Hlášení incidentu
Hlášení bezpečnostního incidentu
Předtím, než vytvoříte a do CSIRT.CZ odešlete hlášení bezpečnostního incidentu, ověřte si prosím zde, jestli se obracíte na správné místo.
Bezpečnostní incidenty hlašte elektronickou poštou na adresu abuse@csirt.cz. Hlášení by mělo obsahovat kompletní popis problému.
Doporučený tvar pro hlášení bezpečnostního incidentu:
Hlášení by měl být jednoduchý textový e-mail, v případě potřeby s přílohou (v příloze by měl být tzv. "důkazní materiál").
Jedno hlášení by se mělo týkat jedné ip adresy nebo jednoho adresového bloku.
Předmět zprávy by měl obsahovat IP adresu nebo adresový blok a typ incidentu (spam, virus, scanning, DDOS, hacking, phishing, pharming, porušení autorských práv...).
Hlášení o scanování musí obsahovat část logu obsahující záznamy o útoku:
- časové známky a časovou zónu
- zdrojovou a cílovou IP adresu
- zdrojový a cílový port
- TCP/UDP/ICMP
Hlášení o spamu ("unsolicited commercial email") nebo viru by mělo obsahovat kompletní nemodifikovanou hlavičku a tělo zprávy.
Hlášení porušení autorských práv musí obsahovat následující informace:
- časové známky a časovou zónu,
- zdrojovou a cílovou IP adresu, na které došlo k porušení autorských práv,
- službu použitou pro zveřejnění dat chráněných autorským právem,
- údaje o datech chráněných autorským právem (typ, umístění, jméno, identifikátor, otisk...)
Hlášení phishing nebo pharming musí obsahovat URL a pokud možno i zdrojový kód webové stránky, nebo alespoň snímek obrazovky.
Hlášení musí obsahovat základní kontaktní informace - jméno reportujícího a jméno organizace.
Hlášení musí být odesláno z validní e-mailové adresy.
CSIRT.CZ respektuje Vaše soukromí, můžete tedy některá data (např. z logů) anonymizovat, případně výslovně uvést, které informace nesmíme poskytnout dál. Zvažte ale, nakolik se tím sníží průkaznost a možnost identifikace, nebo dokonce znemožní řešení.
