Главная / Реагирование на компьютерные инциденты

Реагирование на компьютерные инциденты

Национальная Служба реагирования на компьютерные инциденты (далее – KZ-CERT) – это единый центр для пользователей национальных информационных систем и сегмента сети Интернет, обеспечивающий сбор и анализ информации по компьютерным инцидентам, консультативную и техническую поддержку пользователям в предотвращении угроз компьютерной безопасности.

Основная задача KZ-CERT — снижение уровня угроз информационной безопасности для пользователей казахстанского сегмента сети Интернет. В этой связи KZ-CERT оказывает содействие казахстанским и зарубежным юридическим и физическим лицам при выявлении, предупреждении и пресечении противоправной деятельности, имеющей отношение к сетевым ресурсам казахстанского сегмента сети Интернет.

KZ-CERT осуществляет сбор, хранение и обработку статистических данных, связанных с распространением вредоносных программ и сетевых атак на территории РК. В компетенцию службы входит обработка следующих компьютерных инцидентов с целью их выявления и нейтрализации:

• атаки на узлы сетевой инфраструктуры и серверные ресурсы, с целью нарушения их работоспособности (DoS (Denial of Service) и DDoS) и конфиденциальности информации;

• несанкционированный доступ к информационным ресурсам; • распространение вредоносного программного обеспечения, незатребованной корреспонденции (спам); • сканирование национальных информационных сетей и хостов; • подбор и захват паролей и другой аутентификационной информации;

взлом систем защиты информационных сетей, в том числе с внедрением вредоносных программ (сниффер, rootkit, keylogger и т.д.).

KZ-CERT не несет ответственности за возможные ошибки, ущерб и другие виды прямых или косвенных потерь, произошедших по вине пользователей в результате неправильного истолкования полученной от KZ-CERT информации.

Действуя в рамках нормативно-правовой базы РК, KZ-CERT не уполномочен заниматься решением вопросов, находящихся в ведении правоохранительных органов. KZ-CERT осуществляет:

• мониторинг и выявление механизмов и интернет-ресурсов, нарушающих законодательство РК;

• разработку рекомендаций пользователям по защите интересов личности, общества и государства в информационной сфере;

• оказание консультативных услуг по вопросам обеспечения информационной безопасности;

• оперативный прием сообщений о хакерских атаках. KZ-CERT занимается:

• координацией действий подразделений компьютерной безопасности государственных органов, операторов связи, а также других субъектов национальной информационной инфраструктуры по вопросам предотвращения правонарушений в области использования компьютерных и информационных технологий;

• сбором, анализом и накоплением информации о современных угрозах компьютерной безопасности и об эффективности применяемых средств защиты.

Веб-сайт: cert.gov.kz. Телефон: (7172) 55-99-97 Call-центр: 1400 E-mail: incident@cert.gov.kz

Часто задаваемые вопросы

Почему заблокирован/недоступен зарубежный интернет-ресурс?

Если вы столкнулись с проблемой недоступности зарубежного интернет-ресурса рекомендуем Вам обратиться в уполномоченный орган — Министерство информации и общественного развития РК.

Что делать если с Вашей карты списались деньги?

  • Заблокировать карту;
  • Обратиться в техническую поддержку банка для получения дальнейших рекомендаций;
  • Обратиться с заявлением в МВД РК.

Что делать если к Вам поступил звонок и неизвестный человек представляется сотрудником банка/пришло sms от банка?

  • Не передавайте свои данные недоверенным лицам;
  • Обратитесь в техническую поддержку банка по номеру, указанному на официальном интернет-ресурсе вашего банка;
  • Обратитесь с заявлением в МВД РК.

Деятельность моего сайта в доменной зоне .kz приостановлена

  • Обратитесь в KazNIC (nic.kz);
  • Обратитесь в уполномоченный орган в сфере информационной безопасности – МЦРИАП РК.

На Вашем интернет-ресурсе или в информационной системе обнаружена вредоносная активность/компрометация данных/несанкционированный доступ и модификация содержимого/Фишинговые формы/Ботнет

  • Заполните заявку в разделе «сообщить об инциденте» по ссылке cert.gov.kz/notify-incident
  • Обратитесь по горячему номеру «1400»

Как работает DDoS-атака?

Сетевые ресурсы (например, веб-серверы) имеют ограничения по количеству запросов, которые они могут обрабатывать одновременно. Помимо допустимой нагрузки на сервер существует ограничение пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:
  • Существенное замедление время ответа на запрос;
  • Отказ в обслуживании всех запросов пользователей или части из них.

Для каких целей используются DDoS-атаки?

Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может потребовать деньги за остановку атаки, а в некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента. Пример: Приближается праздник Святого Валентина и продавцы цветов пользуются большим спросом. Амбициозный предприниматель открывает интернет-магазин по продаже цветов со следующими характеристиками: красивый дизайн, хорошее разнообразие товаров, быстрая доставка и солидный бюджет для рекламы. Единственная проблема – очень сильные конкуренты, которые уже находятся на рынке в течение некоторого времени и охватывают значительную долю на рынке. Недобросовестный предприниматель может рискнуть, взяв на себя ответственность за все отрицательные последствия, и заказать DDoS-атаку на веб-сайты конкурентов, чтобы вывести их из строя на несколько дней или, по крайней мере, часов.

Кто участвует в DDoS-атаке?

Предположим, что владелец нового интернет-магазина по продаже цветов нашёл потенциального «хакера» для осуществления атаки. Они устанавливают цену за услуги, которая также зависит от сложности атаки. Фактически у «хакера» есть собственная сеть заражённых устройств по всему миру, пользователи которых бессознательно установили вредоносное программное обеспечение. Все эти вирусы дают о себе знать лишь в необходимое время, когда злоумышленник активирует и управляет заражёнными компьютерами. Такая сеть называется ботнетом.

Как определить является ли мое устройство частью ботнета?

Обычно бот в составе ботнета – это устройство с вредоносным ПО, дающим возможность злоумышленнику совершать некие действия, используя ресурсы заражённого компьютера. Следующие факторы могут указать на то, что ваш персональный компьютер является частью ботнета:

  • На компьютере появляются неожиданные сообщения, изображения или звуковые сигналы;
  • Ваш персональный компьютер сильно греется или шумит, хотя вы не запускали «тяжелые» приложения. Возможно, ресурсы вашего компьютера на исходе, проверить можно в Диспетчере задач, во вкладке «производительность»:
  • Программы без вашего участия могут запускаться или подключаться к интернету;
  • Не запускаются приложения;
  • Друзьям на почту или через мессенджер приходят сообщения, которые вы не отправляли;
  • Компьютер работает медленно или часто зависает;
  • Файлы и папки могут исчезать или их содержимое может измениться;
  • Всплывает множество системных сообщений об ошибке;
  • Браузер зависает или ведет себя неожиданным образом. Например, вы не можете закрыть вкладку.

У меня на рабочей станции не установлено антивирусное ПО, есть ли смысл ставить лицензионное антивирусное ПО?

Тенденция развития киберугроз и увеличение количества вредоносного ПО и ботов в ботсетях говорит о том, что без антивирусного ПО ваше устройство находится в зоне риска.

Из за чего появляются уязвимости на интернет-ресурсе?

  • Из-за неправильно написанного кода веб-приложений;;
  • Отсутствие обновлений используемого программного обеспечения и операционных систем;
  • Недостатки парольной политики;
  • Неправильная конфигурация веб-сервера;
  • Бесконтрольное увеличение количества доступных с Интернета сервисов.

На каких интернет-ресурсах не рекомендуется вводить банковские данные?

На интернет-ресурсах, в легитимности которых вы не уверены. Помимо этого обращайте внимание на наличие шифрования передаваемых данных на сайте. О наличии шифрования можно понять по закрытому замку с левой стороны адресной строки или «https://» вместо «http://» перед доменным именем сайта.