Řízení rozhodování o platbě výkupného při ransomwaru pro NIS2 a DORA
Je 3:17 ráno ve všední den roku 2026. Maria, CISO rychle rostoucí fintech platformy, je přizvána do krizového konferenčního hovoru zprávou od vedoucího analytika SOC: je potvrzeno rozsáhlé šifrování, klíčové služby jsou nedostupné a ransomwarová skupina tvrdí, že odcizila 2 TB zákaznických dat.
Jako první se k hovoru připojuje CEO. Následuje právní oddělení. Poté ochrana soukromí, finance, komunikace, pojišťovna kybernetických rizik, forenzní poskytovatel a tým cloudového provozu. Portál na dark webu zobrazuje 48hodinové odpočítávání a sedmiciferný požadavek v kryptoměně.
CEO položí otázku, které se obává každý CISO.
„Můžeme zaplatit a kdo o tom smí rozhodnout?“
Nesprávná odpověď je chápat to jako problém vyjednávání. Správná odpověď je chápat to jako problém správy a řízení.
V roce 2026 už řízení rozhodování o platbě při ransomwaru není soukromou technickou volbou v krizové situaci. Může být přezkoumáváno regulačními orgány, auditory, pojišťovnami, zákazníky, orgány činnými v trestním řízení, akcionáři i řídicím orgánem. Rozhodnutí o platbě se protíná se sankční expozicí, posouzením porušení zabezpečení osobních údajů, podmínkami pojištění kybernetických rizik, smluvními povinnostmi, krizovou komunikací, uchováním důkazů, fázovaným hlášením podle NIS2, klasifikací incidentů podle DORA, oznámením podle GDPR a zlepšováním po incidentu.
Proto Clarysec klientům doporučuje vybudovat řízení rozhodování o platbě při ransomwaru v rámci ISMS ještě před incidentem. ISO/IEC 27001:2022 poskytuje strukturu systému řízení. Opatření ISO/IEC 27002:2022 poskytují provozní model. Zenith Blueprint: 30krokový plán auditora a Zenith Controls: průvodce napříč požadavky na soulad pomáhají tuto strukturu převést na praktické, auditovatelné důkazy.
Postup reakce na ransomware, který pouze uvádí „informujte právní oddělení“, nestačí. Organizace musí vědět, kdo může autorizovat vyjednávání, jak se provádí sankční kontrola, kdy musí platbu schválit pojišťovna, jak se dokumentuje klasifikace podle GDPR, NIS2 a DORA a jak se chrání důkazy, zatímco týmy obnovy pracují pod tlakem.
Proč ad hoc rozhodnutí o platbě při ransomwaru selhávají
Rozhodnutí o platbě při ransomwaru se často popisuje jako binární: zaplatit, nebo nezaplatit. Ve skutečnosti má rozhodnutí nejméně šest vrstev:
- Je událost potvrzena, zadržena a správně klasifikována?
- Jsou dotčeny osobní údaje, regulovaná data nebo poskytování kritických služeb?
- Je organizace právně oprávněna komunikovat nebo provádět transakci s původcem hrozby?
- Vyžaduje pojištění kybernetických rizik předchozí oznámení, schválené dodavatele, souhlas nebo konkrétní důkazy?
- Snížila by platba dopad na provoz, nebo by zvýšila právní, finanční a reputační riziko?
- Kdo má pravomoc rozhodnout a jak se toto rozhodnutí zaznamenává?
Během probíhajícího incidentu často nesladěné týmy táhnou různými směry. CFO může vnímat výkupné jako obchodní náklad ve srovnání s narůstající nedostupností služeb. Právní oddělení vidí sankce, finanční kriminalitu a regulační expozici. DPO posuzuje, zda šifrovaná nebo exfiltrovaná data představují oznamované porušení zabezpečení osobních údajů. Tým compliance sleduje lhůty pro hlášení podle NIS2 a DORA. CISO se snaží uchovat důkazy a zároveň obnovit služby. CEO chce doporučení dříve, než vyprší časovač útočníka.
Bez formálního rozhodovacího procesu se nejsilnější hlas v místnosti může stát modelem správy a řízení. Přesně takové situaci má moderní regulace kybernetické bezpečnosti zabránit.
NIS2 činí z kybernetické bezpečnosti odpovědnost vedení. Article 20 upravuje správu a odpovědnost řídicích orgánů, zatímco Article 21 vyžaduje opatření k řízení rizik pokrývající zvládání incidentů, kontinuitu činností, správu záloh, krizové řízení, zabezpečení dodavatelského řetězce, řízení přístupu, správu aktiv, MFA a hodnocení účinnosti. Article 23 zavádí fázované hlášení významných incidentů, včetně včasného varování do 24 hodin, oznámení do 72 hodin a závěrečné zprávy do jednoho měsíce, je-li to relevantní.
Pro finanční subjekty je DORA odvětvovým souborem pravidel digitální provozní odolnosti. Article 5 ukládá odpovědnost za řízení rizik v oblasti ICT řídicímu orgánu. Articles 17, 18 and 19 se věnují řízení incidentů souvisejících s ICT, klasifikaci a hlášení závažných incidentů souvisejících s ICT. DORA rovněž vyžaduje schopnosti reakce a obnovy, zálohování a obnovení, učení se po incidentu, testování a řízení rizik ICT třetích stran.
GDPR přidává samostatné, ale překrývající se posouzení. Pokud ransomware způsobí náhodné nebo protiprávní zničení, ztrátu, změnu, neoprávněné zpřístupnění osobních údajů nebo neoprávněný přístup k nim, správce musí posoudit, zda došlo k porušení zabezpečení osobních údajů. Pokud je vyžadováno oznámení, lhůta pro dozorový úřad je zpravidla 72 hodin od okamžiku zjištění. Pokud existuje vysoké riziko pro fyzické osoby, může být vyžadována také komunikace s dotčenými osobami.
Závěr je jednoduchý: otázka výkupného nesmí zaznít poprvé až ve válečné místnosti.
Opatření ISO 27001:2022, která ukotvují řízení plateb
ISMS podle ISO/IEC 27001:2022 není kontrolní seznam pro auditory. Je to systém řízení pro rozhodování na základě rizik. Řízení rozhodování o platbě při ransomwaru do tohoto systému patří, protože spojuje posouzení rizik, ošetření rizik, role, právní povinnosti, reakci na incidenty, kontinuitu, řízení dodavatelů a neustálé zlepšování.
Nejrelevantnější opatření přílohy A normy ISO 27001:2022 tvoří propojený řetězec opatření.
| Oblast opatření ISO 27001:2022 | Proč je důležitá při řízení rozhodování o platbě při ransomwaru |
|---|---|
| A.5.24 Plánování a příprava řízení incidentů informační bezpečnosti | Definuje rámec reakce na incidenty, eskalační model, komunikaci a připravenost před zahájením vydírání. |
| A.5.25 Posouzení a rozhodování o událostech informační bezpečnosti | Stanovuje, jak se z událostí stávají incidenty, jak se určuje závažnost a kdy se spouští eskalace na vrcholové vedení. |
| A.5.26 Reakce na incidenty informační bezpečnosti | Řídí zadržení, eradikaci, koordinaci obnovy a provedení provozních rozhodnutí. |
| A.5.27 Poučení z incidentů informační bezpečnosti | Zajišťuje, aby výsledky rozhodnutí o výkupném, téměř vzniklé incidenty, zpětná vazba pojišťovny a zjištění regulačních orgánů zlepšovaly budoucí opatření. |
| A.5.28 Sběr důkazů | Uchovává logy, obrazy, korespondenci, vzorky malwaru a záznamy rozhodnutí právně spolehlivým způsobem. |
| A.5.29 Bezpečnost informací během narušení | Udržuje bezpečnostní opatření funkční, zatímco organizace pracuje v degradovaném režimu. |
| A.5.30 Připravenost ICT na kontinuitu činností | Propojuje zálohy, priority obnovy, přepnutí a plány kontinuity s rozhodovacím procesem při incidentu. |
| A.5.31 Právní, zákonné, regulační a smluvní požadavky | Zachycuje sankční kontrolu, regulační oznamování, povinnosti vůči zákazníkům, povinnosti vůči pojišťovně a právní schválení. |
| A.5.34 Ochrana soukromí a ochrana PII | Řídí posouzení porušení zabezpečení podle GDPR a vyhodnocení dopadů na soukromí během vydírání. |
| A.6.3 Kontakt s orgány | Podporuje plánovanou komunikaci s regulačními orgány, CSIRTy, orgány činnými v trestním řízení a příslušnými orgány. |
| A.8.13 Zálohování informací | Určuje, zda je platba provozně relevantní, tím, že prokazuje možnosti obnovy. |
| A.8.15 Protokolování a A.8.16 Monitorovací činnosti | Poskytují důkazní základ pro rozsah, časovou osu, dopad a aktivitu útočníka. |
V Zenith Controls oddíl pro A.5.24, Plánování a příprava řízení incidentů informační bezpečnosti, klasifikuje opatření jako nápravné, navázané na důvěrnost, integritu a dostupnost a sladěné s koncepty reakce a obnovy. Zároveň propojuje A.5.24 s A.5.25 posouzením událostí, A.5.27 poučením z incidentů, A.8.15 protokolováním, A.8.16 monitorováním, A.5.29 bezpečností během narušení, kontinuitou a kontaktem s orgány.
Je to důležité, protože řízení plateb při ransomwaru je řetězec. Pokud nedokážete událost detekovat a klasifikovat, nemůžete rozhodnout. Pokud nedokážete uchovat důkazy, nemůžete rozhodnutí obhájit. Pokud nejsou zmapovány právní povinnosti, vyjednávání nebo platba mohou být protiprávní. Pokud nejsou otestovány možnosti obnovy, může být vrcholové vedení dotlačeno k rozhodnutí založenému na strachu, nikoli na faktech.
Zenith Controls popisuje vztah mezi přípravou a rozhodováním přímo:
„5.25 je rozhodovací bod, který určuje, kdy událost překročí práh bezpečnostního incidentu a spustí kroky uvedené v 5.26. Včasné a přesné posouzení události zajišťuje, že reakce na incident není opožděná ani chybně nasměrovaná.“
Stejný průvodce propojuje A.5.31, Právní, zákonné, regulační a smluvní požadavky, s ochranou soukromí, uchováváním záznamů, nezávislým přezkumem a souladem s interními politikami. U ransomwaru je A.5.31 místem, kde se v jednom registru souladu zachycují sankční kontrola, pojistné povinnosti, zapojení orgánů činných v trestním řízení, zákaznické smlouvy, povinnosti v oblasti ochrany údajů a odvětvové regulační oznamování.
Pětibránový model Clarysec pro řízení plateb při ransomwaru
Model Clarysec rozděluje řízení rozhodování o platbě při ransomwaru do pěti bran. Účelem není usnadnit placení. Účelem je zajistit, aby jakékoli rozhodnutí, včetně odmítnutí platby, bylo založené na důkazech, právně přezkoumané, autorizované a auditovatelné.
| Brána | Klíčová otázka | Požadované důkazy | Typický vlastník |
|---|---|---|---|
| Brána 1: vyhlášení incidentu | Byl podle definovaných kritérií vyhlášen ransomwarový nebo vyděračský incident? | Upozornění SIEM, telemetrie koncových bodů, výkupná zpráva, dotčená aktiva, počáteční záznam závažnosti | Vedoucí řešení incidentu nebo CISO |
| Brána 2: právní a regulační triáž | Zahrnuje incident osobní údaje, regulované služby, sankční riziko, smluvní oznámení nebo odvětvové hlášení? | Mapování právního registru, posouzení porušení zabezpečení podle GDPR, klasifikace podle NIS2 nebo DORA, poznámky právního poradce | Právní oddělení, compliance, DPO |
| Brána 3: proveditelnost obnovy | Může organizace bezpečně obnovit provoz bez platby v tolerovatelných mezích dopadu? | Kontroly integrity záloh, stav RTO/RPO, analýza dopadů na obchodní činnost, výsledky testů obnovy | IT, vedoucí BC/DR |
| Brána 4: přezkum rizika platby | Je jakékoli vyjednávání nebo platba právně přípustná, schválená pojišťovnou, prověřená z hlediska sankcí a autorizovaná řídicím orgánem? | Záznam sankční kontroly, souhlas pojišťovny, záznam konzultace s orgány činnými v trestním řízení, finanční schválení, přijetí rizika | Vrcholové vedení nebo řídicí orgán |
| Brána 5: uzavření a zlepšení | Byla zaznamenána rozhodnutí, komunikace, kořenová příčina a získané poznatky? | Zpráva o incidentu, řetězec svěření, komunikační log, plán zlepšení opatření | CISO, manažer ISMS, interní audit |
Tento model používá logiku ošetření rizik podle ISO 27001. Platba ransomwaru není bezpečnostní opatření. Je nanejvýš krizovou možností posuzovanou v kontextu ošetření rizik a obnovy. Ještě před incidentem by organizace měla mít rozhodnuto, jak se rizika ransomwaru ošetřují: zmírněním prostřednictvím opatření, přenosem části finanční expozice prostřednictvím pojištění, vyhnutím se nepřijatelným závislostem na zastaralých technologiích nebo výslovným přijetím zbytkového rizika, je-li odůvodněné.
Ve fázi řízení rizik, v kroku 13, Plánování ošetření rizik a Prohlášení o použitelnosti, Zenith Blueprint instruuje organizace, aby pro každé riziko určily možnosti ošetření a zdokumentovaly je v Registru rizik. Upozorňuje, že přenos, například pojištění kybernetických rizik, neodstraňuje potřebu opatření, protože přenos často řeší finanční dopad, nikoli pravděpodobnost. Dále uvádí:
„Přijetí musí být výslovné a schválené vedením, zejména u všech středních rizik. Vysoká rizika se přijímají jen zřídka, pokud nejsou skutečně nevyhnutelná a odsouhlasená na nejvyšší úrovni.“
Tato věta přímo souvisí s řízením plateb při ransomwaru. Pokud je řídicí orgán žádán, aby přijal zbytkové riziko odmítnutí platby nebo právní a reputační riziko schválení vyjednávání, přijetí musí být výslovné, zaznamenané a schválené příslušnou pravomocí.
Politika řízení rizik společnosti Clarysec posiluje stejný princip:
„Rozhodnutí o ošetření rizik musí být v souladu s předem definovanými možnostmi.“
Z ustanovení 5.5.
Rozhodnutí o výkupném proto není zkratkou mimo řízení rizik. Musí být zpracováno jako formální, zdokumentované rozhodnutí o ošetření rizika v rámci definované pravomoci.
Pravomoc podle politik: kdo může rozhodnout pod tlakem?
Mnohá selhání při ransomwaru jsou selhání správy a řízení maskovaná jako technická selhání. Někdo kontaktuje útočníka mimo schválený kanál. Někdo přislíbí platbu před schválením pojišťovnou. Někdo obnoví systémy a přepíše forenzní důkazy. Někdo informuje zákazníky příliš brzy, příliš pozdě nebo s nepřesnými fakty.
Politiky Clarysec jsou navrženy tak, aby tuto nejednoznačnost odstranily.
Pro SME stanoví Politika rolí a odpovědností v oblasti správy a řízení pro SME jednoduché pravidlo:
„Všechna významná bezpečnostní rozhodnutí, výjimky a eskalace musí být zaznamenány a dohledatelné.“
Z oddílu „Požadavky na správu a řízení“, ustanovení politiky 5.5.
SME Politika reakce na incidenty pro SME přiřazuje eskalační pravomoc:
„Generální ředitel (GM) odpovídá za autorizaci všech rozhodnutí o eskalaci incidentů, regulačních oznámení a externí komunikace.“
Z oddílu „Požadavky na správu a řízení“, ustanovení politiky 5.1.1.
Zároveň propojuje incidenty týkající se zákaznických dat s regulačními povinnostmi:
„Pokud jsou dotčena zákaznická data, generální ředitel musí posoudit zákonné oznamovací povinnosti na základě použitelnosti GDPR, NIS2 nebo DORA.“
Z oddílu „Ošetření rizik a výjimky“, ustanovení politiky 7.4.1.
Pro větší organizace vyžaduje podniková Politika rolí a odpovědností v oblasti správy a řízení okamžitou eskalaci tam, kde může existovat právní expozice nebo porušení zabezpečení dat podléhající hlášení:
„Právní/regulační eskalace: incidenty zahrnující možnou právní expozici nebo porušení zabezpečení dat podléhající hlášení musí být okamžitě eskalovány na právního a compliance officera a vrcholové vedení.“
Z oddílu „Požadavky na implementaci politiky“, ustanovení politiky 6.4.3.
Podniková Politika reakce na incidenty definuje pravomoc vrcholového vedení během závažných incidentů. Ustanovení 4.6.1 uvádí, že role týmu vrcholového vedení je:
„Činit strategická rozhodnutí během incidentů s vysokou závažností, včetně schvalování oznámení a veřejné komunikace.“
V kontextu ransomwaru Clarysec považuje diskusi o platbě, autorizaci vyjednávání, oznámení zákazníkům, regulační vyjádření a veřejnou komunikaci za strategická rozhodnutí, nikoli technické kroky.
Z toho vyplývá praktické pravidlo správy a řízení: CISO může doporučit, incidentní tým může posoudit, právní oddělení může poradit, finance mohou ověřit platební mechanismy, pojišťovna může souhlasit nebo odmítnout krytí, ale rozhodnutí musí podle předem definované pravomoci vlastnit vrcholové vedení nebo řídicí orgán.
Eskalace s ošetřeným sankčním rizikem před jakýmkoli vyjednáváním
Proces pro ransomware s ošetřeným sankčním rizikem začíná zákazem: žádný zaměstnanec, dodavatel, poskytovatel služeb, zprostředkovatel, vyjednavač ani člen týmu reakce na incidenty nesmí vyjednávat, slibovat, zprostředkovat ani převést hodnotu původci hrozby bez schváleného právního přezkumu.
Právní kontrolní bod musí proběhnout před jakýmkoli aktivním zapojením útočníka, nikoli až poté, co se objeví adresa peněženky. Proces by měl zahrnovat:
- Zapojení právního poradce před jakoukoli komunikací nad rámec pasivního zachycení důkazů.
- Identifikaci původce hrozby s využitím forenzních vstupů, informací o hrozbách a vstupů orgánů činných v trestním řízení, jsou-li dostupné.
- Sankční kontrolu a kontrolu omezených stran u názvů skupin, aliasů, adres peněženek, infrastruktury, zprostředkovatelů a platebních kanálů.
- Zvážení a zaznamenání konzultace s orgány činnými v trestním řízení.
- Oznámení pojišťovně kybernetických rizik podle podmínek pojistné smlouvy před jmenováním dodavatelů nebo zahájením vyjednávání.
- Zapojení DPO nebo vedoucího ochrany soukromí, pokud mohou být dotčeny osobní údaje.
- Potvrzení platebních kontrol, oddělení povinností, protipodvodních kontrol a požadavků na schválení řídicím orgánem ze strany CFO nebo finančního ředitele.
- Zaznamenání rozhodnutí vrcholového vedení včetně posouzených alternativ, jako je obnovení, zadržení, pozastavení služby, komunikace se zákazníky a odmítnutí platby.
- Uchování důkazů ke komunikaci útočníka, indikátorům, detailům peněženky, rozhodovacím schůzkám, schválením a externím stanoviskům.
U ransomwaru by právní registr měl zahrnovat alespoň následující zdroje povinností.
| Zdroj povinnosti | Dopad na řízení plateb |
|---|---|
| Sankční požadavky a požadavky proti finanční kriminalitě | Žádné vyjednávání ani platba bez právního prověření a zdokumentovaného schválení. |
| Smlouva o pojištění kybernetických rizik | Oznámení pojišťovně, schválení dodavatelé, předchozí souhlas, požadavky na důkazy a podmínky krytí. |
| GDPR | Posouzení porušení zabezpečení osobních údajů, oznámení dozorovému úřadu, komunikace se subjekty údajů a záznamy odpovědnosti. |
| NIS2 | Klasifikace významného incidentu, včasné varování do 24 hodin, oznámení do 72 hodin a měsíční závěrečná zpráva, je-li relevantní. |
| DORA | Klasifikace závažného incidentu souvisejícího s ICT, hlášení příslušnému orgánu, komunikace s klienty a analýza kořenové příčiny po incidentu. |
| Zákaznické smlouvy | Oznámení bezpečnostního incidentu, závazky úrovně služeb, práva na audit a povinnosti komunikace se zákazníky. |
| Očekávání orgánů činných v trestním řízení | Uchování důkazů, nakládání s komunikací útočníka a záznamy o koordinaci. |
Organizace by také měly určit, kdo může rozhodnutí o platbě zastavit. Právní oddělení, tým compliance, DPO, sankční poradce nebo řídicí orgán by měli mít výslovnou pravomoc pozastavit vyjednávání nebo platbu, pokud je kontrola neúplná, důkazy nejsou spolehlivé, podmínky pojišťovny nejsou splněny nebo by krok mohl porušit právní předpis nebo smlouvu.
Uchování důkazů: neničte důkazy při obnově služby
Ransomwarové týmy přirozeně spěchají obnovit provoz. Pokud ale obnova zničí logy, snapshoty, výkupné zprávy, vzorky malwaru, obrazy paměti nebo zprávy útočníka, organizace může ztratit schopnost prokázat, co se stalo.
Ve fázi Opatření v praxi, krok 23, Organizační opatření, Zenith Blueprint organizacím ukládá validovat a testovat schopnosti řízení incidentů tím, že definují bezpečnostní události podléhající hlášení, dokumentují rozhodování a uchovávají forenzní důkazy. Týmy instruuje:
„Zachyťte a protokolujte všechna rozhodnutí, role a komunikaci (5.26) a aktualizujte plán o získané poznatky (5.27). Ověřte, že jsou zavedeny postupy pro uchování forenzních důkazů (5.28), včetně snapshotů logů, záloh a bezpečné izolace dotčených systémů.“
Stejný krok vysvětluje A.5.28 jazykem, kterému by měl rozumět každý řídicí orgán:
„to, co dokážete prokázat, je stejně důležité jako to, co se skutečně stalo“
Podniková Politika sběru důkazů a forenzního šetření společnosti Clarysec posiluje požadavek, aby důkazy zůstaly dohledatelné:
„Log řetězce svěření musí doprovázet všechny fyzické nebo digitální důkazy od okamžiku získání až po archivaci nebo předání a musí dokumentovat:“
Z oddílu „Požadavky na správu a řízení“, ustanovení politiky 5.6.
Pro SME je Politika sběru důkazů a forenzního šetření pro SME záměrně praktická:
„Forenzní kopie nebo export musí být vždy vytvořeny; původní důkaz nesmí být nikdy přímo upravován.“
Z oddílu „Požadavky na implementaci politiky“, ustanovení politiky 6.1.1.
Vyžaduje také právní konzultaci tam, kde může existovat dopad na HR, právní oblast nebo zákazníky:
„Pokud incident zahrnuje možný dopad na lidské zdroje (HR), právní oblast nebo zákazníky, GM musí před pokračováním v uplatňování nebo eskalaci konzultovat právního poradce.“
Z oddílu „Požadavky na správu a řízení“, ustanovení politiky 5.4.2.
Praktický důkazní balíček by měl být otevřen během Brány 2. Vytvořte omezenou složku důkazů k incidentu. Exportujte časové osy SIEM, detekce EDR, cloudové auditní logy, logy přihlášení poskytovatele identit, stav zálohovacích úloh, výkupné zprávy, snímky obrazovky, zprávy útočníka, adresy peněženek, vzorky souborů, odkazy na právní stanoviska, korespondenci s pojišťovnou a rozhodnutí ze schůzek. Určete správce. Kde je to vhodné, zaznamenejte hash hodnoty. Nedovolte správcům čistit dotčené systémy před forenzním zajištěním, pokud to nevyžaduje ochrana života, ochrana kritické služby nebo zadržení schválené vrcholovým vedením.
Jeden klasifikační pracovní list pro NIS2, DORA a GDPR
Ransomwarový incident může spustit více lhůt. Výzvou není jen znát termíny. Výzvou je vědět, kdy se organizace o incidentu dozvěděla, co v daný okamžik věděla a jak byla učiněna klasifikační rozhodnutí.
NIS2 Article 23 vyžaduje, aby základní a důležité subjekty bez zbytečného odkladu oznámily CSIRT nebo příslušnému orgánu významné incidenty. Významnost je spojena se závažným provozním narušením, finanční ztrátou nebo značnou materiální či nemateriální škodou způsobenou jiným osobám. Fázovaný model zahrnuje včasné varování do 24 hodin, oznámení do 72 hodin, průběžné aktualizace na vyžádání a závěrečnou zprávu do jednoho měsíce od oznámení incidentu, je-li relevantní.
DORA vyžaduje, aby finanční subjekty definovaly a zavedly řízení incidentů souvisejících s ICT, zaznamenávaly incidenty a významné kybernetické hrozby, klasifikovaly incidenty podle kritérií, jako jsou dotčení klienti, doba trvání, geografický rozsah, ztráta dat, kritičnost a ekonomický dopad, a hlásily závažné incidenty související s ICT příslušným orgánům prostřednictvím počátečních, průběžných a závěrečných zpráv.
GDPR klade jinou, ale překrývající se otázku: způsobil incident porušení zabezpečení osobních údajů? Pokud ano, je pravděpodobné, že povede k riziku pro fyzické osoby? Pokud je naplněn práh pro oznámení, musí být oznámení dozorovému úřadu posouzeno proti 72hodinové lhůtě. Pokud existuje vysoké riziko, může být nutná také komunikace s fyzickými osobami.
Clarysec doporučuje používat jeden pracovní list klasifikace ransomwaru se samostatnými oddíly pro každý režim.
| Oblast klasifikace | Příklad otázky k ransomwaru | Výstup |
|---|---|---|
| Provozní dopad | Jsou kritické služby narušeny nebo pravděpodobně budou narušeny? | Vstup pro významnost podle NIS2 a kritičnost podle DORA |
| Finanční dopad | Způsobil incident nebo může způsobit významnou finanční ztrátu? | Vstup pro závažnost podle NIS2 a DORA |
| Dopad na zákazníky | Jsou dotčeni příjemci služeb, klienti, protistrany nebo transakce? | Vstup pro NIS2, DORA a smluvní oznámení |
| Osobní údaje | Bylo k osobním údajům přistoupeno, byly exfiltrovány, změněny, zničeny nebo znepřístupněny? | Vstup pro posouzení porušení zabezpečení podle GDPR |
| Citlivost dat | Zahrnují dotčená data zvláštní kategorie údajů, přihlašovací údaje, finanční údaje, doklady totožnosti nebo údaje dětí? | Vstup pro riziko podle GDPR a komunikaci |
| Přeshraniční dopad | Je dotčeno více členských států, jurisdikcí, zákazníků nebo lokalit poskytování služeb? | Vstup pro hlášení podle NIS2 a DORA |
| Míra jistoty důkazů | Jaká fakta jsou potvrzená, předpokládaná nebo neznámá? | Základ pro fázované hlášení a aktualizace |
Tento přístup odpovídá ustanovením ISO 27001 o posouzení rizik, ošetření rizik a dokumentovaných informacích. Je také v souladu s NIST CSF 2.0. Funkce GOVERN v NIST CSF 2.0 očekává, že organizace rozumí zainteresovaným stranám, právním a regulačním povinnostem, ochotě podstupovat riziko, rolím, politice, dohledu a rizikům třetích stran. Její výsledky v oblasti detekce, reakce a obnovy podporují vyhlášení incidentu, analýzu, koordinaci reakce, informování zainteresovaných stran, provedení obnovy a validaci obnovení.
Pro finanční subjekty může DORA fungovat jako odvětvový režim kybernetické bezpečnosti pro překrývající se povinnosti NIS2, to však neodstraňuje potřebu rozumět použitelnosti NIS2 pro skupinové entity, poskytovatele ICT, řízené služby nebo cloudové závislosti. Praktickou odpovědí není udržovat samostatné postupy reakce. Je jí provozovat jeden důkazní model ISMS mapovaný na všechny relevantní povinnosti.
Pojištění kybernetických rizik a koordinace dodavatelů jsou kontrolní mechanismy správy
Pojištění kybernetických rizik může být cenné, ale není strategií proti ransomwaru. Je to mechanismus přenosu rizika s podmínkami. Během ransomwarové události může pojišťovna vyžadovat okamžité oznámení, využití panelových společností, předchozí schválení vyjednávání, uchování důkazů, důkaz o selhání záloh, důkaz o přiměřených opatřeních a právní přezkum před jakýmkoli zvažováním platby.
DORA činí z rizika ICT třetích stran plnohodnotnou doménu souladu. NIS2 Article 21 rovněž vyžaduje zabezpečení dodavatelského řetězce a zohlednění zranitelností dodavatelů a jejich postupů kybernetické bezpečnosti. ISO 27001 podporuje stejnou logiku prostřednictvím opatření pro dodavatele a cloud, jako jsou A.5.19 až A.5.23, a dále prostřednictvím opatření pro incidenty, kontinuitu a právní požadavky.
Zenith Controls propojuje přípravu na incidenty s externími partnery, včetně forenzních společností, právního poradenství, PR a kontaktu s orgány. Z auditního pohledu může být absence předem určených externích partnerů považována za mezeru v připravenosti, protože může zpozdit reakci během skutečného incidentu.
Pro řízení rozhodování o platbě při ransomwaru Clarysec doporučuje předem sjednat:
- Rámcovou pohotovostní smlouvu na forenzní služby nebo podmínky rychlé reakce.
- Dostupnost externího právního poradce pro porušení zabezpečení, sankce a strategii ochrany důvěrnosti právní komunikace.
- Cestu oznámení pojišťovně kybernetických rizik a seznam schválených dodavatelů.
- Eskalační trasu cloudového poskytovatele pro snapshoty, logy, izolaci a obnovu.
- Postupy spolupráce s MSSP nebo MDR při incidentu.
- Proces přezkumu PR a krizové komunikace.
- Bankovní nebo finanční schvalovací kontroly pro jakoukoli mimořádnou platbu.
- Protokol kontaktu s orgány činnými v trestním řízení.
To dobře odpovídá výsledkům NIST CSF 2.0 pro dodavatelský řetězec, včetně rolí a odpovědností dodavatelů, náležité péče, smluvních požadavků na kybernetickou bezpečnost, koordinace incidentů s dodavateli a činností po ukončení spolupráce.
Praktický postup eskalace platby při ransomwaru
Pět bran lze převést do provozního postupu. Každý krok má být zdokumentován, má mít vlastníka a má být nacvičen.
| Fáze | Klíčový krok | Odpovědná role | Klíčová opatření ISO 27001:2022 | Důkaz nebo výstup |
|---|---|---|---|---|
| 1. Triáž a vyhlášení | Posoudit událost podle kritérií, vyhlásit významný nebo závažný incident, aktivovat tým reakce | Vedoucí SOC, vedoucí řešení incidentu | A.5.24, A.5.25 | Incidentní tiket, log vyhlášení, počáteční situační zpráva |
| 2. Analýza dopadů na obchodní činnost | Kvantifikovat provozní dopad, odhadnout stav RTO/RPO, určit kritičnost dat a služeb | Vlastníci podnikových procesů, CISO, vedoucí BC/DR | A.5.29, A.5.30, A.8.13 | Analýza dopadů na obchodní činnost, zjištění integrity záloh |
| 3. Uchování důkazů | Exportovat logy, uchovat systémy, zabezpečit důkazy a udržovat řetězec svěření | Vedoucí forenzního šetření, tým reakce na incidenty | A.5.28, A.8.15, A.8.16 | Forenzní obrazy, exporty logů, záznam řetězce svěření |
| 4. Právní a sankční kontrola | Zapojit právního poradce, identifikovat původce hrozby, provést sankční kontrolu, posoudit oznamovací povinnosti | Právní zástupce, DPO, compliance, externí právní poradce | A.5.31, A.5.34, A.6.3 | Právní stanovisko, záznam sankční kontroly, pracovní list hlášení |
| 5. Koordinace pojištění a dodavatelů | Informovat pojišťovnu, potvrdit schválené dodavatele, koordinovat cloud, MSSP a forenzní podporu | CISO, právní oddělení, manažer dodavatelů | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Souhlas pojišťovny, dodavatelské tikety, log úkonů dodavatele |
| 6. Podklad pro rozhodnutí vedení | Předložit možnosti, rizika, právní pohled, proveditelnost obnovy, dopad komunikace a stanovisko pojišťovny | Vedoucí řešení incidentu, CISO, právní oddělení, CFO | A.5.1, A.5.2, A.5.26, A.5.31 | Dokument s podklady pro rozhodnutí o ransomwaru |
| 7. Autorizace a dokumentace | Oprávněné vedení rozhodne, zda vyjednávat, odmítnout, zaplatit nebo zvolit alternativní kroky | CEO, vrcholové vedení, řídicí orgán | A.5.2, A.5.3, A.5.26, A.5.31 | Podepsaný záznam rozhodnutí, přijetí rizika, log úkonů |
| 8. Uzavření a zlepšení | Provést analýzu kořenové příčiny, získané poznatky a aktualizace opatření | Manažer ISMS, CISO, interní audit | A.5.27, ISO 27001 článek 10.2 | Zpráva o získaných poznatcích, plán nápravných opatření, aktualizované záznamy ISMS |
Cílem není zaručit pohodlné rozhodnutí. Pohodlné rozhodnutí nemusí existovat. Cílem je zajistit, aby rozhodnutí bylo autorizované, založené na důkazech, právně informované a obhajitelné.
90minutové stolní cvičení, které prokazuje připravenost
Nejjednodušším způsobem, jak otestovat řízení plateb při ransomwaru, není technické cvičení red teamu. Je to rozhodovací stolní cvičení.
Použijte Zenith Blueprint, fázi Opatření v praxi, krok 23, k validaci schopnosti řízení incidentů. Zvolte ransomwarový scénář a proveďte časově omezené cvičení. Cílem není předem rozhodnout, že organizace zaplatí nebo nikdy nezaplatí. Cílem je prokázat, že organizace dokáže dospět k řízenému rozhodnutí.
Scénář: zákaznická databáze hostovaná v cloudu je zašifrována, útočník tvrdí, že došlo k exfiltraci, zálohy existují, ale jejich integrita dosud nebyla otestována, pojišťovna nebyla informována a útočník poskytuje adresu peněženky se 48hodinovou lhůtou.
Kontrolní seznam cvičení:
- Vyhlaste incident a přiřaďte vedoucího řešení incidentu.
- Otevřete log rozhodování o ransomwaru.
- Klasifikujte událost pomocí kritérií A.5.25.
- Identifikujte dotčená aktiva a podnikové služby.
- Určete, zda jsou dotčeny osobní údaje.
- Spusťte pracovní postupy posouzení podle GDPR, NIS2, DORA a smluvních požadavků.
- Informujte právní oddělení, DPO, vrcholové vedení, pojišťovnu a forenzního poskytovatele.
- Uchovejte důkazy před destruktivními kroky obnovy.
- Ověřte integritu záloh a možnosti obnovení.
- Proveďte sankční kontrolu před jakýmkoli vyjednáváním.
- Zaznamenejte, zda je vyžadována konzultace s orgány činnými v trestním řízení.
- Připravte předběžná vyjádření pro zákazníky a regulační orgány.
- Předložte možnosti rozhodnutí oprávněnému vedení.
- Zaznamenejte rozhodnutí, odůvodnění, nesouhlasná stanoviska, schválení a další kroky.
- Naplánujte přezkoumání po incidentu a opatření ke zlepšení kontrol.
Výstupem má být úplný důkazní balíček: seznam účastníků, časová osa, klasifikační pracovní list, log rozhodnutí, návrhy komunikace, právní úkoly, úkoly vůči pojišťovně, zjištění k zálohám a získané poznatky. Takový balíček má pro audit vysokou hodnotu, protože ukazuje, že správa funguje ještě před skutečnou krizí.
Jak budou auditoři a regulační orgány proces testovat
Auditoři z různých oblastí budou stejný ransomwarový proces zkoumat různými optikami.
| Optika auditora | Co budou požadovat | Jak vypadají kvalitní důkazy |
|---|---|---|
| Auditor ISO 27001:2022 | Jsou plánování incidentů, posouzení událostí, reakce, důkazy, právní požadavky a získané poznatky řízeny? | Plán reakce na incidenty, mapování SoA, registr rizik, záznamy stolních cvičení, postup pro důkazy, logy rozhodnutí, výstupy přezkoumání vedením |
| Auditor ISMS ve stylu ISO/IEC 27007 | Rozumí lidé svým rolím a mohou záznamy prokázat fungování? | Rozhovory s CISO, právním oddělením, DPO, SOC a vrcholovým vedením, plus vzorkované incidentní tikety a eskalační záznamy |
| Hodnotitel v souladu s NIST | Jsou správa a řízení, detekce, reakce, komunikace a výsledky obnovy integrovány? | Profil CSF, registr rizik, pravidla monitorování, kritéria vyhlášení incidentu, komunikace se zainteresovanými stranami, validace obnovy |
| Auditor COBIT 2019 nebo ISACA | Existuje vlastnictví vedením, řízení procesu, dostatečnost důkazů a neustálé zlepšování? | RACI, procesní metriky, reporting souladu, přezkoumání po incidentu, sledování nápravných opatření |
| Auditor zaměřený na DORA | Jsou incidenty ICT klasifikovány, eskalovány, hlášeny, obnoveny a zlepšovány v rámci řízení rizik ICT? | Kritéria klasifikace incidentů, hlášení řídicímu orgánu, důkazy komunikace s klienty, analýza kořenové příčiny, testování odolnosti |
| Auditor GDPR/ochrany soukromí | Bylo posouzení porušení zabezpečení osobních údajů včasné, založené na riziku a zdokumentované? | Formulář posouzení porušení, zapojení DPO, rozhodnutí o oznámení dozorovému úřadu, odůvodnění komunikace se subjekty údajů, záznamy kontextu zpracování |
Zenith Controls poskytuje podrobnou auditní metodiku pro A.5.24, A.5.25 a A.5.31. U A.5.24 auditoři zkoumají plán reakce na incidenty, klasifikace závažnosti, role, seznamy kontaktů, pokyny k regulačnímu oznamování, cvičení a ujednání s externími partnery. U A.5.25 přezkoumávají, zda existují kritéria klasifikace událostí, zda záznamy o zpracování upozornění ukazují rozhodnutí o vyšetřování a eskalaci, zda se používají SIEM a informace o hrozbách a zda jsou zapojeny týmy DPO nebo právní týmy, pokud mohou být dotčeny osobní údaje. U A.5.31 auditoři hledají právní registry, mapování souladu, důkazy o přezkumu, pokrytí interním auditem a reporting vrcholovému vedení.
Auditní riziko nespočívá jen v tom, že organizace zaplatila nebo odmítla zaplatit. Auditní riziko spočívá v tom, že nikdo nedokáže prokázat, jak bylo rozhodnutí učiněno.
Od vydírání ke zlepšení opatření
Řízení ransomwaru nekončí obnovením systémů. ISO 27001 očekává neustálé zlepšování. A.5.27 poučení z incidentů informační bezpečnosti je pro toto očekávání zásadní. DORA vyžaduje analýzu kořenové příčiny a doplňující opatření. Závěrečné hlášení podle NIS2 očekává zmírňující opatření a pravděpodobnou kořenovou příčinu, je-li relevantní. Odpovědnost podle GDPR očekává dokumentaci rozhodnutí a ochranných opatření.
Každé přezkoumání po ransomwarovém incidentu by mělo odpovědět:
- Byly správně identifikovány lhůty pro hlášení?
- Fungovala rozhodovací pravomoc tak, jak byla navržena?
- Proběhl právní a sankční přezkum dostatečně brzy?
- Pomohla koordinace s pojišťovnou, nebo reakci zdržela?
- Byly zálohy úplné, oddělené, obnovitelné a otestované?
- Byly logy dostatečné k posouzení přístupu a exfiltrace?
- Reagovali dodavatelé podle smlouvy?
- Byla komunikace se zákazníky přesná a včasná?
- Obdrželo vrcholové vedení správné informace ve správný čas?
- Která opatření, politiky, smlouvy nebo školení se musí změnit?
Tyto odpovědi by měly aktualizovat registr rizik, Prohlášení o použitelnosti, plán reakce na incidenty, strategii zálohování, smlouvy s dodavateli, komunikační plán a program školení.
Ve fázi Základ ISMS a vedení, krok 5, Zenith Blueprint zdůrazňuje plánování externí komunikace, včetně identifikace zákazníků, regulačních orgánů, partnerů a veřejnosti, určení toho, co a kdy komunikovat, a definování toho, kdo komunikuje. U ransomwaru se tento krok stává mostem mezi technickou reakcí a zachováním důvěry.
Vytvořte záznam rozhodnutí dříve než výkupnou zprávu
Nejlepší čas pro řízení rozhodnutí o výkupném je předtím, než útočník stanoví lhůtu.
Pokud váš postup reakce na ransomware nedefinuje rozhodovací pravomoc, právní přezkum, sankční kontrolu, schválení pojišťovnou, uchování důkazů, klasifikaci podle NIS2 a DORA, posouzení porušení zabezpečení podle GDPR a dokumentaci na úrovni řídicího orgánu, má organizace mezeru ve správě a řízení, která čeká na krizi.
Clarysec pomáhá organizacím tuto schopnost vybudovat v rámci ISMS pomocí:
- Zenith Blueprint: 30krokový plán auditora pro fázovanou implementaci ISO 27001, ošetření rizik, plánování komunikace a validaci schopností při incidentech.
- Zenith Controls: průvodce napříč požadavky na soulad pro mapování opatření ISO 27001 na NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 a auditní důkazy.
- Podnikové politiky a politiky pro SME od Clarysec, včetně Politiky reakce na incidenty, Politiky reakce na incidenty - SME, Politiky sběru důkazů a forenzního šetření, Politiky sběru důkazů a forenzního šetření - SME, Politiky rolí a odpovědností v oblasti správy a řízení, Politiky rolí a odpovědností v oblasti správy a řízení - SME a Politiky řízení rizik.
- Praktických šablon stolních cvičení pro ransomware, logů rozhodnutí, matic právní eskalace, důkazních balíčků a pracovních listů pro reporting napříč požadavky na soulad.
Nečekejte na telefonát ve 3 ráno, abyste zjistili, kdo může rozhodnout. Přezkoumejte svůj plán reakce na incidenty proti pěti branám Clarysec, proveďte 90minutové stolní cvičení platby při ransomwaru a vybudujte záznam rozhodnutí s ošetřeným sankčním rizikem a připravený na audit, který obstojí před regulačními orgány, pojišťovnami i vaším vlastním řídicím orgánem.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council