Incident response teams (IRT) i UH-sektoren

Siden 2107 har alle statlige universiteter og høgskoler i Norge, samt flere andre organisasjoner tilknyttet Uninett, et såkalt Incident Response Team (IRT) som en del av sitt sikkerhetsarbeid. Mens minimumskravet for nettilknytning gjennom Uninett er å følge opp abuse-epost og holde ved like oversikten over kontaktpersoner ved sikkerhetshendelser, så gjør et formalisert IRT det mulig for Uninett CERT å videreformidle varsler og annen informasjon som kilden har bedt om begrenset spredning av.

Forutsetninger for å innlemmes i IRT-informasjonsdelingen til Uninett CERT:

  • Minst én deltaker i teamet har gjennomgått TRANSITS-kurs eller Uninett CERTs forenklede utgave av dette
  • Teamlederen har signert avtale om at trafikklysprotokoll-merket informasjon skal håndteres i henhold til trafikklysprotokollen, og er ansvarlig for at alle teammedlemmer er kjent med denne
  • Teamet og Uninett CERT har gjennomført trygg utveksling av PGP-nøkler, og teamet er i stand til å motta og sende informasjon kryptert

Oversikt over team i sektoren med epostadresser og PGP-nøkler.

Opprettelsen av IRT-teamene skjedde etter påtrykk fra Kunnskapsdepartementet, og Uninett koordinerte prosessen med å få etablert disse lokale teamene på hver institusjon. De lokale IRT samarbeider tett med Uninett CERT og er viktige kontaktpunkt ved hendelseshåndtering.

I Styringsdokument for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren sier Kunnskapsdepartementet følgende:

«Kunnskapsdepartmentets overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge uønskede hendelser og minske konsekvensene av de hendelsene som likevel inntreffer.»

10 gode grunner for CERT og IRT:

  • De fleste av våre informasjonsverdier har havnet i det digitale domenet
  • Økende avhengighet av digitale tjenester
  • Stadig mer utfordrende trusselbilde, få om ingen klarer oppgaven alene
  • Stadig flere målrettede angrep mot vår sektor
  • Uninett CERT kan ikke dele sensitiv informasjon fra eksterne med institusjoner uten TLP-avtale.
  • Vi trenger signerte kryptonøkler for å sikre konfidensialitet og autentisitet i dialog
  • To  responstester  i  2016  mot abuse-adressene i sektoren ga lite tilfredsstillende resultat
  • IKT-16 øvelsen viste tydelig at vi alle er en del av totalforsvaret og vi trenger en god operativ organisering innad i hele sektoren.
  • IKT-hendelseshåndtering utgjør en vesentlig del av et ledelsessystem for informasjonssikkerhet
  • God operativ organisering er en forutsetning for et eventuelt nasjonal operativt senter og en 24/7 beredskap i sektoren