Com 15 anos em actividade, a rede nacional CSIRT conta hoje com 61 membros de vários sectores de actividade, desde a banca ao desporto, passando pela academia. A Security Magazine falou com Gonçalo Silva, que exerce funções no Centro Nacional de Cibersegurança e é representante do secretariado que dá suporte à rede, e Pedro Rodrigues, com funções no Banco de Portugal, e membro da comissão executiva da rede.
Security Magazine – Como nasceu a rede nacional CSIRT e como tem evoluído?
Gonçalo Silva – A rede nasceu em 2008, através de algumas pessoas que hoje já não trabalham efectivamente na rede, como o engenheiro Lino Santos, actual coordenador do CNCS. No fundo, teve como membros fundadores a NOS e a RCTS, onde originalmente existia a equipa de resposta a incidentes, o CERT.PT. Conjuntamente tiveram a ideia de constituir um conjunto de equipas de resposta a incidentes que se pudessem ajudar em caso de um acidente em larga escala.
Depois da sua criação, foi definido um conjunto de objectivos. Importa referir que a rede não pretende ter empresas com carácter comercial, ou seja, não queremos membros com o objectivo de vender serviço.
Queremos membros que pretendam promover a cultura de cibersegurança, estabelecer laços de confiança entre os elementos, para que quando existir um acidente saibamos com quem podemos contar e contactar. Além disso, a rede pretende criar instrumentos para prevenção num cenário de grande dimensão, como o Wannacry, e promover indicadores e estatísticas.
A rede tem um conjunto alargado de equipas e produz anualmente um questionário que caracteriza os tipos de incidentes trabalhados pelos membros da rede nacional e as próprias equipas de resposta a incidentes, nomeadamente em termos de género, faixa etária, grau de formação, entre outros. Estes dados permitem à rede actuar e partilhar noutros fóruns em que está inserida indicadores relevantes para a definição da estratégia a seguir.
Destaco ainda que a rede participa do Conselho Superior de Segurança do Ciberespaço.
Refere que a rede não tem membros com uma vertente comercial. O que isso significa?
GS – O carácter da rede não é comercial e, sim, de partilha técnica, nomeadamente de experiências, análises forenses, indicadores de comprometimento relativamente a incidentes que ocorrem no ciberespaço de interesse nacional.
Pedro Rodrigues – A rede permite que face a um ciberataque com impacto relevante termos uma rede de suporte. Sabemos que provavelmente existirá um membro que passou por algo semelhante e pode ajudar-nos. Essa é uma das grandes mais-valias da rede do ponto de vista do utilizador.
Há um objectivo da rede de participarem equipas de resposta a incidentes de entidades de sectores completamente diferentes. Comecei a integrar as reuniões em 2011, na altura na EDP, e o que mais valorizei e considero mais importante é a partilha de contactos, conhecimento, experiência e informação”
Pedro Rodrigues, Banco de Portugal e membro da Comissão Executiva da rede nacional CSIRT
A concorrência entre as diferentes entidades não tem espaço dentro da rede…
GS – Sim, essa é uma das coisas que nos caracteriza. Aqui não há concorrência. Estamos aqui como parceiros. Temos muito mais membros de empresas privadas do que de públicas, nomeadamente entidades prestadoras de serviços (managed services providers) que, apesar de serem concorrentes, partilham a experiência técnica. Essa é a mais-valia que podemos dar uns aos outros. Os diferentes membros podem aprender com as boas-prácticas implementadas noutras situações vividas por outros membros.
Com mais de 60 membros, contam com membros de vários sectores de actividade?
GS – Sim, temos na rede tudo aquilo que são sectores relevantes. Apenas não temos directamente a área dos transportes. Porém, temos membros da área da saúde, academia, desporto, reguladores, consultoras, operadoras, entre outras.
Como é que entidade pode juntar-se à rede?
GS – Qualquer entidade com uma equipa de resposta a incidentes e que cumpra com os requisitos de ser pessoa colectiva, ter uma comunidade para a qual garante que dá resposta a incidentes e fazer resposta a incidentes a um conjunto de incidentes tratados na nossa taxonomia. Todos os 61 membros têm como base essa taxonomia pois é importante falarmos todos a mesma língua. Além disso, a nossa taxonomia é a mesma promovida pela ENISA. Importa referir que os termos de referência e taxonomia são revistos anualmente de forma a serem actualizados.
PR – Os termos de referência são revistos anualmente. Porém, o princípio geral diz que é necessário ser recomendado por membros actuais para poder aderir à rede. Dessa forma existe uma responsabilização pela entrada de novos membros. Posteriormente, essa entrada está sujeita a uma votação pela Assembleia, tendo de existir maioria para que a entidade possa ser admitida.
Uma empresa que reúna tudo o que é necessário, mas não tenha recomendações de membros actuais não pode entrar?
GS – Uma empresa sem recomendações não consegue entrar na rede pois nem chega a votação. Todas as candidaturas são alvo de validação pelo secretariado e Comissão Executiva. Tem de existir essa garantia para termos a certeza que existe um membro que sabe que determinada entidade faz resposta a incidentes.
Com isso, conseguimos garantir que não tentam entrar membros com um objectivo comercial. Queremos que quem pertence à rede contribui com partilha técnica e leve alguma informação útil para o seu dia-a-dia.
PR – Gostaria de referir que não é possível termos como membros entidades que gerem os mesmos endereçamentos, domínios ou comunidade. Ou seja, ou a entidade tem a sua equipa própria ou subcontrata.
E no caso, por exemplo, de falarmos de uma multinacional que tem o SOC fora de Portugal e presta serviços a uma entidade portuguesa?
GS – Uma das coisas que obrigamos é a que a entidade tenha personalidade jurídica em Portugal. Podemos ter ao contrário, ou seja, multinacionais com uma equipa d resposta nacional que presta serviço a nível internacional a congéneres, algo que acontece muito no retalho e energia.
Quando um dos membros sofre algum ataque há envolvimento da rede?
GS – Se houver necessidade de alguma entidade, esta pode contar com a rede para resolver e ajudar. Dependerá do tipo de incidente e capacidade de cada membro, sendo que há membros com uma maior capacidade de resposta do que outros. No caso do Wannacry, por exemplo, o CERT.PT actuou como ponto focal e todas as entidades da rede consultavam a nossa sala de situação virtual para verem o que estava a acontecer.
No fundo, quais as grandes vantagens de pertencer à rede?
GS – Um dos grandes objectivos de pertencer à rede é beber daquilo que podemos disponibilizar tecnicamente, a partilha de indicadores de comprometimento de campanhas ou actividade maliciosa em curso e a frequência em workshops que promovemos todos os anos. Além disso, permite ter um chat para partilha de informação ou pedidos de esclarecimento sobre o que está a acontecer no momento, ter uma lista de distribuição para receber alertas emitidos pelo CNCS ou o CERT.PT e receber as diferentes campanhas em curso, vindo de alguns parceiros europeus. Possibilitamos tudo isso aos membros que aderem.
A rede já tem representatividade no Conselho Superior de Segurança do Ciberespaço e contribui para a partilha de ideias para a nova estratégia nacional de cibersegurança. Além disso, já participamos em alguns fóruns de discussão para partilha de informação.
Registe-se na newsletter da Security Magazine e receba no seu email notícias como esta.