Computer emergency response team

De aanleiding voor de oprichting van CERT/CC is de uitbraak van de Morris-worm op internet in 1988. Deze worm verspreidde zich snel naar een groot deel van het toenmalig internet en onderbrak onder andere e-mail diensten omdat servers vastliepen. Direct na de uitbraak van de worm en het moeizame herstel besloot het Amerikaanse defensie-instituut Defense Advanced Research Projects Agency (DARPA) budgetten beschikbaar te stellen voor de oprichting van een expert team voor coördinatie bij beveiligingsincidenten met computers en netwerken. Dat het CERT/CC binnen twee weken na het herstel van de Morris-worm was opgericht is een indicatie van de impact van de worm.

CERT/CC ontwikkelde methoden en gereedschappen om incidenten te voorkomen en snel problemen te kunnen analyseren. Al snel na de oprichting stimuleerde CERT/CC de oprichting van CERTs in andere organisaties en landen. Inmiddels zijn er ca. 200 CERTs in 43 landen. In 1992 richtte SURFnet in Nederland voor het eerst een CERT in.

Iedere CERT/CSIRT is uniek in de zin dat het werkt voor verschillende achterbannen (constituency), verankerd is in verschillende organisaties en verschillende specialiteiten kent. In het algemeen zijn drie verschijningsvormen dominant:

• het centrale team, waarbij alle incident handlers zijn toegewijd aan incident respons en in geval van een incident ingrijpen in de computers en netwerken.
• het virtuele of decentrale team, waarbij incident handlers werken bij andere organisatieonderdelen en (parttime) werken als incident handler
• het coördinerende team, waarbij incident handlers niet zelf ingrijpen, maar samenwerken met dedagelijkse technische beheerders van de computer infrastructuur bij de organisatieonderdelen. Het coördinerende team richt zich meer op aanpak, analyse, communicatie en advies.

In organisaties waar informatiebeveiliging belangrijk is gaat een CERT vaak samen met het operationeel beheer van security systemen op in een SOC.

Omdat internet een vast onderdeel is geworden van vitale maatschappelijke processen hebben veel landen een CERT/CSIRT dat coördineert op nationaal niveau.

Bij private en publieke organisaties in Nederland zijn CERTs/CSIRTs operationeel, onder andere:

• NCSC, centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland
• AMC-CERT, voor de systemen van Academisch Medisch Centrum Amsterdam
• CERT-RU, voor informatiebeveiliging van de Radboud Universiteit te Nijmegen
• CERT-RUG, voor de systemen van de Universiteit Groningen
• DI-CERT, het CERT van Digital Investigation te Hilversum, biedt CERT-diensten voor bedrijven in Nederland
• DefCERT, een onderdeel van het Joint IV commando voor de systemen van het ministerie van defensie
• Edutel-CSIRT, voor de IP-diensten van Edutel
• IBD, Informatiebeveiligingsdienst voor (Nederlandse) gemeenten
• ING Global CIRT
• KPN-CERT voor de diensten van KPN
• Northwave-CERT en Northwave-SOC
• NFIR, cyber security, digitaal forensisch onderzoek, pentesten
• Rabobank SOC
• Saxion-CSIRT, onderdeel van Saxion
• SURFcert, voor alle instellingen aangesloten op SURFnet
• Tesorion CERT en Tesorion SOC
• UvA-CERT, voor systemen van de universiteit van Amsterdam
• VUCERT, voor systemen van de Vrije Universiteit in Amsterdam
• WUR-CERT, voor de systemen van Wageningen Universiteit en Researchcentrum
• CERT-UU, voor systemen binnen de Universiteit Utrecht
• CERT-UT, voor systemen binnen de Universiteit Twente
• Z-CERT, expertisecentrum cybersecurity in de zorg

• een overzicht van diensten die van een CSIRT verwacht kunnen worden
• NIST SP 800-61, een handboek voor CSIRTS
• Belgian federal cyber emergency team
• portal voor Computer Emergency Response Teams in Nederland