Informationssikkerhedschefens guide til revisionsklart forensisk beredskab: samordning af NIS2, DORA, ISO 27001 og GDPR

Maria, informationssikkerhedschef i en mellemstor fintech-virksomhed, mærkede den velkendte knude i maven. Den eksterne revisionsrapport for deres ISO/IEC 27001:2022-certificering lå på hendes skrivebord, og konklusionen var umisforståelig: en væsentlig afvigelse.

Tre uger tidligere havde en juniorudvikler ved en fejl eksponeret et datalager i et ikke-produktionsmiljø på det offentlige internet i 72 minutter. Driftsmæssigt var hændelseshåndteringen en succes. Teamet reagerede hurtigt, lukkede systemet ned og bekræftede, at ingen følsomme kundedata var involveret.

Set fra et complianceperspektiv var det en katastrofe.

Da revisoren bad om bevismateriale, der kunne dokumentere præcist, hvad der skete i de 72 minutter, kunne teamet ikke levere. Cloududbyderens logfiler var generiske og var blevet overskrevet efter 24 timer. Firewall-logfilerne viste forbindelser, men manglede detaljer på pakkeniveau. De interne applikationslogfiler var ikke konfigureret til at registrere de specifikke API-kald, der var foretaget. Teamet kunne ikke endeligt dokumentere, at ingen uautoriseret part havde forsøgt at eskalere rettigheder eller bevæge sig lateralt til andre systemer.

Revisorens konstatering var hård: “Organisationen kan ikke fremlægge tilstrækkeligt og pålideligt bevismateriale til at rekonstruere tidslinjen for en sikkerhedshændelse, hvilket viser manglende forensisk beredskab. Dette rejser væsentlige bekymringer om efterlevelse af NIS2-kravene til hændelsesstyring, DORA’s krav om detaljeret hændelsessporing og GDPR’s ansvarlighedsprincip.”

Marias problem var ikke et svigt i hændelseshåndteringen, men et svigt i forudseenheden. Hendes team var dygtigt til at slukke brande, men de havde ikke opbygget evnen til at efterforske brandstifteren. Det er netop dette kritiske hul, forensisk beredskab lukker: en kapacitet, der ikke længere er en luksus, men et ufravigeligt krav under moderne regulering.

Fra reaktiv logning til proaktivt forensisk beredskab

Mange organisationer, som Marias, tror fejlagtigt, at “at have logfiler” er det samme som at være forberedt på en undersøgelse. Det er det ikke. Forensisk beredskab er en strategisk kapacitet, ikke et tilfældigt biprodukt af IT-drift. Som den internationale standard ISO/IEC 27043 beskriver det, skal organisationer etablere processer, der sikrer, at digitale beviser er forberedt, tilgængelige og omkostningseffektive forud for potentielle sikkerhedshændelser.

I sammenhæng med NIS2, DORA, ISO 27001:2022 og GDPR betyder det, at organisationen kan:

• Detektere relevante hændelser hurtigt nok til at overholde korte rapporteringsfrister.
• Rekonstruere et troværdigt hændelsesforløb ud fra manipulationssikre logfiler.
• Dokumentere over for revisorer og tilsynsmyndigheder, at organisationens lognings- og overvågningskontroller er risikobaserede, respekterer databeskyttelse og fungerer effektivt.

Clarysecs implementeringsvejledning i Clarysec’s Zenith Controls: The Cross-Compliance Guide Zenith Controls formulerer det enkelt:

Effektivt forensisk beredskab i compliancekontekster kræver, at indsamlingen af logdata begrænses til det strengt nødvendige, at unødigt omfattende personoplysninger eller følsomme data ikke lagres, og at data anonymiseres eller pseudonymiseres, hvor det er muligt. Yderligere god praksis omfatter robuste sikkerhedsforanstaltninger såsom adgangsstyring, kryptering, hyppige revisioner og løbende overvågning samt håndhævelse af dataopbevaringspolitikker, der er tilpasset GDPR, og regelmæssig sletning af oplysninger, der ikke længere er nødvendige.

Det er et grundlæggende skifte i tilgang:

• Fra dataophobning til målrettet indsamling: I stedet for at indsamle alt definerer organisationen det bevismateriale, der er nødvendigt for at besvare kritiske spørgsmål: Hvem gjorde hvad? Hvornår og hvor skete det? Hvad var konsekvensen?
• Fra isolerede logfiler til korrelerede tidslinjer: Firewall-, applikations- og cloudlogfiler er individuelle brikker i puslespillet. Forensisk beredskab er evnen til at samle dem til et sammenhængende billede.
• Fra driftsværktøj til bevismæssigt aktiv: Logfiler er ikke kun til fejlretning. De er retligt og regulatorisk bevismateriale, der skal beskyttes, bevares og håndteres med en tydelig beviskæde (chain of custody).

Manglende evne til at dokumentere, hvad der skete under et brud, betragtes nu som et kontrolsvigt i sig selv, uanset hændelsens oprindelige konsekvens.

Fundamentet: hvor styring og politik møder praksis

Før en eneste logfil konfigureres, begynder et program for forensisk beredskab med klar styring. En revisors første spørgsmål vil ikke være “Vis mig jeres SIEM”, men “Vis mig jeres politik.” Her skaber en struktureret tilgang øjeblikkelig og forsvarlig værdi.

I The Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint er trin 14 i fasen “Risiko og implementering” dedikeret til dette grundlæggende arbejde. Målet er eksplicit:

“Udarbejd eller justér specifikke politikker og procedurer som krævet af de valgte risikobehandlinger (og Annex A-kontroller), og sikr tilpasning til regulering såsom GDPR, NIS2 og DORA.”

Dette trin tvinger organisationer til at omsætte risikobeslutninger til dokumenterede og håndhævelige regler. For en informationssikkerhedschef som Maria betyder det at etablere en samlet portefølje af indbyrdes forbundne politikker, der definerer organisationens forensiske kapacitet. Clarysecs politikskabeloner fungerer som arkitekturtegninger for denne struktur. Det afgørende er at etablere eksplicitte koblinger mellem politikkerne, så der skabes en sammenhængende styringsramme.

Ved først at etablere denne politikramme skaber organisationen et forsvarligt udgangspunkt. For eksempel angiver vores Politik for indsamling af bevismateriale og digital forensik, at den bygger på P22 – Lognings- og overvågningspolitik for at sikre “tilgængelighed af hændelseslogfiler og telemetri til indsamling af bevismateriale og forensisk korrelation.” Denne ene sætning skaber et stærkt mandat og fastslår, at formålet med logning ikke kun er driftsmæssigt; det er også at understøtte forensisk analyse.

For mindre organisationer er principperne identiske. Vores Politik for indsamling af bevismateriale og digital forensik for SMV’er krydshenviser til sin egen grundlæggende logningspolitik: “P22S – Lognings- og overvågningspolitik: Leverer de rådata, der anvendes som forensisk bevismateriale, og fastlægger krav til opbevaring, adgangsstyring og logning.”

Denne dokumenterede strategi viser revisorer, tilsynsmyndigheder og interne teams, at organisationen har en defineret og bevidst tilgang til styring af bevismateriale.

Den tekniske motor: beredskab gennem strategisk overvågning

Med et solidt politikfundament er næste skridt at opbygge den tekniske motor. Den er centreret om to centrale kontroller fra ISO/IEC 27001:2022: 8.15 Logning og 8.16 Overvågningsaktiviteter. Selvom de ofte omtales samlet, har de forskellige formål. Kontrol 8.15 handler om at registrere hændelser. Kontrol 8.16 handler om aktivt at analysere dem for at detektere anomalier og sikkerhedshændelser. Dette er pulsen i det forensiske beredskab.

Vejledningen Zenith Controls, vores proprietære materiale, der kortlægger ISO-kontroller til globale standarder og revisionspraksis, beskriver, hvordan 8.16 Overvågningsaktiviteter er omdrejningspunktet, der forbinder rådata med handlingsorienteret indsigt. Kontrollen står ikke alene; den indgår i et tæt forbundet sikkerhedsøkosystem:

• Koblet til 8.15 Logning: Effektiv overvågning er umulig uden robust logning. Kontrol 8.15 sikrer, at rådata findes. Kontrol 8.16 leverer analysemotoren, der gør data forståelige. Uden overvågning er logfiler blot et tavst og uundersøgt arkiv.
• Føder ind i 5.25 Vurdering af og beslutning om informationssikkerhedshændelser: De alarmer og anomalier, som overvågningen (8.16) markerer, er de primære input til hændelsesvurderingsprocessen (5.25). Som Zenith Controls bemærker, er det her, organisationen skelner mellem en mindre afvigelse og en fuldt udviklet hændelse, der kræver eskalering.
• Informeret af 5.7 Trusselsintelligens: Overvågningen må ikke være statisk. Trusselsintelligens (5.7) leverer nye kompromitteringsindikatorer og angrebsmønstre, som skal bruges til at opdatere overvågningsregler og søgninger og dermed skabe en proaktiv feedbacksløjfe.
• Udvidet til 5.22 Overvågning af leverandørtjenester: Organisationens synlighed må ikke stoppe ved egen perimeter. For cloudtjenester og andre leverandører skal det sikres, at deres overvågnings- og logningskapaciteter opfylder organisationens forensiske krav, hvilket er centralt for NIS2 og DORA.

En revisionsklar lognings- og overvågningsstrategi begynder med formålet. Alarmtærskler bør baseres på organisationens risikovurdering, eksempelvis overvågning af pludselige stigninger i udgående netværkstrafik, hurtige kontolåsninger, rettighedseskalering, malwaredetektioner og installationer af uautoriseret software.

Tilsvarende skal logopbevaring være en bevidst beslutning. Zenith Controls anbefaler:

Opbevaring og backup af logfiler skal styres efter en på forhånd defineret periode og beskyttes mod uautoriseret adgang og ændringer. Opbevaringsperioder for logfiler skal fastlægges på baggrund af forretningsbehov, risikovurderinger, god praksis og retlige krav…

Det betyder, at opbevaringsperioder skal defineres pr. system, f.eks. 12 måneder online og 3-5 år arkiveret for DORA-kritiske systemer, og at sikkerhedskopier bevares mindst lige så længe, som logfiler regelmæssigt gennemgås.

Balancen i compliance: indsamling af bevismateriale uden at overtræde GDPR

En refleksreaktion på et revisionssvigt som Marias kan være at logge alt, overalt. Det skaber et nyt og lige så alvorligt problem: overtrædelse af databeskyttelsesprincipperne under GDPR. Forensisk beredskab og privatliv ses ofte som modsatrettede hensyn, men de skal forenes.

Her bliver ISO 27001:2022-kontrol 5.34 Privatliv og beskyttelse af PII kritisk. Den fungerer som bro mellem organisationens sikkerhedsprogram og dens databeskyttelsesforpligtelser. Som beskrevet i Zenith Controls er implementering af 5.34 direkte bevis for organisationens evne til at opfylde GDPR’s Article 25 (databeskyttelse gennem design og standardindstillinger) og Article 32 (behandlingssikkerhed).

For at opnå denne balance skal det forensiske program integrere centrale privatlivsfremmende kontroller:

• Integrér med 5.12 Klassificering af oplysninger: Sikr, at logfiler fra systemer, der behandler PII, klassificeres som meget følsomme og får de strengeste beskyttelsesforanstaltninger.
• Implementér 8.11 Datamaskering: Brug aktivt pseudonymisering eller maskering til at skjule personlige identifikatorer i logfiler, hvor rå værdier ikke er nødvendige for undersøgelsen. Dette er en direkte implementering af dataminimering.
• Håndhæv 5.15 og 5.16 (adgangsstyring og identitetsstyring): Begræns adgang til rå logfiler efter et strengt need-to-know-princip, især for hændelser, der vedrører medarbejdere eller kunder.
• Kortlæg til rammeværker for databeskyttelse: Understøt programmet med standarder som ISO/IEC 27701 (for PIMS), ISO/IEC 27018 (for PII i cloud) og ISO/IEC 29100 (for privatlivsprincipper).

Ved at integrere disse kontroller kan organisationen designe en lognings- og overvågningsstrategi, der både er forensisk forsvarlig og tager hensyn til databeskyttelse, så den opfylder behovene hos både sikkerhedsteams og databeskyttelsesrådgivere.

Fra teori til revision: hvad forskellige revisorer faktisk ser efter

At bestå en revision kræver, at det rigtige bevismateriale præsenteres på en måde, der passer til revisors specifikke metodik. En ISO 27001-revisor tænker anderledes end en COBIT-revisor, og begge har et andet fokus end en NIS2-tilsynsmyndighed.

Afsnittet audit_methodology i vores Zenith Controls-vejledning for 8.16 Overvågningsaktiviteter giver informationssikkerhedschefer en værdifuld køreplan ved at omsætte kontrollens formål til konkret bevismateriale for forskellige revisionsperspektiver.

Sådan forbereder organisationen sig på vurdering fra flere vinkler:

Det er afgørende at forstå disse forskellige perspektiver. For en ISO-revisor er en veldokumenteret proces for håndtering af en falsk alarm stærkt bevismateriale for et fungerende system. For en NIST-revisor er en livetest, der viser, at en alarm udløses i realtid, mere overbevisende. For en NIS2- eller DORA-tilsynsmyndighed er dokumentation for rettidig detektion og eskalering afgørende. Marias team fejlede, fordi de ikke kunne levere bevismateriale, der kunne tilfredsstille nogen af disse perspektiver.

Praktisk scenarie: opbygning af en revisionsklar bevispakke

Lad os anvende dette på et realistisk scenarie: En malwarekampagne rammer flere endpoints i organisationens EU-aktiviteter, hvoraf nogle behandler kunders PII. Organisationen skal opfylde GDPR, NIS2, DORA og kravene fra sin ISO 27001-revisor.

Bevispakken bør være en struktureret fortælling, ikke blot et datadump. Den bør omfatte:

1. Teknisk tidslinje og artefakter:

   • SIEM-alarmer, der viser den indledende detektion, knyttet til 8.16 Overvågningsaktiviteter.
   • EDR-logfiler med filhashes, procestræer og inddæmningshandlinger.
   • Firewall- og netværkslogfiler, der viser forsøg på C2-kommunikation.
   • Autentifikationslogfiler, der viser eventuelle forsøg på lateral bevægelse.
   • Hashes af alle indsamlede logfiler for at dokumentere integritet, i overensstemmelse med 8.24 Brug af kryptografi.

2. Styringsmæssigt og proceduremæssigt bevismateriale:

   • En kopi af organisationens Politik for indsamling af bevismateriale og digital forensik.
   • En kopi af organisationens Lognings- og overvågningspolitik, der dokumenterer mandatet til at indsamle disse data.
   • Det relevante uddrag af organisationens Dataopbevarings- og bortskaffelsespolitik Dataopbevarings- og bortskaffelsespolitik, der viser opbevaringsperioderne for disse specifikke logfiler.

3. Sammenhæng med hændelsesstyring:

   • Hændelsessagen, der viser klassificering, alvorlighedsvurdering og eskalering, og som kobler overvågning (8.16) til hændelsesvurdering (5.25).
   • Registreringer af beslutningsprocessen for underretning af myndigheder efter NIS2 Article 23 eller GDPR Article 33.

4. Bevismateriale for efterlevelse af databeskyttelse:

   • En note fra DPO/databeskyttelsesrådgiveren, der bekræfter, at der er gennemført en databeskyttelsesgennemgang af bevispakken.
   • Dokumentation for, at eventuelle PII i logfilerne er håndteret i overensstemmelse med politikken, f.eks. ved begrænset adgang, i overensstemmelse med kontrol 5.34 Privatliv og beskyttelse af PII.

5. Regulatorisk kommunikation:

   • En registrering af eventuel korrespondance med databeskyttelsesmyndigheden eller den nationale cybersikkerhedsmyndighed, som anbefalet i vores vejledning i Zenith Controls.

Denne strukturerede pakke omsætter en kaotisk hændelse til dokumentation for kontrol, proces og rettidig omhu.

Opbygning af organisationens bevisarkiv: en handlingsorienteret plan

Hvordan kan en informationssikkerhedschef bevæge organisationen fra en reaktiv position til en tilstand af løbende, revisionsklart forensisk beredskab? Nøglen er systematisk at opbygge et “bevisarkiv” med den dokumentation, revisorer har brug for, før de beder om den.

1. Dokumentér strategien:

• Færdiggør politikker: Godkend og offentliggør organisationens lognings- og overvågningspolitik, politik for indsamling af bevismateriale og dataopbevaringspolitik med trin 14 i Zenith Blueprint som vejledning.
• Kortlæg dataflowet: Vedligehold et diagram, der viser, hvor logfiler indsamles fra, hvor de aggregeres, f.eks. i SIEM, og hvordan de beskyttes.

2. Konfigurér og validér værktøjerne:

• Fastlæg risikobaserede tærskler: Dokumentér tærsklerne for centrale alarmer, og begrund dem ud fra organisationens risikovurdering.
• Validér opbevaringsindstillinger: Tag skærmbilleder fra logstyringsplatformen eller cloudkonsollen, som tydeligt viser de konfigurerede opbevaringsperioder for forskellige datatyper.
• Dokumentér integritet: Etablér en proces for kryptografisk hashing af kritiske bevisfiler ved indsamling, og opbevar hashværdierne separat.

3. Dokumentér operationel effektivitet:

• Før detaljerede registreringer: Vedligehold registreringer af, hvordan mindst tre nylige sikkerhedshændelser blev håndteret, også falske alarmer. Vis den indledende alarm, triagenotater, gennemførte handlinger og endelig lukning med tidsstempler.
• Log adgang til logfiler: Vær klar til at vise, hvem der har adgang til at se rå logfiler, og fremlæg revisionsspor for deres adgang.
• Test og registrér: Opbevar registreringer, der viser, at overvågningssystemerne er sunde, og at periodiske test, f.eks. alarmtest, gennemføres og logges.

Marias revisionssvigt var ikke teknisk; det var strategisk. Hun lærte på den hårde måde, at en hændelse, der ikke kan undersøges, i dagens regulatoriske landskab næsten er lige så alvorlig som selve hændelsen. Logfiler er ikke længere et simpelt biprodukt af IT; de er et kritisk aktiv for governance, risikostyring og compliance.

Vent ikke på, at en afvigelse afslører hullerne. Ved at opbygge en reel kapacitet for forensisk beredskab kan organisationen omsætte sikkerhedsdata fra en potentiel forpligtelse til sit stærkeste aktiv for at dokumentere rettidig omhu og robusthed.

Klar til at opbygge organisationens egen revisionsklare forensiske kapacitet? Udforsk Clarysecs The Zenith Blueprint: An Auditor’s 30-Step Roadmap for at opbygge et dokumenteret ISMS fra bunden, og dyk ned i vores Zenith Controls for at forstå præcist, hvilket bevismateriale revisorer kræver for hver kontrol. Book en konsultation i dag, og se, hvordan vores integrerede værktøjssæt kan accelerere rejsen mod dokumenterbar compliance.