Главная / Реагирование на компьютерные инциденты
Реагирование на компьютерные инциденты
Национальная Служба реагирования на компьютерные инциденты (далее – KZ-CERT) – это единый центр для пользователей национальных информационных систем и сегмента сети Интернет, обеспечивающий сбор и анализ информации по компьютерным инцидентам, консультативную и техническую поддержку пользователям в предотвращении угроз компьютерной безопасности.
Основная задача KZ-CERT — снижение уровня угроз информационной безопасности для пользователей казахстанского сегмента сети Интернет. В этой связи KZ-CERT оказывает содействие казахстанским и зарубежным юридическим и физическим лицам при выявлении, предупреждении и пресечении противоправной деятельности, имеющей отношение к сетевым ресурсам казахстанского сегмента сети Интернет.
KZ-CERT осуществляет сбор, хранение и обработку статистических данных, связанных с распространением вредоносных программ и сетевых атак на территории РК. В компетенцию службы входит обработка следующих компьютерных инцидентов с целью их выявления и нейтрализации:
• атаки на узлы сетевой инфраструктуры и серверные ресурсы, с целью нарушения их работоспособности (DoS (Denial of Service) и DDoS) и конфиденциальности информации;
• несанкционированный доступ к информационным ресурсам;
• распространение вредоносного программного обеспечения, незатребованной корреспонденции (спам);
• сканирование национальных информационных сетей и хостов;
• подбор и захват паролей и другой аутентификационной информации;
взлом систем защиты информационных сетей, в том числе с внедрением вредоносных программ (сниффер, rootkit, keylogger и т.д.).
KZ-CERT не несет ответственности за возможные ошибки, ущерб и другие виды прямых или косвенных потерь, произошедших по вине пользователей в результате неправильного истолкования полученной от KZ-CERT информации.
Действуя в рамках нормативной правовой базы РК, KZ-CERT не уполномочен заниматься решением вопросов, находящихся в ведении правоохранительных органов.
KZ-CERT осуществляет:
• мониторинг и выявление механизмов и интернет-ресурсов, нарушающих законодательство РК;
• разработку рекомендаций пользователям по защите интересов личности, общества и государства в информационной сфере;
• оказание консультативных услуг по вопросам обеспечения информационной безопасности;
• оперативный прием сообщений о хакерских атаках.
KZ-CERT занимается:
• координацией действий подразделений компьютерной безопасности государственных органов, операторов связи, а также других субъектов национальной информационной инфраструктуры по вопросам предотвращения правонарушений в области использования компьютерных и информационных технологий;
• сбором, анализом и накоплением информации о современных угрозах компьютерной безопасности и об эффективности применяемых средств защиты.
Веб-сайт: cert.gov.kz.
Телефон: (7172) 55-99-97
Call-центр: 1400
E-mail: info@cert.gov.kz.
Часто задаваемые вопросы
Почему заблокирован/недоступен зарубежный интернет-ресурс?
Если вы столкнулись с проблемой недоступности зарубежного интернет-ресурса рекомендуем Вам обратиться в уполномоченный орган — Министерство информации и общественного развития РК.
Что делать если с Вашей карты списались деньги?
- Заблокировать карту;
- Обратиться в техническую поддержку банка для получения дальнейших рекомендаций;
- Обратиться с заявлением в МВД РК.
Что делать если к Вам поступил звонок и неизвестный человек представляется сотрудником банка/пришло sms от банка?
- Не передавайте свои данные недоверенным лицам;
- Обратитесь в техническую поддержку банка по номеру, указанному на официальном интернет-ресурсе вашего банка;
- Обратитесь с заявлением в МВД РК.
Деятельность моего сайта в доменной зоне .kz приостановлена
- Обратитесь в KazNIC (nic.kz);
- Обратитесь в уполномоченный орган в сфере информационной безопасности – МЦРИАП РК.
На Вашем интернет-ресурсе или в информационной системе обнаружена вредоносная активность/компрометация данных/несанкционированный доступ и модификация содержимого/Фишинговые формы/Ботнет
- Заполните заявку в разделе «сообщить об инциденте» по ссылке cert.gov.kz/notify-incident
- Обратитесь по горячему номеру «1400»
Как работает DDoS-атака?
Сетевые ресурсы (например, веб-серверы) имеют ограничения по количеству запросов, которые они могут обрабатывать одновременно. Помимо допустимой нагрузки на сервер существует ограничение пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:
- Существенное замедление время ответа на запрос;
- Отказ в обслуживании всех запросов пользователей или части из них.
Для каких целей используются DDoS-атаки?
Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может потребовать деньги за остановку атаки, а в некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.
Пример: Приближается праздник Святого Валентина и продавцы цветов пользуются большим спросом. Амбициозный предприниматель открывает интернет-магазин по продаже цветов со следующими характеристиками: красивый дизайн, хорошее разнообразие товаров, быстрая доставка и солидный бюджет для рекламы. Единственная проблема – очень сильные конкуренты, которые уже находятся на рынке в течение некоторого времени и охватывают значительную долю на рынке. Недобросовестный предприниматель может рискнуть, взяв на себя ответственность за все отрицательные последствия, и заказать DDoS-атаку на веб-сайты конкурентов, чтобы вывести их из строя на несколько дней или, по крайней мере, часов.
Кто участвует в DDoS-атаке?
Предположим, что владелец нового интернет-магазина по продаже цветов нашёл потенциального «хакера» для осуществления атаки. Они устанавливают цену за услуги, которая также зависит от сложности атаки. Фактически у «хакера» есть собственная сеть заражённых устройств по всему миру, пользователи которых бессознательно установили вредоносное программное обеспечение. Все эти вирусы дают о себе знать лишь в необходимое время, когда злоумышленник активирует и управляет заражёнными компьютерами. Такая сеть называется ботнетом.
Как определить является ли мое устройство частью ботнета?
Обычно бот в составе ботнета – это устройство с вредоносным ПО, дающим возможность злоумышленнику совершать некие действия, используя ресурсы заражённого компьютера. Следующие факторы могут указать на то, что ваш персональный компьютер является частью ботнета:
- На компьютере появляются неожиданные сообщения, изображения или звуковые сигналы;
- Ваш персональный компьютер сильно греется или шумит, хотя вы не запускали «тяжелые» приложения. Возможно, ресурсы вашего компьютера на исходе, проверить можно в Диспетчере задач, во вкладке «производительность»:
- Программы без вашего участия могут запускаться или подключаться к интернету;
- Не запускаются приложения;
- Друзьям на почту или через мессенджер приходят сообщения, которые вы не отправляли;
- Компьютер работает медленно или часто зависает;
- Файлы и папки могут исчезать или их содержимое может измениться;
- Всплывает множество системных сообщений об ошибке;
- Браузер зависает или ведет себя неожиданным образом. Например, вы не можете закрыть вкладку.
У меня на рабочей станции не установлено антивирусное ПО, есть ли смысл ставить лицензионное антивирусное ПО?
Тенденция развития киберугроз и увеличение количества вредоносного ПО и ботов в ботсетях говорит о том, что без антивирусного ПО ваше устройство находится в зоне риска.
Из за чего появляются уязвимости на интернет-ресурсе?
- Из-за неправильно написанного кода веб-приложений;;
- Отсутствие обновлений используемого программного обеспечения и операционных систем;
- Недостатки парольной политики;
- Неправильная конфигурация веб-сервера;
- Бесконтрольное увеличение количества доступных с Интернета сервисов.
На каких интернет-ресурсах не рекомендуется вводить банковские данные?
На интернет-ресурсах, в легитимности которых вы не уверены. Помимо этого обращайте внимание на наличие шифрования передаваемых данных на сайте. О наличии шифрования можно понять по закрытому замку с левой стороны адресной строки или «https://» вместо «http://» перед доменным именем сайта.