Notificar incidente

RFC 2350

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

RFC 2350

1. Informação acerca deste documento
Este documento descreve o serviço de coordenação da resposta a incidentes de cibersegurança do Centro Nacional de Cibersegurança (CNCS) de acordo com o RFC 2350.

1.1 Data da última atualização
Versão 1.6 publicada em 2020/02/05.

1.2 Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.

1.3 Acesso a este documento
A versão atualizada deste documento está disponível em https://www.cncs.gov.pt/certpt/rfc-2350/
A versão em língua inglesa está disponível em https://www.cncs.gov.pt/en/certpt_en/rfc-2350/

1.4 Autenticidade deste documento
Este documento está assinado com a chave PGP do CERT.PT.

2.Informação de contacto

2.1 Nome da equipa
CERT.PT

2.2 Endereço postal
CNCS - Centro Nacional de Cibersegurança
Rua da Junqueira, 69
1300-342 Lisboa
Portugal

2.3 Zona horária
Portugal/WEST (GMT+0, GMT+1 em horário de verão)

2.4 Telefone
+351 210 497 399 (horário normal de funcionamento - 09h00 - 18h00)
+351 910 599 284 (Contacto de emergência, fora das horas normais de funcionamento)

2.5 Fax
+351 210 497 398

2.6 Outras telecomunicações
Não existentes.

2.7 Endereços de correio eletrónico
Correio eletrónico para notificação de incidentes de cibersegurança:
cert@cert.pt
Correio eletrónico para outros assuntos relacionados com os serviços CERT.PT:
info@cert.pt

2.8 Chaves públicas e informação de cifra
PGP Key ID: 0xA0F7ACFB
PGP Fingerprint: B83E AA3C F80B 25C8 7C65 184E 3AC9 DECE A0F7 ACFB
A chave está disponível em: https://www.cncs.gov.pt/certpt/pgp-certpt/

2.9 Membros da equipa
Coordenação: Rogério Raposo
Membros: Duarte Sousa, Gonçalo Silva, Ivo Vacas, João Meira, Nuno Marques.

2.10 Outra informação
Mais informação sobre o CERT.PT pode ser encontrada em https://www.cncs.gov.pt/.

2.11 Meios de contacto para utilizadores
O CERT.PT dispõe dos meios de contacto elencados nas secções 2.2 e 2.4 a 2.7.

3. Guião

3.1 Missão
Contribuir para que Portugal use o ciberespaço de uma forma livre, confiável e segura, através da melhoria contínua da cibersegurança nacional e da cooperação internacional.

3.2 Comunidade servida
O CERT.PT coordena a resposta a incidentes de cibersegurança envolvendo entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais, prestadores de serviços digitais e, de uma forma geral, o ciberespaço de interesse nacional, incluindo qualquer dispositivo pertencente a uma rede ou bloco de endereçamento atribuído a um operador de comunicações eletrónicas, instituição, pessoa coletiva ou singular com sede em território Português, ou que esteja fisicamente localizado em território Português.

3.3 Filiação
O CERT.PT é um serviço integrante do CNCS.

3.4 Autoridade
O CERT.PT é um serviço do CNCS, cuja competência de autoridade nacional para a cibersegurança se encontra definida no Decreto-Lei n.º 3/2012, de 16 de janeiro, na sua versão atual e na Lei n.º 46/2018, de 13 de agosto. Nos termos da mesma Lei, o CERT.PT é a Equipa de Resposta a Incidentes de Segurança Informática (CSIRT) Nacional.

4. Políticas

4.1 Tipos de incidente e nível de suporte
O CERT.PT responde a todos os tipos de incidente de cibersegurança, nomeadamente aqueles que resultam numa violação de segurança dos seguintes tipos:
a) Código Malicioso
b) Disponibilidade
c) Recolha de Informação
d) Tentativa de Intrusão
e) Intrusão
f) Segurança da Informação
g) Fraude
h) Conteúdo Abusivo
i) Vulnerável

O nível de suporte dado pelo CERT.PT varia consoante o tipo, gravidade e âmbito dos incidentes em curso e os recursos disponíveis para o seu tratamento. Em condições de funcionamento normais é um objetivo do CERT.PT dar uma primeira resposta no espaço de um dia útil.
O nível de suporte prestado pelo CERT.PT em condições normais varia também em função da entidade da comunidade servida afetada, sendo assegurados todos os serviços referidos em (5.) a entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais. Às restantes entidades e indivíduos constantes da Comunidade servida são assegurados os serviços de Coordenação da resposta a incidentes e Alertas de Segurança.
Em caso de um aumento considerável da severidade e âmbito dos incidentes ou de incidente de larga-escala, será dada prioridade ao tratamento de incidentes das entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.

4.2 Cooperação, interação e política de privacidade
A política de privacidade e proteção de dados do CERT.PT prevê que informação sensível pode ser passada a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito.

4.3 Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CERT.PT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP.
O CERT.PT adota o standard TLP (Traffic Light Protocol) para a disseminação e partilha de informação.

5. Serviços

5.1 Coordenação da resposta a incidentes
A toda a Comunidade servida.
Sempre que solicitado para o efeito, o CNCS, através do serviço CERT.PT, presta um serviço de coordenação de resposta a incidentes entre as entidades envolvidas. Esta coordenação envolve, tipicamente as vítimas dos ataques e ISPs ou outros CSIRTs sempre que necessário. A coordenação da resposta a incidentes inclui:
1) triagem de notificações de incidentes, a sua análise técnica e forense;
2) articulação com as entidades nacionais e internacionais envolvidas;
3) produção de recomendações de mitigação e/ou de resolução do incidente.

A coordenação da resposta a incidentes pode partir da iniciativa do CNCS, por exemplo numa situação de incidente de larga escala, ou ser-lhe solicitada pelos canais designados para o efeito.

5.2 Suporte On-Site
A entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.
O suporte on-site prevê o apoio, nas instalações do requerente, de técnicos especializados do CNCS, para análise e resposta a incidentes de cibersegurança. Dependendo das necessidades em concreto, este apoio pode, entre outros, incluir:
1) análise forense a máquinas ou hardware;
2) análise de tráfego;
3) análise de malware;
4) articulação com outros CSIRT nacionais ou internacionais;
5) produção de recomendações;
6) apoio na aplicação de medidas de mitigação e resolução.

O CNCS não executa as medidas de mitigação ou de resolução atrás referidas. Esta responsabilidade é de cada uma das entidades intervenientes.

5.3 Capacitação CSIRTs
A entidades do Estado, operadores de Infraestruturas Críticas, operadores de serviços essenciais e prestadores de serviços digitais.
Melhorar a capacidade nacional de resposta a incidentes de cibersegurança através da criação de novos CSIRTs e do desenvolvimento das capacidades dos já existentes. Para esse efeito, o CNCS promove ou desenvolve um conjunto de actividades com vista à capacitação de CSIRTs em território nacional, designadamente:
1) Ações de formação para técnicos e decisores que operem ou pretendam vir a operar um CSIRT;
2) Coordenação de exercícios nacionais e promoção da participação portuguesa em exercícios de cibersegurança internacionais;
3) Definição de um conjunto mínimo de capacidades técnicas, operacionais e humanas para um CSIRT;
4) Divulgação de boas práticas para a gestão de incidentes de cibersegurança;
5) Consultoria para a criação de novos CSIRT.

5.4 Alertas de Segurança
A toda a Comunidade servida.
Alertar as partes interessadas, incluindo o público em geral, para novos riscos de cibersegurança, prestando, igualmente, a informação necessária para a sua proteção e/ou remediação. Assim, o CNCS desenvolve duas actividades:
1) Em articulação com as restantes autoridades nacionais, emite um código único de perigosidade nacional;
2) Produz e dissemina às partes interessadas, alertas de segurança

6. Salvaguarda de responsabilidade
Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CERT.PT não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.
A notificação de incidentes ao CNCS não se substitui à comunicação à autoridade judiciária ou ao órgão de polícia criminal competente, quando esses incidentes configurem também um ilícito criminal cujo procedimento penal dependa de queixa ou de acusação particular.
-----BEGIN PGP SIGNATURE-----

iQIzBAEBCAAdFiEEuD6qPPgLJch8ZRhOOsnezqD3rPsFAl468CgACgkQOsnezqD3
rPvChg//fJFEyOKtNw9ZOUkKkp8fldbLnTdTSVMJA11xklXeGXwJlhPhjRGAYFl2
easbosm3mCBNhkpAKpaVDWOxl/gjSRqJzmjcDI1EXgzwNW6sFJhpl47GF0Cs0l2Y
X8Qs93lHzEIyOc5Eb6ctV13H9XN/3IHgJPGnOE968oXN/ZFNDPH67N3zK464eh6v
vankewiONjBi2tUsV4aPPtopsZQW1YI/Cm1MLxPct/0N2nViE9oNd/izZ6WpNxmL
AROnxYHPzZuUg2o4I358Pr0z5p5L5M4Q9bpK1mQIbmxA9X00zgqTLLTRwFm0CmFa
uz1CaAoN+ikvDxKCP8tIGDHO6Yc5TNbEPRA3xRvikObxKXn6iZR8jtCi2W2c6MKN
2ldIU8HXmkaR9/k9wv+x3H8nKUePFUomh6YehOyqHin/v9EhUVQlwzMcauXPzDEl
T60VISuh3RcyhoQlMx2Xna057UT7hC8MjVoOwm+IXD/dBg0FuxHEh5jtFjSdKj1I
zogllJJuf5r41PJhxYMpkJ4o4BixrPBfvjtkeK86Pc66TT8HznVDpX7UfyAa2rpU
ei2aYShML7zN0NSuac6YubslNXZTjtvt+9wEto25Qv5HyyY4XeIu+svV7/9gEm8O
jFEc6GVclzd/Vv/Pk/+utUrQ/ZPQApPxcC7UIYCdWL0LPqKbQj4=
=SzNj
-----END PGP SIGNATURE-----