Opis CSIRT dla CERT PKP Informatyka =================================== 1. Informacje o dokumencie Dokument zawiera opis CERT PKP Informatyka według RFC 2350. Dokument dostarcza podstawowych informacji na temat zespołu CERT PKP Informatyka, takich jak możliwości kontaktu, opis odpowiedzialności i oferowane usługi. 1.1 Data ostatniej aktualizacji Wersja dokumentu 1.6, opublikowana 25.08.2023 1.2 Rozpowszechnianie powiadomień o zmianach w dokumencie Brak danych na ten moment. 1.3 Miejsce, gdzie można znaleźć dokument Aktualna wersja dokumentu opisującego CSIRT jest dostępna na stronie internetowej CERT PKP Informatyka https://www.pkp-informatyka.pl/rfc2350_pl.txt Należy upewnić się, że używana jest najnowsza wersja. 1.4 Poświadczenie dokumentu Ten dokument nie został podpisany kluczem PGP CERT PKP Informatyka. 2. Informacje kontaktowe 2.1. Nazwa zespołu Pełna nazwa: CERT PKP Informatyka Skrócona nazwa: CERT IT-PKP 2.2. Adres PKP Informatyka Sp. z o.o. Al. Jerozolimskie 142A 02-305 Warszawa Polska z dopiskiem: "CERT PKP Informatyka" 2.3. Strefa czasowa Czas środkowoeuropejski UTC+1 Czas środkowoeuropejski letni UTC+2 (od ostatniej niedzieli marca do ostatniej niedzieli października) 2.4. Numer telefonu +48 22 392 45 67 2.5 Numer faksu Niedostępny 2.6 Pozostała telekomunikacja Niedostępna 2.7 Adres poczty elektronicznej Jest to alias pocztowy, który służy do komunikacji z osobą pełniącą dyżur w CERT PKP Informatyka. 2.8 Klucz publiczny i inne informacje o szyfrowaniu Klucz PGP używany przez CERT PKP Informatyka ID klucza: 0571E461 Odcisk palca: 36CC 41CF 0ED3 A965 000A 65AF D359 0427 0571 E461 Klucz publiczny można znaleźć na stronie CERT PKP Informatyka https://www.pkp-informatyka.pl/cert_pgp.asc 2.9 Inne informacje Ogólne informacje o CERT PKP Informatyka można znaleźć na stronie: https://www.pkp-informatyka.pl/cyberbezpieczenstwo/cert.html 2.10 Punkty kontaktu z klientem Preferowaną metodą kontaktu jest poczta elektroniczna . W celu zapewnienia integralność i poufność rekomendujemy wykorzystanie naszych kluczy kryptograficznych (sekcja 2.8). Jeżeli przekazanie informacji z wykorzystaniem poczty elektronicznej nie jest możliwe lub nie jest wskazane ze względów bezpieczeństwa, można skontaktować się z CERT PKP Informatyka telefonicznie (numer zamieszczony jest w sekcji 2.4). Godziny pracy działu CERT PKP Informatyka: od poniedziałku do piątku w godzinach 8:00-16:00, z wyjątkiem dni ustawowo wolnych od pracy oraz 25 listopada. W pilnych przypadkach można skontaktować się z zespołem SOC, działającym 24 godziny na dobę, 7 dni w tygodniu pod numerem telefonu podanym w sekcji 2.4. 3. Statut 3.1 Misja Misją zespołu CERT PKP Informatyka jest identyfikacja, analiza i niwelowanie zagrożeń skierowanych do grupy użytkowników i klientów obsługiwanych przez PKP Informatyka. Świadczone są również usługi doradcze i edukacyjne kierowane do tej samej grupy. 3.2 Obszar działania CERT PKP Informatyka świadczy usługi dla klienta wewnętrznego oraz wybranych Spółek z sektora kolejowego. Lista interesariuszy stanowi Tajemnicę Przedsiębiorstwa. Obszarem działania CERT PKP Informatyka są wszyscy użytkownicy, systemy i usługi podłączone do sieci Systemu Autonomicznego (AS41464 oraz AS196830). 3.3 Sponsorowanie i przynależność CERT PKP Informatyka jest utrzymywany finansowo przez PKP Informatyka Sp. z o.o. 3.4 Umocowanie CERT PKP Informatyka działa pod auspicjami i na podstawie upoważnienia udzielonego przez Zarząd PKP Informatyka. W ramach tej roli, a w szczególności w odniesieniu do aspektów operacyjnych, realizowane jest: - monitorowanie zagrożeń cyberbezpieczeństwa, - reagowanie na incydenty, - wymiana informacji o zidentyfikowanych zagrożeniach. 4. Polityka 4.1 Typy incydentów i poziom wsparcia CERT PKP Informatyka jest uprawniony do reagowania na wszystkie rodzaje incydentów bezpieczeństwa komputerowego, które występują lub mogą wystąpić w obsługiwanym obszarze działania. Poziom wsparcia udzielanego przez CERT PKP Informatyka będzie zróżnicowany w zależności od rodzaju czy wagi incydentu lub zdarzenia. Uwzględnia się również ilość użytkowników dotkniętych incydentem oraz dostępności zasobów w danym momencie. Incydenty będą traktowane priorytetowo zgodnie z ich zasięgiem i krytycznością. 4.2 Współpraca, interakcja i ujawnienie informacji CERT PKP Informatyka wymienia wszelkie niezbędne informacje z zespołami SOC, CERT, CSIRT oraz innymi podmiotami wchodzącymi w skład krajowego systemu cyberbezpieczeństwa, a także z administratorami stron poszkodowanych. CERT PKP Informatyka oświadcza, że wszystkie informacje dotyczące obsługi incydentów są rozpatrywane jako poufne. Informacje, które są wrażliwe, zawierają informacje o podatnościach lub mogą być szkodliwe, są szyfrowane i przetwarzane tylko w bezpiecznym środowisku. Zalecamy, przy zgłaszaniu incydentu i podawaniu poufnych informacji, użycie szyfrowania PGP lub kontakt bezpośrednio z CERT PKP Informatyka w celu ustalenia innego bezpiecznego kanału komunikacyjnego. Żadne dane osobowe nie są udostępniane przez CERT PKP Informatyka do współpracujących podmiotów, chyba że zostaną do tego wyraźnie upoważnione. 4.3 Komunikacja i uwierzytelnianie Ze względu na rodzaj informacji, jakie przetwarza CERT PKP Informatyka, komunikacja za pomocą telefonu została uznana za wystarczająco bezpieczną, nawet w postaci niezaszyfrowanej. Nieszyfrowana poczta elektroniczna uważana jest za bezpieczną w przypadku przesyłania danych o niskiej wrażliwości. Jeśli konieczne jest przesłanie pocztą elektroniczną danych wrażliwych, wiadomość musi zostać zaszyfrowana za pomocą klucza PGP. Taka sama sytuacja, jak w przypadku poczty, dotyczy przesyłania plików w sieci, czyli dane wrażliwe powinny być szyfrowane podczas przesyłania. W celu weryfikacji autentyczności otrzymanej informacji lub jej źródła czy uwierzytelnienia osoby nawiązującej kontakt, możliwe jest użycie dostępnych metod sprawdzenia, takich jak: przeszukanie bazy WHOIS, stron organizacji zajmujących się cyberbezpieczeństwem (m. in. Trusted Introducer, FIRST), bądź odesłanie e-maila, z użyciem podpisów cyfrowych (w szczególności PGP). CERT PKP Informatyka używa protokołu TLP 2.0 (Traffic Light Protocol Version 2.0): CLEAR, GREEN, AMBER+STRICT, AMBER lub RED, w celu oznaczenia informacji i zdefiniowania grupy odbiorców. 5. Usługi 5.1. Reakcja na incydent CERT PKP Informatyka udziela odpowiedzi na incydent, świadcząc szeroki zakres usług dla poszczególnych grup odbiorców. 5.1.1 Selekcja incydentów - Monitoring i wykrywanie podejrzanych zdarzeń. - Analiza i klasyfikacja zdarzeń, jako incydent bezpieczeństwa lub fałszywy alarm. 5.1.2 Koordynacja incydentów - Przyjmowanie zgłoszeń posiadających znamiona potencjalnych incydentów. - Proces powiadamiania równorzędnych zespołów CSIRT/SOC. - Analiza incydentów, które mogą mieć wpływ na zasoby techniczne jak i biznes. - Analiza artefaktów i dowodów wystąpienia incydentu. - Koordynacja incydentów bezpieczeństwa w ramach zapewnienia skutecznej komunikacji z interesariuszami. 5.1.3 Rozwiązywanie incydentów - Wykrywanie, badanie i analiza podatności. - Dystrybucja informacji o lukach w zabezpieczeniach. - Reagowanie na podatności w celu zapobiegania ich wykorzystania. - Eliminowanie zagrożeń w zakresie przywrócenia integralności systemów w ramach planu naprawczego. 5.2 Proaktywne działania - Prowadzenie komunikacji w zakresie cyberbezpieczeństwa w postaci raportów oraz broszur informacyjnych dla użytkowników i klientów zewnętrznych. - Usługi doradcze i edukacyjne użytkowników i klientów obsługiwanych przez PKP Informatyka. - Wykrywanie naruszeń w monitorowanej infrastrukturze oraz systemach. - Monitorowanie i analiza danych dotyczących zagrożeń cyberbezpieczeństwa, znanych wskaźników kompromitacji z różnych źródeł informacji. 6. Formularze zgłoszenia incydentów Nie ma jeszcze opracowanych formularzy do zgłaszania incydentów do CERT PKP Informatyka. Zachęcamy wszystkich zgłaszających do przekazywania informacji o incydentach drogą mailową lub telefoniczną. 7. Zastrzeżenia Pomimo podjęcia wszelkich środków ostrożności w przygotowaniu informacji, powiadomień i alertów, CERT PKP Informatyka nie ponosi odpowiedzialności za błędy lub pominięcia, ani za szkody wynikające z wykorzystania informacji zawartych w tym dokumencie.