Wat is een CERT?
Wat is een CERT of CSIRT?
In ons werk als security professionals krijgen we veel vragen over de term CERT. Is dat nu een organisatie die mij gaat auditen en certificeren of ik mijn informatiebeveiliging op orde heb? Of leveren zij mij de benodigde security certificaten
De term CERT staat voor “Computer Emergency Response Team” en wordt ook wel als CSIRT aangeduid. Het is de gangbare benaming voor de functie binnen organisaties die zich richt op het voorkomen en genezen van computer of netwerk gerelateerde veiligheidsincidenten. Een betere term voor de huidige CERT zou ISIMC zijn omdat dat preciezer laat zien waar het om gaat: Information Security Incident Management Capability. “Information Security” laat zien waar het werkelijk om gaat bij beveiliging – niet om computers, maar om informatie als onderdeel van de bedrijfsprocessen en met name het primaire proces. “Incident Management” laat blijken dat het gaat om veel meer dan alleen “emergency response”: preventie en “lessons learned” zijn net zo belangrijk. “Capability” betekent dat het om een functie gaat binnen een organisatie. Nu wordt die functie natuurlijk door mensen verricht, dus is het zeker ook een team – maar dat team kan zowel bij elkaar zitten als verspreid door een organisatie! ISIMC mag dan een betere term zijn, CERT is algemeen in zwang, en wordt ook hier verder gebruikt.
De eerste CERT’s ontstonden in 1989. Nu zijn er honderden CERT’s wereldwijd en dat aantal groeit gestaag. Door de open aard van het Internet zijn veiligheidsincidenten niet meer plaatsgebonden – de CERT’s werken daarom al vanaf het begin samen. Thans bestaat die samenwerking op meer lagen: wereldwijd, regionaal (binnen Europa bijvoorbeeld), binnen sectoren, maar ook tussen nationale overheden.
Een CERT is toch alleen voor heel grote organisaties?
Deze vraag duidt soms op een te beperkt begrip van wat een CERT is. Het is vooreerst een functie. Die functie kan door een team van fulltimers die in dezelfde kamer zitten worden verricht – maar het kan ook een gedistribueerde en parttime opzet kennen. De oplossing hangt af van de eigen eisen en mogelijkheden. Een CERT is daarom eerder te zien als een bedrijfsmatig model voor het doelgericht omgaan met veiligheidsincidenten dan als een aantal computerexperts die samen in een kamertje “crackers” te slim af proberen te zijn. Het CERT model wordt vooral gebruikt om een aantal zaken beter te organiseren, met name autoriteit (mogen optreden), escalatie (door de rangen heen kunnen gaan waar nodig), awareness raising en samenwerking met andere spelers in het CERT veld. Een CERT is er dus voor alle organisaties.
Volgende keer zullen we dieper ingaan op de type CERT’s die er zijn en hoe zij samenwerken.