Computer emergency response team

Een Computer Emergency Response Team (CERT) is een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen in het geval van een beveiligingsincident met computers of netwerken. Het doel is om schade te reduceren en snel herstel van de dienstverlening te bevorderen. Naast reactie op incidenten richt een CERT zich ook op preventie en preparatie.

CERT is het acroniem dat het Software Engineering Institute van de Carnegie Mellon University in Pittsburg gaf aan het eerste Computer Emergency Response Team dat werd opgericht (bekend als CERT/CC).[1] Omdat Carnegie Mellon University de naam CERT beschermt worden andere incident response teams ook wel aangeduid met CSIRT (Computer Security Incident Response Team) of wordt het acroniem gebruikt voor Computer Emergency Readiness Team. In essentie hebben ze dezelfde functie: incidenten voorkomen en handelen als er zich toch een incident voordoet.

Geschiedenis

De aanleiding voor de oprichting van CERT/CC is de uitbraak van de Morris-worm op internet in 1988. Deze worm verspreidde zich snel naar een groot deel van het toenmalig internet en onderbrak onder andere e-mail diensten omdat servers vastliepen. Direct na de uitbraak van de worm en het moeizame herstel besloot het Amerikaanse defensie-instituut Defense Advanced Research Projects Agency (DARPA) budgetten beschikbaar te stellen voor de oprichting van een expert team voor coördinatie bij beveiligingsincidenten met computers en netwerken. Dat het CERT/CC binnen twee weken na het herstel van de Morris-worm was opgericht is een indicatie van de impact van de worm.

CERT/CC ontwikkelde methoden en gereedschappen om incidenten te voorkomen en snel problemen te kunnen analyseren. Al snel na de oprichting stimuleerde CERT/CC de oprichting van CERTs in andere organisaties en landen. Inmiddels zijn er ca. 200 CERTs in 43 landen. In 1992 richtte SURFnet in Nederland voor het eerst een CERT in.

Verschijningsvormen van een CERT/CSIRT

Iedere CERT/CSIRT is uniek in de zin dat het werkt voor verschillende achterbannen (constituency), verankerd is in verschillende organisaties en verschillende specialiteiten kent. In het algemeen zijn drie verschijningsvormen dominant:

  • het centrale team, waarbij alle incident handlers zijn toegewijd aan incident respons en in geval van een incident ingrijpen in de computers en netwerken.
  • het virtuele of decentrale team, waarbij incident handlers werken bij andere organisatieonderdelen en (parttime) werken als incident handler
  • het coördinerende team, waarbij incident handlers niet zelf ingrijpen, maar samenwerken met de dagelijkse technische beheerders van de computer infrastructuur bij de organisatieonderdelen. Het coördinerende team richt zich meer op aanpak, analyse, communicatie en advies.

In organisaties waar informatiebeveiliging belangrijk is gaat een CERT vaak samen met het operationeel beheer van security systemen op in een SOC.

Omdat internet een vast onderdeel is geworden van vitale maatschappelijke processen hebben veel landen een CERT/CSIRT dat coördineert op nationaal niveau.

Nederlandse CERTs/CSIRTs

Bij private en publieke organisaties in Nederland zijn CERTs/CSIRTs operationeel, onder andere:

  • NCSC, centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland
  • AMC-CERT, voor de systemen van Academisch Medisch Centrum Amsterdam
  • CERT-RU, voor informatiebeveiliging van de Radboud Universiteit te Nijmegen
  • CERT-RUG, voor de systemen van de Universiteit Groningen
  • DataExpertCERT / DE-CERT, incident response DataExpert[2]
  • DI-CERT, het CERT van Digital Investigation te Hilversum, biedt CERT-diensten voor bedrijven in Nederland
  • DefCERT, een onderdeel van het Joint IV commando voor de systemen van het Ministerie van Defensie
  • Edutel-CSIRT, voor de IP-diensten van Edutel
  • EUR CERT, voor informatiebeveiliging van de Erasmus Universiteit Rotterdam
  • FoxCERT, incident response Fox-IT[3]
  • IBD, Informatiebeveiligingsdienst voor (Nederlandse) gemeenten[4]
  • ING Global CIRT
  • KPN-CERT voor de diensten van KPN
  • Northwave-CERT en Northwave-SOC
  • NFIR, cyber security, digitaal forensisch onderzoek, pentesten
  • Rabobank SOC
  • Saxion-CSIRT, onderdeel van Saxion
  • SURFcert, voor alle instellingen aangesloten op SURFnet
  • Tesorion CERT en Tesorion SOC
  • CERT-UvA, voor systemen van de Universiteit van Amsterdam[5]
  • CERT-HvA voor systemen van de Hogeschool van Amsterdam[6]
  • VUCERT, voor systemen van de Vrije Universiteit in Amsterdam
  • WUR-CERT, voor de systemen van Wageningen Universiteit en Researchcentrum
  • CERT-UU, voor systemen binnen de Universiteit Utrecht
  • CERT-UT, voor systemen binnen de Universiteit Twente
  • Z-CERT, expertisecentrum cybersecurity in de zorg[7]
  • een overzicht van diensten die van een CSIRT verwacht kunnen worden
  • NIST SP 800-61, een handboek voor CSIRTS
  • Belgian federal cyber emergency team
  • portal voor Computer Emergency Response Teams in Nederland
Bronnen, noten en/of referenties
  1. http://www.cert.org
  2. Emergency Response – DataExpert. DataExpert bv(NL). Gearchiveerd op 22 oktober 2021. Geraadpleegd op 10 oktober 2021.
  3. Emergency Response – Fox-IT. Fox-IT (NL). Geraadpleegd op 22 mei 2020.
  4. Producten en diensten van de Informatie Beveiligingsdienst voor Gemeenten. Gearchiveerd op 22 januari 2022. Geraadpleegd op zoals 10 augustus 2018.
  5. Universiteit van Amsterdam, CERT-UvA - Extranet. Extranet - Universiteit van Amsterdam (8 augustus 2018). Gearchiveerd op 2 juni 2021. Geraadpleegd op 30 mei 2021.
  6. Hogeschool van Amsterdam, Computerbeveiliging - HvA. www.hva.nl. Gearchiveerd op 2 juni 2021. Geraadpleegd op 30 mei 2021.
  7. Computer Emergency Response Team voor de Zorg. www.z-cert.nl. Geraadpleegd op 22 mei 2020.