijų yra laikomi nedideliais.

KSĮ 2 straipsnio 26 punkte nurodyta sąvoka - vos neįvykęs kibernetinis incidentas. Apie vos neįvykusius kibernetinius incidentus pranešti neprivaloma.

Apibendrintai:

• Didelis: Ankstyvasis perspėjimas > Pranešimas apie incidentą > Galutinė ataskaita (taip pat atsižvelgiant į sudėtingumą gali būti prašoma Tarpinių ataskaitų, o incidentui vykstant ilgą laiką - teikiamos Pažangos ataskaitos)
• Nedidelis: Pranešimas apie incidentą > Galutinė ataskaita

Teikiant kibernetinio incidento galutinę ataskaitą reikia atsakyti į klausimus:

• Dėl kokių priežasčių įvyko incidentas?
• Koks įvykusio incidento poveikis?
• Kokie veiksmai buvo atlikti incidento valdymo metu?
• Kokie veiksmai buvo atlikti, kad incidentas nepasikartotų

Informaciją pasistenkite pateikti trumpai ir aiškiai.

Situacijų pavyzdžiai

1. Naudotojui naršant internete suveikė antivirusinė programinė įranga ir užblokavo žalingą .js failą, jokios žalos ar poveikio nepadaryta. Incidentas? Taip incidentas, bet „vos neįvykęs“. Pranešti neprivaloma.
2. DC / AD tarnybinėje stotyje suveikė antivirusinė programinė įranga ir užblokavo / ištrynė žalingą *.exe failą, kuris buvo identifikuotas kaip „mimikatz“. Ar incidentas? Taip incidentas, bet bus „didelis“, nes Jūsų tarnybinė stotis paveikta trečiųjų asmenų (įvyko įsilaužimas), atitinkamai gali būti paveiktos visos Jūsų KDV, paslaugų gavėjai ir pan. Pranešti privaloma.
3. Jūsų išorinės el. paslaugos trikdomos „DDoS“ atakos, ataka suvaldoma automatinėmis priemonėmis. Incidentas? Taip incidentas, bet „vos neįvykęs“. Pranešti neprivaloma.
4. Jūsų išorinės paslaugos trikdomos „DDoS“ atakos, dėl to sutriko paslaugų teikimas. Incidentas? Taip incidentas, „didelis“ - jei atitinka „didelis“ incidento kriterijus (pvz. kibernetinio saugumo subjektas nebegali užtikrinti teisės aktuose jo veiklai nustatytų reikalavimų įgyvendinimo). „Nedidelis“ - jei neatitinka „didelis“ incidento kriterijų, pavyzdžiui, paslaugų veikimas sutriko 30 min.
5. Kažkur interneto platybėse Jūsų įstaigos / įmonės vardu sukurta „žalinga“ svetainė. Incidentas? Ne, tai nėra incidentas, kadangi nėra pavojaus Jūsų TIS.
6. Kažkur interneto platybėse Jūsų įstaigos / įmonės vardu sukurta „žalinga“ svetainė, kurios pagalba bandoma surinkti Jūsų darbuotojų prisijungimo vardus ir slaptažodžius. Incidentas? Taip incidentas, kadangi kyla pavojaus Jūsų TIS.
7. IT administratorius atėjęs į darbą aptiko, kad serverinėje neveikia tarnybinės stotys. Tarnybinės stotys išsijungė, nes serverinėje sugedo kondicionavimo įranga, sutriko įmonės / įstaigos veikla, neteikiamos paslaugos. Incidentas? Taip incidentas, nes pagal NIS 2 programinės / techninės įrangos gedimai ar veikimo sutrikimai, žmogiškos klaidos ir pan. yra laikomi „kibernetiniais“ incidentais (pvz., poveikis prieinamumui).

Incidentai NKSC yra teikiami dviem būdais:

1. Automatizuotu būdu per API sąsają (sistema - sistema integracija)
2. Per Nacionalinę Incidentų Valdymo Sistemą (NIVS)

Remiantis, 2018 m. rugpjūčio 13 d. LRV nutarimu Nr. 818 patvirtintu Nacionaliniu kibernetiniu incidentų valdymo plano (toliau - Planas) 1 III skyriaus 10-11 punktais, pranešimai apie kibernetinį incidentą privalo būti pateikiami automatizuotu būdu per API sąsają. Minėtu Vyriausybės nutarimu 3 punktu kibernetinio saugumo subjektams yra pavesta per 12 mėnesių nuo jų įregistravimo Kibernetinių saugumo subjektų registre pritaikyti kibernetinio saugumo įvykių ir kibernetinių incidentų valdymo tinklų ir informacines sistemas taip, kad kibernetiniai incidentai Kibernetinio saugumo informacinėje sistemoje veikiančioje Nacionalinėje kibernetinių incidentų valdymo platformoje būtų registruojami automatiniu būdu. Kibernetinio saugumo subjektui dėl objektyvių priežasčių nespėjus įgyvendinti šiame punkte nustatyto reikalavimo ir pateikus motyvuotą prašymą, Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos turi teisę vieną kartą pratęsti terminą, bet ne ilgiau kaip 12 mėnesių.

Praktiškai, svarbu, kad kuo greičiau, automatizuotu būdu būtų pateikiami ankstyvasis perspėjimas apie kibernetinį incidentą ir pranešimas apie kibernetinį incidentą. Galutinę ir detalią ataskaitas galima pateikti tiesiogiai NIVS, papildant anksčiau pateiktą pranešimą.

Pagal Plano 11 punktą, KSS gali informuoti NKSC apie kibernetinį incidentą kitais būdais (užpildydamas formą NIVS, el. paštu, telefonu) tik tuomet, kai dėl kibernetinio incidento neturi galimybės apie kibernetinius incidentus informuoti automatizuotu būdu.

API integracijos dokumentacija yra pačioje Nacionalinėje Incidentų Valdymo Sistemoje (NIVS), skiltyje Knowledge Base. Dokumentacijoje pateikiama išsami informacija, reikalinga KSS informacinių sistemų integracijai su NIVS.

API dokumentacija yra prieinama prisijungusiems naudotojams, Organizacijų portale prie savo kontakto turintiems žymą Kibernetiniai incidentai.

NKSC parengė nemokamą atviro kodo incidentų valdymo sistemą RTIR, kurioje yra integruota Lietuvoje naudojama incidentų taksonomija bei veikianti API integracija.

Diegimo failai pateikti GitHub: https://github.com/CERT-LT/NKSC-SOC-TechStack.

GitHub prieinamas tik Kibernetinio saugumo subjektams. Norint gauti prieigą, reikia:

1. Prisijungti prie ORG portalo.
2. Prie konkretaus kontakto, pridėti Kontakto tipas žymą - SOC-TechStack.
3. Įvesti savo naudojamos GitHub paskyros pavadinimą.

Gavę šią informaciją, suteiksime prieigą prie GitHub. Rekomenduojama užtikrinti, kad prieiga būtų suteikiama tik tiems asmenims, kurie tiesiogiai atsakingi už RTIR ar kitų SOC naudojamų įrankių diegimą ir administravimą.