1. Rolul principal: Schimbul de informații (Threat Intelligence)

Ideea de bază a NPCCX este că nicio organizație nu se poate apăra singură în mod eficient. Platforma facilitează partajarea de date tehnice între instituții publice, companii private și experți.

• Indicatori de Compromitere (IoC): Adrese IP malițioase, semnături de malware, URL-uri de phishing.

• Alerte timpurii: Notificări despre atacuri care vizează sectoare specifice (ex: sectorul bancar sau energetic).

• Bune practici: Metode de remediere a vulnerabilităților nou descoperite.

2. Tehnologia din spate (MISP)

Platforma NPCCX se bazează, în mare parte, pe MISP (Malware Information Sharing Platform & Threat Sharing). Aceasta este o soluție open-source standardizată la nivel european, care permite automatizarea schimbului de date.

3. De ce este importantă?

• Reacție rapidă: Dacă o bancă din România detectează un atac nou, poate raporta indicatorii în NPCCX, iar restul instituțiilor își pot actualiza firewall-urile aproape instantaneu pentru a bloca același atac.

• Suveranitate digitală: Ajută la crearea unei baze de date naționale cu amenințări specifice spațiului cibernetic românesc ( .ro ).

• Conformitate: Ajută organizațiile să îndeplinească cerințele Directivei NIS / NIS2 privind raportarea incidentelor.

Componentele cheie ale ecosistemului

NPCCX este “rețeaua de socializare” tehnică a experților în securitate din România, unde aceștia fac schimb de “rețete” despre cum să blocheze atacatorii în timp real.

1. Cum se realizează înrolarea în NPCCX?

Înrolarea nu este un proces automat (tip “click și gata”), deoarece platforma manipulează date sensibile despre infrastructura critică a României. Procesul este gestionat de DNSC și urmează, de regulă, acești pași:

1. Solicitarea oficială: Organizația (publică sau privată) trebuie să trimită o cerere către DNSC prin care își exprimă intenția de a deveni parte din ecosistemul de partajare a informațiilor.

2. Verificarea eligibilității: DNSC evaluează dacă organizația face parte din sectoarele vizate de Directiva NIS2 (Energie, Transporturi, Sănătate, Infrastructură digitală etc.) sau dacă este un furnizor relevant de servicii de securitate.

3. Semnarea unui Acord de Schimb de Informații: Acesta este un document juridic care stabilește regulile de confidențialitate și modul în care datele pot fi folosite.

4. Configurarea tehnică: Odată aprobată, organizația primește acces la instanța centrală sau i se permite conectarea propriului nod MISP (Malware Information Sharing Platform) la nodul central NPCCX prin API.

2. Standardul TLP (Traffic Light Protocol)

Deoarece în NPCCX se partajează informații despre vulnerabilități care nu sunt încă publice, este vital ca cel care trimite informația să controleze cât de departe poate ajunge aceasta.

Protocolul TLP folosește patru culori pentru a indica nivelul de confidențialitate:

3. Alte standarde de raportare folosite (STIX & TAXII)

Pentru ca platformele de securitate să “vorbească” între ele fără intervenție umană (automatizarea prin Python despre care am discutat anterior), NPCCX folosește standarde internaționale:

• STIX (Structured Threat Information eXpression): Este “limba” în care sunt scrise amenințările. În loc de un email text, primești un fișier structurat care conține: tipul atacatorului, indicatorii (IP, fișier) și metodele folosite.

• TAXII (Trusted Automated eXchange of Intelligence Information): Este “poștașul”. Este protocolul de transport prin care datele în format STIX sunt trimise de la serverul central NPCCX către firewall-ul sau sistemul tău de analiză.

Care este relevanta acestor  protocoale standardizate pentru schimbul de informatii de securitate?

Dacă scrii un script Python pentru a extrage date din NPCCX:

1. Vei folosi API-ul (TAXII) pentru a aduce datele.

2. Vei parsa formatul JSON (STIX) pentru a găsi IP-urile malițioase.

3. Vei verifica eticheta TLP pentru a ști dacă ai voie să publici acele date într-un raport vizual sau dacă trebuie să le păstrezi interne.