De nationale CERT's in Europa werken met slechte informatie, houden elkaar niet op de hoogte van veiligheidsincidenten en worden gehinderd door privacywetten. Dat zegt Enisa, de European Network and Information Security Agency in een vuistdik rapport.

Van de 16 tekortkomingen zijn er 13 technisch van aard en 3 hebben te maken met obstakels vanwege wetgeving. De knelpunten doen zich voor bij de CERT's zelf, bij netwerkaanbieders (Siemens, Arbor Networks) en leveranciers als Microsoft en Symantec. Hier volgen de 5 meest knellende problemen en de bijbehorende aanbeveling van Enisa om dat op te lossen.

1. Kwaliteitsarme data

Het probleem: De CERT's werken met slechte, onvolledige en gefragmenteerde data. De informatie is van zulk een slechte kwaliteit dat er vaak geen onmiddellijke actie kan worden genomen op incidenten omdat de data niet duidelijk genoeg is. De behandeling van binnengekomen berichten over beveiligingsincidenten kan ook niet worden geautomatiseerd, omdat er in de meldingen zo weinig informatie zit dat ze wel handmatig moet worden verwerkt en geverifieerd.

Er komen te vaak false negatives en false positives voor. De eerste gaat over incidenten die wel plaatsvinden maar niet worden ontdekt, de tweede komt voor als er een beveiligingsincident wordt geconstateerd dat helemaal geen incident is. Verder worden incidenten te weinig met elkaar in verband gebracht, waardoor er vaak geen juist beeld ontstaat over de ernst van de situatie.

De aanbeveling: Het gebruik van Security Information and Event Management-tools (SIEM) kan verbanden leggen tussen incidenten en false positives en negatives eerder elimineren. Volgens Enisa vinden CERT's veel commerciële SIEM-producten te duur. In het rapport is daarom een lijstje met open source-producten opgenomen.

2.Geen uitwisseling van gegevens

Het probleem: De CERT's wisselen te weinig gegevens met elkaar uit, waardoor er vaak langs elkaar heen wordt gewerkt, incidenten niet op de juiste waarde worden geschat en de aanpak van georganiseerde aanvallen niet optimaal is.

Dat komt onder andere doordat de CERT's gebruik maken van zelf ontwikkelde tools. Die communiceren niet met elkaar, omdat elke CERT ook nog eens zijn eigen dataformaat hanteert. “Het moet worden opgemerkt dat het in-house ontwikkelen van tools niet tot de kernactiviteiten van een CERT behoort", merkt Enisa droogjes op.

De aanbeveling: Het gebruik van standaard oplossingen en meer gangbare dataformaten, het liefst gebaseerd op comma-separated values (csv). Data moet worden uitgewisseld via een beveiligd protocol zoals https, sftp of scp. Volgens Enisa zijn er genoeg open source systemen om aan die gestandaardiseerde dataoverdracht te kunnen voldoen.

3. Geen eigen monitoringsystemen

Het probleem: CERT's hebben geen eigen systemen om incidenten te ontdekken en netwerken te monitoren. Daardoor zijn ze afhankelijk van externe diensten of incidentenmeldingen. Dat zorgt er voor dat ze relatief laat zijn in het opmerken van incidenten. Bovendien kunnen ze de meldingen niet onafhankelijk verifiëren.

Verder hebben CERT's geen 'honeypot', en een beperkt aantal gebruikt sandbox-analyse. Ook dit is volgens Enisa weer vooral een kostenoverweging, maar het komt ook doordat veel CERT's deze technieken lastig vinden.

De aanbeveling: De CERT's die de middelen hebben om een eigen monitoringsysteem aan te schaffen, worden aangemoedigd dat ook te doen. Dat kan, als dat financieel nodig is, in samenwerking met andere overheidsinstellingen. Wat betreft het gebruik van honeypots en sandboxes doet Enisa de aanbeveling dat CERT's zelf meewerken aan verdere ontwikkeling van die technologieën, omdat het vindt dat de huidige oplossingen tekortschieten.

4. Geen zicht op datalekken

Het probleem: Enisa constateert dat het lekken van privégegevens een toenemend probleem is. Daarbij verwijst de organisatie onder meer naar Anonymous en de botnets. Hoewel datalekken grote consequenties kunnen hebben voor bedrijven en organisaties die die data beheren wordt er maar sporadisch gemonitord op het verlies van data door diezelfde bedrijven en organisaties, zegt Enisa.

Een voorbeeld van een monitorservice geeft Enisa met de zogeheten BIN-feed van Team Cymru, dat in de gaten houdt welke bankrekeningen en credit cards mogelijk zijn gecompromitteerd in Wales. Die BIN-feed, waarbij BIN staat voor Bank Identification Number, speurt de 'ondergrondse economie' af naar BIN's die worden gepost. Team Cymru is een onderzoekbedrijf in internetbeveiliging dat onder meer voor de bankensector in Wales werkt.

Enisa ziet daarin als probleem dat dergelijke lijsten van gestolen nummers alleen kan worden overhandigd aan de eigenaar van die data, en dat is de bank. Andere organisaties, zoals de CERT's krijgen daardoor onvoldoende zicht op de werkelijke omvang en aard van datalekken.

De aanbeveling: Onderzocht moet worden wie een betrouwbare informatiemakelaar kan opzetten die dergelijke informatie kan verzamelen en verspreiden onder relevante partijen. Volgens Enisa zouden nationale CERT's een dergelijke taak aankunnen, maar dan moeten nog wel enkele randvoorwaarden worden ingevuld. Een daarvan is dat het CERT's juridisch wordt toegestaan om privé-informatie van personen te verzamelen als die gestolen zijn, maar dan alleen met dit specifieke doel en in deze context, zegt Enisa.

5. Juridische barrières

Het probleem: Enisa is diverse juridische barrières tegengekomen in het onderzoek. Het delen van data is bijvoorbeeld niet altijd mogelijk. Terwijl bij incidenten vrijwel altijd data als ip-adressen, urls en timestamps meekomen in een rapport. Die data wordt in sommige landen en in sommige gevallen beschouwd als persoonlijke informatie. Niet alleen heeft dat consequenties voor het delen van CERT's van informatie met anderen, maar het weerhoudt ook andere organisaties om data te delen met CERT's.

“Tijdens een bijeenkomst van experts die aan het onderzoek wilden meedoen, zeiden sommige ict-leveranciers dat zij gevallen hebben meegemaakt waarin CERT's weigerden om informatie over incidenten te ontvangen vanwege de mogelijke juridische consequenties", schrijft Enisa. Zelfs in landen waar de wetten wat vager zijn over het verwerken en delen van data zoals ip-adressen en urls, zien CERT's dat nog steeds als grijs gebied.

De aanbeveling: Ditmaal doen de eerder genoemde experts de aanbeveling dat Enisa een rol moet spelen in het bereiken van een evenwicht tussen privacybescherming en beveiligingsvraagstukken. De CERT's moeten helder omschrijven hoe, waarom en wanneer zij data behandelen. Europese en nationale wetten moeten duidelijk omschrijven wat voor data wettelijk kan worden verwerkt en uitgewisseld, in welke context dat mag en onder welke voorwaarden.

“Helaas valt de verdere uitdieping van de specifieke gaten in Europese en nationale wetten als ook aanbevelingen voor concrete regelgeving buiten de scope van dit onderzoek", zegt Enisa wat spijtig. Wel zegt de organisatie bezig te zijn met een nieuw onderzoek naar de juridische aspecten van informatie-uitwisseling en internationale samenwerking van CERT's in Europa.