Computer emergency response team

(Doorverwezen vanaf CSIRT)

Een Computer Emergency Response Team (CERT) is een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen in het geval van een beveiligingsincident met computers of netwerken. Het doel is om schade te reduceren en snel herstel van de dienstverlening te bevorderen. Naast reactie op incidenten richt een CERT zich ook op preventie en preparatie.

CERT is het acroniem dat het Software Engineering Institute van de Carnegie Mellon University in Pittsburg gaf aan het eerste Computer Emergency Response Team dat werd opgericht (bekend als CERT/CC).[1] Omdat Carnegie Mellon University de naam CERT beschermt worden andere incident response teams ook wel aangeduid met CSIRT (Computer Security Incident Response Team) of wordt het acroniem gebruikt voor Computer Emergency Readiness Team. In essentie hebben ze dezelfde functie: incidenten voorkomen en handelen als er zich toch een incident voordoet.

Geschiedenis

bewerken

De aanleiding voor de oprichting van CERT/CC is de uitbraak van de Morris-worm op internet in 1988. Deze worm verspreidde zich snel naar een groot deel van het toenmalig internet en onderbrak onder andere e-mail diensten omdat servers vastliepen. Direct na de uitbraak van de worm en het moeizame herstel besloot het Amerikaanse defensie-instituut Defense Advanced Research Projects Agency (DARPA) budgetten beschikbaar te stellen voor de oprichting van een expert team voor coördinatie bij beveiligingsincidenten met computers en netwerken. Dat het CERT/CC binnen twee weken na het herstel van de Morris-worm was opgericht is een indicatie van de impact van de worm.

CERT/CC ontwikkelde methoden en gereedschappen om incidenten te voorkomen en snel problemen te kunnen analyseren. Al snel na de oprichting stimuleerde CERT/CC de oprichting van CERTs in andere organisaties en landen. Inmiddels zijn er ca. 200 CERTs in 43 landen. In 1992 richtte SURFnet in Nederland voor het eerst een CERT in.

Verschijningsvormen van een CERT/CSIRT

bewerken

Iedere CERT/CSIRT is uniek in de zin dat het werkt voor verschillende achterbannen (constituency), verankerd is in verschillende organisaties en verschillende specialiteiten kent. In het algemeen zijn drie verschijningsvormen dominant:

  • het centrale team, waarbij alle incident handlers zijn toegewijd aan incident respons en in geval van een incident ingrijpen in de computers en netwerken.
  • het virtuele of decentrale team, waarbij incident handlers werken bij andere organisatieonderdelen en (parttime) werken als incident handler
  • het coördinerende team, waarbij incident handlers niet zelf ingrijpen, maar samenwerken met de dagelijkse technische beheerders van de computer infrastructuur bij de organisatieonderdelen. Het coördinerende team richt zich meer op aanpak, analyse, communicatie en advies.

In organisaties waar informatiebeveiliging belangrijk is gaat een CERT vaak samen met het operationeel beheer van security systemen op in een SOC.

Omdat internet een vast onderdeel is geworden van vitale maatschappelijke processen hebben veel landen een CERT/CSIRT dat coördineert op nationaal niveau.

Nederlandse CERTs/CSIRTs

bewerken

Bij private en publieke organisaties in Nederland zijn CERTs/CSIRTs operationeel, onder andere:

bewerken