CyberSec Update #16: działania i uprawnienia CERT

Zespół Reagowania a obszar i kompetencje jego działania

W jednym z wcześniejszych wpisów z cyklu CyberSec Update poruszałem temat ustanowienia CERT (SOC). Omówiłem również jego osadzenie w strukturze organizacyjnej. Jeżeli nie mieli Państwo okazji zapoznać się z tym materiałem, zachęcam do lektury wpisu
CyberSec Update #13 – Wewnętrzny zespół reagowania.

Tym razem kilka słów poświęcę temu, jaki obszar działalności zostaje przypisany Zespołowi Reagowania w zakresie świadczenia usług z obszaru cyberbezpieczeństwa oraz zagadnieniu bezpośrednio z nim powiązanemu, czyli zakresowi uprawnień takiego zespołu.

Obszar działania CERT (Zespołu Reagowania)

Obszar działania CERT powinien być analizowany w możliwie szerokiej perspektywie organizacyjnej. W pierwszej kolejności należy rozstrzygnąć, czy Zespół Reagowania ma obsługiwać wyłącznie jeden podmiot. Alternatywnie może on świadczyć usługi na rzecz wszystkich lub wybranych spółek wchodzących w skład grupy kapitałowej.

Zakres działania CERT obejmuje również aspekty techniczne. W szczególności dotyczy to wykazu wykorzystywanych systemów informatycznych, ich klasyfikacji oraz identyfikacji zależności pomiędzy poszczególnymi środowiskami. Tego rodzaju analiza ma istotne znaczenie zarówno z perspektywy bieżącego nadzoru nad bezpieczeństwem, jak i w kontekście skutecznej obsługi incydentów.

Zakres uprawnień CERT w organizacji

Po określeniu obszaru działania CERT niezbędne jest nadanie Zespołowi odpowiedniego zakresu uprawnień. Wbrew powszechnym skojarzeniom kompetencje CERT nie muszą ograniczać się wyłącznie do sytuacji kryzysowych i działań podejmowanych w reakcji na incydenty bezpieczeństwa.

Uprawnienia Zespołu Reagowania mogą obejmować także działania realizowane w tzw. „czasie pokoju”, takie jak wydawanie rekomendacji, zaleceń czy praktycznych porad w obszarze cyberbezpieczeństwa. Z kolei w trakcie obsługi incydentu CERT może posiadać kompetencje eskalacyjne, w tym związane ze zgłoszeniem zdarzenia do właściwego zespołu CSIRT, na przykład sektorowego.

Formalne źródła kompetencji Zespołu Reagowania

Źródłem uprawnień Zespołu Reagowania są co do zasady dokumenty wewnętrzne organizacji. Najczęściej będzie to ten sam akt, który stanowi podstawę formalnego powołania CERT. Dodatkowo zakres kompetencji może wynikać z dokumentów operacyjnych, takich jak procedury zgłaszania i obsługi incydentów bezpieczeństwa.

W kontekście uprawnień szczególnie istotne jest, aby członkowie Zespołu Reagowania mieli jasność co do „siły” przysługujących im kompetencji. Kluczowe znaczenie ma bowiem to, czy CERT może wyłącznie formułować niewiążące rekomendacje, czy też posiada realne uprawnienia nadzorcze, pozwalające na kontrolę realizacji wydawanych poleceń, wytycznych lub zarządzeń.

W praktyce warto również jednoznacznie określić, czy określone działania Zespołu Reagowania wymagają uprzedniej konsultacji lub zatwierdzenia przez organ zarządzający, na przykład w przypadku zgłoszenia incydentu do CSIRT na poziomie krajowym lub sektorowym.