Reakce na incidenty a ochrana dat¶

• Table of contents
• Reakce na incidenty a ochrana dat
  • Úvod
  • Účel zpracování a faktory ke zvážení
    • Increased Justification
    • Increased User Rights
  • Příklady aplikace
    • NetFlow pro detekci napadených systémů
    • Blacklist IP adres
  • Důsledky a doporučení pro projekt Warden
  • Zdroje

Úvod¶

Cílem dokumentu je pokrytí informací zpracovávaných CSIRTy evropskou legislativou pro ochranu dat zvláště pak směrnicí 95/46/EC. Některé informace získané z log souborů a dalších zdrojů potřebné k řešení a zabránění bezpečnostních incidentů mohou obsahovat informace chráněné směrnicí. Dokument identifikuje podmínky a navrhuje opatření za pomoci kterých mohou CSIRTy jednat v souladu se směrnicí.

Z povahy své práce přichází CSIRT do kontaktu s informacemi obsahujícími IP adresy a emailové adresy. Tyto informace potřebují týmy využívat, případně je poskytnout zainteresovaným třetím stranám. Pracovní skupina EU definovala, že IP adresa může být osobním údajem, protože je možné ji za určitých okolností spojit s konkrétním člověkem, a mělo by tak s ní být i zacházeno. Pokud jsou tyto informace zpracovány v rámci EU, pak se řídí evropským zákonem o ochraně dat bez ohledu na to, kde a jak byly shromážděny. Dále jsou proto zkoumány důsledky evropského práva ochrany osobních údajů - konkrétně Směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (95/46/ES) ve vztahu k řešení bezpečnostních incidentů CSIRTy. Zejména je řešeno, kdy a jak je vhodné, aby CSIRT použil informace samotné, a okolnosti, za kterých je vhodné je je poskytnout dalším stranám.

Účel zpracování a faktory ke zvážení¶

Směrnice 95/46/EC poskytuje několik odůvodnění pro zpracováních osobních údajů relevantních pro CSIRT (Článek 7(f)). Kromě ochrany legitimních zájmů jejich vlastní organizace může mít CSIRT potřebu informovat další strany, kterých se dotýká odhalený problém. Například jsou to:

• uživatel jehož data byla ukradena, nebo jehož počítač byl napaden
• organizace, která je cílem útoku (mimo působnost CSIRT)
• ISP který připojuje napadaný stroj k Internet
• Internet jako celek v případě zjištění zásadní rozšířené zranitelnosti

Článek 7(f) odůvodňuje poskytnutí informací ve všech výše uvedených případech, pokud je splněno následující:

1. nezbytnost poskytnutí
2. oprávněnost zájmů CSIRTu, nebo třetích osob
3. nad těmito zájmy nepřeváží základní práva a svobody subjektu údajů

Zdůvodnění oprávněnosti poskytnutí údajů vyžaduje pečlivé zvážení zájmů a práv subjektu údajů a zájmů třetích stran, jimž mají být data poskytnuta. K podpoře rozhodnutí o poskytnutí údajů slouží test, který je popsán následujícím diagramem. Zjednodušeně řečeno, pokud převáží hodnoty v levé části, pak je možné údaje vydat v souladu se směrnicí. Pokud převáží hodnoty v pravé straně, pak je typicky třeba zmenšit jeden nebo oba z faktorů Type of Identifier a Extent of Disclosure. Faktor Data Collection by měl být u projektu Warden ve všech případech na hodnotě Planned.

Increased Justification¶

• Potential Impact - Označuje závažnost hrozby jako takové. Roste s počtem ohrožených počítačů a také s typem hrozby.
• Whose Interest? - Hodnota stoupá čím více je angažován CSIRT. naopak pokud je informace důležitá pro někoho mimo působnost CSIRT, pak se hodnota snižuje (např. banka postižená phishingem).

Increased User Rights¶

• Type of Identifier - Představuje typy identifikace a také riziko identifikace konkrétního subjektu dat.
• Data Collection - Pokud se jedná o plánovaný sběr dat, hodnota je nízká díky očištění o osobní údaje. Naopak neplánovaný zásah na napadený počítač s daty všech uživatelů má vysokou hodnotu.
• Extent of Disclosure - Zobrazuje rozsah zveřejnění údajů. Organizace navzájem komunikující v projektu Warden by měly spadat do kategorie Trusted Community.

Směrnice 95/46/ES obsahuje kromě výše zmíněného ještě dva další požadavky, kterých by si měl být CSIRT vědom, ale jejichž dodržování přináší několik problémů:

1. Informování subjektu - Pokud jsou osobní údaje subjektu získána jinak než přímo od něj, pak by měl být subjekt o tomto informován co nejdříve je to možné (Článek 11) a pokud to je možné, nebo k tomu není třeba nepřiměřeného úsilí. Ve většině případů je tedy dostačující informovat důvěryhodný kontakt pro síť v níž došlo k incidentu.
2. Informování regulátora - Jedná se povinnost uvědomit regulátora pro zacházení s osobními údaji v ČR (ÚOOÚ), která je uvedena v Článku 18, v případě shromažďování těchto údajů (více Zákon č. 101/2000 Sb.).

Příklady aplikace¶

Níže jsou uvedeny příklady aplikace výše zmíněného testu, které jsou nejvíce relevantní pro projekt Warden. Další příklady je možné naleznout v původním článku.

NetFlow pro detekci napadených systémů¶

Záznamy obsahující celou IP adresu mohou být rizikem pro soukromí. Většinou alespoň jedna adresa patří stroji pod správou dotyčného CSIRTu. Vzhledem k závažnému bezpečnostnímu riziku uvnitř pole působnosti CSIRTu na jehož zneškodnění má CSIRT silný legitimní zájem a plánovanému sběru dat, je sbírání a použití NetFlow dat pro tento účel v souladu se směrnicí (pozn. taktéž by bylo v pořádku informování ISP, pokud by byl problém mimo působnost CSIRT).

Blacklist IP adres¶

Automatizované blacklisty IP adres z nichž přicházejí útoky (např. na SSH) snižují riziko bezpečnostního incidentu. Ovšem jak diagram ukazuje, tak zveřejnění seznamu nemodifikovaných adres by jen obtížně splňovalo požadavky směrnice. Podstatným argumentem zde proto je automatické zpracování, které plní určený úkol a minimalizuje možnost zneužití a také vysoká závažnost hrozby.

Důsledky a doporučení pro projekt Warden¶

• Je třeba zvážit anonymizaci údajů, které jsou z rozsahu organizace a mohou být považovány za osobní (IP adresy a emailové adresy), pokud budou poskytovány v rámci projektu Warden mezi organizacemi.
• Je vhodné stanovit dohodu pro sdílení informací mezi organizacemi, pokud se tak již nestalo, a vytvořit tak Trusted Community. Několik příkladů takovýchto dohod je v původním článku. Nejlépe vypadá Trusted Introducer for CERTs in Europe a FIRST Operational Framework
• Podrobit data dodávaná do systému výše uvedenému testu, aby byla kompatibilní se směrnicí.

Zdroje¶

• Incident Response and Data Protection
• Data Protection Directive (95/46/EC)