Styring af ransomware-betalinger under NIS2 og DORA
Klokken er 3:17 en hverdag i 2026. Maria, CISO i en hurtigt voksende fintech-platform, bliver indkaldt til en krisetelekonference efter en besked fra sin ledende SOC-analytiker: omfattende kryptering er bekræftet, centrale tjenester er nede, og en ransomware-gruppe hævder at have stjålet 2 TB kundedata.
Den administrerende direktør deltager først i opkaldet. Derefter kommer juridisk afdeling, databeskyttelsesfunktionen, finans, kommunikation, cyberforsikringsselskabet, en forensisk leverandør og cloud-driftsteamet. En dark web-portal viser en nedtælling på 48 timer og et syvcifret krav i kryptovaluta.
Den administrerende direktør stiller det spørgsmål, enhver CISO frygter.
“Kan vi betale, og hvem må beslutte det?”
Det forkerte svar er at behandle dette som et forhandlingsproblem. Det rigtige svar er at behandle det som et styringsproblem.
I 2026 er styring af beslutninger om ransomware-betalinger ikke længere et internt, teknisk krisevalg. Beslutningen kan blive gransket af tilsynsmyndigheder, revisorer, forsikringsselskaber, kunder, retshåndhævende myndigheder, aktionærer og bestyrelsen. En betalingsbeslutning berører sanktionseksponering, vurdering af brud på persondatasikkerheden, cyberforsikringsvilkår, kontraktlige forpligtelser, krisekommunikation, sikring af bevismateriale, trinvis rapportering efter NIS2, hændelsesklassificering efter DORA, GDPR-anmeldelse og forbedringer efter hændelsen.
Derfor anbefaler Clarysec kunder at indbygge styring af beslutninger om ransomware-betalinger i ISMS’et, før hændelsen indtræffer. ISO/IEC 27001:2022 giver strukturen for ledelsessystemet. ISO/IEC 27002:2022-kontrollerne giver driftsmodellen. Zenith Blueprint: An Auditor’s 30-Step Roadmap og Zenith Controls: The Cross-Compliance Guide hjælper med at omsætte strukturen til praktiske, revisionsklare beviser.
En ransomware-playbook, der blot siger “underret juridisk afdeling”, er ikke tilstrækkelig. Organisationen skal vide, hvem der kan autorisere forhandling, hvordan sanktionsscreening udføres, hvornår forsikringsselskabet skal godkende, hvordan GDPR-, NIS2- og DORA-klassificering dokumenteres, og hvordan bevismateriale beskyttes, mens genopretningsteams arbejder under pres.
Hvorfor ad hoc-beslutninger om ransomware-betalinger fejler
En beslutning om ransomware-betaling beskrives ofte binært: betal eller betal ikke. I praksis har beslutningen mindst seks lag:
- Er hændelsen bekræftet, inddæmmet og korrekt klassificeret?
- Er personoplysninger, regulerede data eller levering af kritiske tjenester påvirket?
- Har organisationen lov til at kommunikere eller gennemføre transaktioner med trusselsaktøren?
- Kræver cyberforsikringen forudgående underretning, godkendte leverandører, samtykke eller specifikt bevismateriale?
- Vil betaling reducere forretningskonsekvensen, eller vil den øge juridisk, finansiel og omdømmemæssig risiko?
- Hvem har bemyndigelse til at beslutte, og hvordan registreres beslutningen?
Under en aktiv hændelse trækker adskilte teams ofte i forskellige retninger. Økonomidirektøren kan se løsesummen som en forretningsomkostning sammenlignet med stigende nedetid. Juridisk afdeling ser sanktioner, finansiel kriminalitet og regulatorisk eksponering. Databeskyttelsesrådgiveren vurderer, om krypterede eller eksfiltrerede data udgør et anmeldelsespligtigt brud på persondatasikkerheden. Compliance følger rapporteringsfristerne i NIS2 og DORA. CISO’en forsøger at bevare bevismateriale, mens tjenesterne gendannes. Den administrerende direktør ønsker en anbefaling, før angriberens tidsfrist udløber.
Uden en formel beslutningsproces kan den højeste stemme i rummet blive styringsmodellen. Det er netop den situation, moderne cybersikkerhedsregulering er udformet til at forhindre.
NIS2 gør cybersikkerhed til et ledelsesansvar. Artikel 20 omhandler ledelsesorganers styring og ansvar, mens artikel 21 kræver risikostyringsforanstaltninger, der omfatter håndtering af hændelser, forretningskontinuitet, backupstyring, krisestyring, sikkerhed i forsyningskæden, adgangsstyring, politikker for aktivstyring, MFA og vurdering af effektivitet. Artikel 23 etablerer trinvis rapportering af væsentlige hændelser, herunder tidlig varsling inden for 24 timer, underretning inden for 72 timer og endelig rapportering inden for én måned, hvor det er relevant.
For finansielle enheder er DORA det sektorspecifikke regelsæt for operationel robusthed. Artikel 5 placerer ansvaret for styring af IKT-risiko hos ledelsesorganet. Artikel 17, 18 og 19 omhandler styring, klassificering og rapportering af IKT-relaterede hændelser og større IKT-relaterede hændelser. DORA kræver også respons- og genopretningskapaciteter, backup og gendannelse, læring efter hændelser, test samt IKT-tredjepartsrisikostyring.
GDPR tilføjer en særskilt, men overlappende vurdering. Hvis ransomware medfører hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, skal den dataansvarlige vurdere, om der er sket et brud på persondatasikkerheden. Hvis anmeldelse er påkrævet, løber fristen over for tilsynsmyndigheden som udgangspunkt 72 timer fra kendskabstidspunktet. Hvis der er høj risiko for de registrerede, kan kommunikation til berørte personer også være påkrævet.
Konklusionen er enkel: spørgsmålet om løsesum må ikke stilles for første gang i kriserummet.
ISO 27001:2022-kontroller, der forankrer betalingsstyringen
Et ISO/IEC 27001:2022-ISMS er ikke en tjekliste for revisorer. Det er et ledelsessystem til at træffe risikobaserede beslutninger. Styring af ransomware-betalinger hører hjemme i dette system, fordi det kombinerer risikovurdering, risikobehandling, roller, retlige forpligtelser, hændelseshåndtering, kontinuitet, leverandørstyring og løbende forbedring.
De mest relevante ISO 27001:2022 Annex A-kontroller udgør en sammenhængende kontrolkæde.
| ISO 27001:2022-kontrolområde | Hvorfor det er vigtigt ved styring af ransomware-betalinger |
|---|---|
| A.5.24 Planlægning og forberedelse af styring af informationssikkerhedshændelser | Definerer rammerne for hændelseshåndtering, eskaleringsmodel, kommunikation og beredskab, før afpresningen begynder. |
| A.5.25 Vurdering af og beslutning om informationssikkerhedshændelser | Fastlægger, hvordan hændelser bliver til sikkerhedshændelser, hvordan alvorlighed fastsættes, og hvornår eskalering til ledelsen udløses. |
| A.5.26 Respons på informationssikkerhedshændelser | Styrer inddæmning, fjernelse, koordinering af genopretning og gennemførelse af driftsmæssige beslutninger. |
| A.5.27 Læring af informationssikkerhedshændelser | Sikrer, at resultater af løsesumsbeslutninger, nærved-hændelser, feedback fra forsikringsselskaber og konstateringer fra tilsynsmyndigheder forbedrer fremtidige kontroller. |
| A.5.28 Indsamling af bevismateriale | Bevarer logfiler, images, korrespondance, malwareprøver og beslutningsregistreringer på en juridisk holdbar måde. |
| A.5.29 Informationssikkerhed under afbrydelse | Holder sikkerhedskontroller i drift, mens forretningen opererer i degraderet tilstand. |
| A.5.30 IKT-beredskab for forretningskontinuitet | Knytter backups, genopretningsprioriteter, omskiftning og kontinuitetsplaner til beslutningsprocessen under hændelsen. |
| A.5.31 Retlige, lovbestemte, regulatoriske og kontraktlige krav | Omfatter sanktionsscreening, regulatorisk rapportering, kundeforpligtelser, forsikringsforpligtelser og juridisk godkendelse. |
| A.5.34 Privatliv og beskyttelse af personhenførbare oplysninger (PII) | Driver vurdering af brud efter GDPR og vurdering af konsekvenser for privatliv under afpresning. |
| A.6.3 Kontakt med myndigheder | Understøtter planlagt kommunikation med tilsynsmyndigheder, CSIRT’er, retshåndhævende myndigheder og kompetente myndigheder. |
| A.8.13 Informationsbackup | Afgør, om betaling er driftsmæssigt relevant, ved at dokumentere genopretningsmuligheder. |
| A.8.15 Logning og A.8.16 Overvågningsaktiviteter | Leverer bevisgrundlaget for omfang, tidslinje, konsekvens og angriberaktivitet. |
I Zenith Controls klassificerer afsnittet for A.5.24, planlægning og forberedelse af styring af informationssikkerhedshændelser, kontrollen som korrigerende, knyttet til fortrolighed, integritet og tilgængelighed og afstemt med begreberne Respond og Recover. Det knytter også A.5.24 til A.5.25 hændelsesvurdering, A.5.27 læring af hændelser, A.8.15 logning, A.8.16 overvågning, A.5.29 sikkerhed under afbrydelse, kontinuitet og kontakt med myndigheder.
Dette er vigtigt, fordi styring af ransomware-betalinger er en kæde. Hvis I ikke kan detektere og klassificere hændelsen, kan I ikke beslutte. Hvis I ikke kan bevare bevismateriale, kan I ikke forsvare beslutningen. Hvis retlige forpligtelser ikke er kortlagt, kan forhandling eller betaling være ulovlig. Hvis genopretningsmuligheder ikke er testet, kan ledelsen blive presset til en beslutning baseret på frygt frem for fakta.
Zenith Controls beskriver forholdet mellem forberedelse og beslutningstagning klart:
“5.25 er beslutningspunktet, der afgør, hvornår en hændelse overskrider tærsklen og bliver til en sikkerhedshændelse, som udløser handlingerne i 5.26. Rettidig og præcis hændelsesvurdering sikrer, at hændelsesrespons hverken forsinkes eller fejlrettes.”
Den samme vejledning knytter A.5.31, retlige, lovbestemte, regulatoriske og kontraktlige krav, til privatliv, opbevaring af registreringer, uafhængig gennemgang og efterlevelse af interne politikker. For ransomware er A.5.31 det sted, hvor sanktionsscreening, forsikringsforpligtelser, kontakt med retshåndhævende myndigheder, kundekontrakter, databeskyttelsesforpligtelser og sektorspecifik regulatorisk rapportering samles i ét compliance-register.
Clarysecs fem beslutningsporte for styring af ransomware-betalinger
Clarysecs model opdeler styring af beslutninger om ransomware-betalinger i fem beslutningsporte. Formålet er ikke at gøre betaling lettere. Formålet er at sikre, at enhver beslutning, herunder afvisning af betaling, er evidensbaseret, juridisk gennemgået, autoriseret og revisionsbar.
| Beslutningsport | Nøglespørgsmål | Påkrævet bevismateriale | Typisk ejer |
|---|---|---|---|
| Port 1: Hændelseserklæring | Er en ransomware- eller afpresningshændelse erklæret efter definerede kriterier? | SIEM-alarmer, endpoint-telemetri, løsesumsnote, berørte aktiver, indledende alvorlighedsregistrering | Hændelsesleder eller CISO |
| Port 2: Juridisk og regulatorisk triage | Omfatter hændelsen personoplysninger, regulerede tjenester, sanktionsrisiko, kontraktlig underretning eller sektorspecifik rapportering? | Kortlægning i juridisk register, GDPR-brudvurdering, NIS2- eller DORA-klassificering, notater fra juridisk rådgiver | Juridisk afdeling, compliance, DPO |
| Port 3: Genopretningsmulighed | Kan organisationen gendanne sikkert uden betaling inden for tolerable konsekvensgrænser? | Kontroller af backupintegritet, RTO/RPO-status, forretningskonsekvensanalyse, resultater af genopretningstest | IT, BC/DR-ansvarlig |
| Port 4: Gennemgang af betalingsrisiko | Er enhver forhandling eller betaling juridisk tilladt, godkendt af forsikringsselskabet, sanktionsscreenet og autoriseret af bestyrelsen? | Registrering af sanktionsscreening, samtykke fra forsikringsselskab, registrering af konsultation med retshåndhævende myndigheder, finansiel godkendelse, risikoaccept | Direktion eller bestyrelse |
| Port 5: Lukning og forbedring | Er beslutninger, kommunikation, rodårsag og erfaringer registreret? | Hændelsesrapport, chain of custody, kommunikationslog, plan for kontrolforbedringer | CISO, ISMS-ansvarlig, intern revision |
Modellen anvender ISO 27001-logik for risikobehandling. En ransomware-betaling er ikke en sikkerhedskontrol. Den er højst en krisemulighed, der overvejes i en kontekst for risikobehandling og genopretning. Før en hændelse bør organisationen allerede have besluttet, hvordan ransomware-risici behandles: afbødes gennem kontroller, delvis overføres finansielt gennem forsikring, undgås ved at fjerne uacceptable afhængigheder til legacy-systemer eller eksplicit accepteres som restrisiko, hvor det er begrundet.
I risikostyringsfasen, trin 13, planlægning af risikobehandling og Statement of Applicability, instruerer Zenith Blueprint organisationer i at fastlægge behandlingsmuligheder for hver risiko og dokumentere dem i risikoregisteret. Den advarer om, at overførsel, f.eks. cyberforsikring, ikke fjerner behovet for kontroller, fordi overførsel ofte adresserer den finansielle konsekvens snarere end sandsynligheden. Den fastslår også:
“Accept skal være eksplicit og godkendt af ledelsen, især for alle mellemrisici. Høje risici accepteres sjældent, medmindre de reelt er uundgåelige og aftalt på øverste niveau.”
Den formulering er direkte relevant for styring af ransomware-betalinger. Hvis bestyrelsen bliver bedt om at acceptere restrisikoen ved at afvise betaling eller den juridiske og omdømmemæssige risiko ved at godkende forhandling, skal accepten være eksplicit, registreret og godkendt af den rette myndighed.
Clarysecs Risk Management Policy understøtter samme pointe:
“Beslutninger om risikobehandling skal være i overensstemmelse med de foruddefinerede muligheder”
Fra klausul 5.5.
En beslutning om løsesum er derfor ikke en genvej uden om risikostyring. Den skal håndteres som en formel, dokumenteret beslutning om risikobehandling under defineret bemyndigelse.
Politikbemyndigelse: hvem kan beslutte under pres?
Mange ransomware-fejl er styringsfejl forklædt som tekniske fejl. Nogen kontakter angriberen uden for den godkendte kanal. Nogen lover betaling før forsikringsselskabets godkendelse. Nogen gendanner systemer og overskriver forensisk bevismateriale. Nogen informerer kunder for tidligt, for sent eller med unøjagtige fakta.
Clarysec-politikker er designet til at fjerne denne uklarhed.
For SMV’er giver Governance Roles and Responsibilities Policy-sme en enkel regel:
“Alle væsentlige sikkerhedsbeslutninger, undtagelser og eskaleringer skal registreres og kunne spores.”
Fra afsnittet “Styringskrav”, politikklausul 5.5.
SMV-versionen af Incident Response Policy-sme tildeler eskaleringsbemyndigelse:
“Den administrerende leder (GM) er ansvarlig for at autorisere alle beslutninger om hændelseseskalering, regulatoriske underretninger og ekstern kommunikation.”
Fra afsnittet “Styringskrav”, politikklausul 5.1.1.
Den forbinder også hændelser med kundedata med regulatoriske forpligtelser:
“Hvor kundedata er involveret, skal den administrerende leder vurdere retlige underretningsforpligtelser baseret på anvendeligheden af GDPR, NIS2 eller DORA.”
Fra afsnittet “Risikobehandling og undtagelser”, politikklausul 7.4.1.
For større organisationer kræver enterprise-versionen af Governance Roles and Responsibilities Policy øjeblikkelig eskalering, hvor der kan være juridisk eksponering eller anmeldelsespligtige databrud:
“Juridisk/regulatorisk eskalering: Hændelser, der indebærer potentiel juridisk eksponering eller anmeldelsespligtige databrud, skal straks eskaleres til den juridiske og compliance-ansvarlige samt direktionen.”
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.4.3.
Enterprise-versionen af Incident Response Policy definerer ledelsens bemyndigelse under alvorlige hændelser. Klausul 4.6.1 fastslår, at direktionens rolle er at:
“Træffe strategiske beslutninger under hændelser med høj alvorlighed, herunder godkendelse af underretninger og offentlig kommunikation.”
I en ransomware-kontekst behandler Clarysec drøftelse af betaling, autorisation af forhandling, kundemeddelelse, regulatorisk udtalelse og offentlig kommunikation som strategiske beslutninger, ikke tekniske handlinger.
En praktisk styringsregel følger heraf: CISO’en kan anbefale, hændelsesteamet kan vurdere, juridisk afdeling kan rådgive, finans kan validere betalingsmekanikken, forsikringsselskabet kan give samtykke til eller afvise dækning, men direktionen eller bestyrelsen skal eje beslutningen i henhold til på forhånd defineret bemyndigelse.
Sanktionsrobust eskalering før enhver forhandling
En sanktionsrobust ransomware-proces starter med et forbud: ingen medarbejder, kontrahent, leverandør, mægler, forhandler eller hændelsesresponder må forhandle, love, facilitere eller overføre værdi til en trusselsaktør uden godkendt juridisk gennemgang.
Det juridiske kontrolpunkt skal ske før enhver aktiv kontakt med angriberen, ikke efter at en wallet-adresse dukker op. Processen bør omfatte:
- Juridisk rådgiver inddrages før enhver kommunikation ud over passiv indsamling af bevismateriale.
- Identifikation af trusselsaktør ved hjælp af forensiske data, efterretninger og input fra retshåndhævende myndigheder, hvor de er tilgængelige.
- Screening mod sanktions- og restriktionslister for gruppenavne, aliaser, wallet-adresser, infrastruktur, mellemmænd og betalingskanaler.
- Konsultation med retshåndhævende myndigheder overvejes og registreres.
- Cyberforsikringsselskabet underrettes i henhold til policevilkår, før leverandører udpeges eller forhandlinger indledes.
- DPO eller privatlivsansvarlig inddrages, hvis personoplysninger kan være berørt.
- Økonomidirektør eller finansansvarlig bekræfter betalingskontroller, funktionsadskillelse, kontroller mod svig og krav om bestyrelsesgodkendelse.
- Ledelsesbeslutning registreres med overvejede alternativer, herunder gendannelse, inddæmning, suspension af tjenester, kundekommunikation og afvisning af betaling.
- Bevismateriale bevares for angriberkommunikation, indikatorer, wallet-oplysninger, beslutningsmøder, godkendelser og ekstern rådgivning.
For ransomware bør det juridiske register mindst omfatte følgende forpligtelseskilder.
| Forpligtelseskilde | Betydning for betalingsstyring |
|---|---|
| Sanktions- og finansiel kriminalitetskrav | Ingen forhandling eller betaling uden juridisk screening og dokumenteret godkendelse. |
| Cyberforsikringsaftale | Underretning af forsikringsselskab, godkendte leverandører, forudgående samtykke, krav til bevismateriale og dækningsbetingelser. |
| GDPR | Vurdering af brud på persondatasikkerheden, anmeldelse til tilsynsmyndighed, kommunikation til registrerede og ansvarlighedsregistreringer. |
| NIS2 | Klassificering af væsentlig hændelse, tidlig varsling inden for 24 timer, underretning inden for 72 timer og endelig rapport efter én måned, hvor det er relevant. |
| DORA | Klassificering af større IKT-relateret hændelse, rapportering til kompetent myndighed, kundekommunikation og rodårsagsanalyse efter hændelsen. |
| Kundekontrakter | Underretning om sikkerhedshændelse, serviceniveauforpligtelser, revisionsrettigheder og forpligtelser vedrørende kundekommunikation. |
| Forventninger fra retshåndhævende myndigheder | Bevaring af bevismateriale, håndtering af angriberkommunikation og registrering af koordinering. |
Organisationer bør også definere, hvem der kan standse betalingsbeslutningen. Juridisk afdeling, compliance, DPO’en, sanktionsrådgiver eller bestyrelsen bør have eksplicit bemyndigelse til at sætte forhandling eller betaling på pause, hvis screeningen er ufuldstændig, bevismaterialet er upålideligt, forsikringsbetingelser ikke er opfyldt, eller handlingen kan være i strid med lov eller kontrakt.
Sikring af bevismateriale: ødelæg ikke dokumentationen, mens tjenester gendannes
Ransomware-teams skynder sig naturligt at gendanne driften. Men hvis gendannelsen ødelægger logfiler, snapshots, løsesumsnoter, malwareprøver, memory images eller angriberbeskeder, kan organisationen miste evnen til at dokumentere, hvad der skete.
I fasen Kontroller i praksis, trin 23, organisatoriske kontroller, instruerer Zenith Blueprint organisationer i at validere og teste kapaciteter til hændelsesstyring ved at definere rapporteringspligtige sikkerhedshændelser, dokumentere beslutningstagning og bevare forensisk bevismateriale. Den instruerer teams i at:
“Indsamle og logge alle beslutninger, roller og kommunikationer (5.26) og opdatere planen med erfaringer (5.27). Bekræft, at der findes procedurer til at bevare forensisk bevismateriale (5.28), herunder log-snapshots, backups og sikker isolering af påvirkede systemer.”
Det samme trin forklarer A.5.28 i et sprog, enhver bestyrelse kan forstå:
“det, I kan bevise, betyder lige så meget som det, der faktisk skete”
Clarysecs enterprise-version af Evidence Collection and Forensics Policy understreger, at bevismateriale skal forblive sporbart:
“En chain-of-custody-log skal følge alt fysisk eller digitalt bevismateriale fra anskaffelsestidspunktet til arkivering eller overdragelse og skal dokumentere:”
Fra afsnittet “Styringskrav”, politikklausul 5.6.
For SMV’er er Evidence Collection and Forensics Policy-sme bevidst praktisk:
“Der skal altid oprettes en forensisk kopi eller eksport; det originale bevismateriale må aldrig redigeres direkte.”
Fra afsnittet “Krav til implementering af politikken”, politikklausul 6.1.1.
Den kræver også juridisk konsultation, hvor der kan være HR-, juridisk eller kundemæssig påvirkning:
“Hvis hændelsen indebærer potentiel påvirkning af Human Resources (HR), juridiske forhold eller kunder, skal den administrerende leder konsultere juridisk rådgiver, før der fortsættes med håndhævelse eller eskalering.”
Fra afsnittet “Styringskrav”, politikklausul 5.4.2.
En praktisk bevispakke bør åbnes under port 2. Opret en begrænset mappe til hændelsesbevismateriale. Eksportér SIEM-tidslinjer, EDR-detektioner, cloud-revisionslogs, loginlogfiler fra identitetsudbydere, status for backupjob, løsesumsnoter, skærmbilleder, angriberbeskeder, wallet-adresser, filprøver, henvisninger til juridisk rådgivning, korrespondance med forsikringsselskab og beslutninger fra møder. Udpeg en forvalter. Registrér hashværdier, hvor det er relevant. Lad ikke administratorer rydde op i påvirkede systemer før forensisk indsamling, medmindre livssikkerhed, beskyttelse af kritiske tjenester eller ledelsesgodkendt inddæmning kræver det.
Ét klassificeringsark for NIS2, DORA og GDPR
En ransomware-hændelse kan udløse flere tidsfrister. Udfordringen er ikke kun at kende fristerne. Den er at vide, hvornår organisationen fik kendskab, hvad den vidste på det tidspunkt, og hvordan klassificeringsbeslutninger blev truffet.
NIS2 artikel 23 kræver, at væsentlige og vigtige enheder uden unødig forsinkelse underretter CSIRT’en eller den kompetente myndighed om væsentlige hændelser. Væsentlighed er knyttet til alvorlige driftsforstyrrelser, finansielle tab eller betydelig materiel eller immateriel skade for andre. Den trinvise model omfatter tidlig varsling inden for 24 timer, underretning inden for 72 timer, mellemliggende opdateringer, hvis de anmodes om, og en endelig rapport inden for én måned efter hændelsesunderretningen, hvor det er relevant.
DORA kræver, at finansielle enheder definerer og implementerer styring af IKT-relaterede hændelser, registrerer hændelser og væsentlige cybertrusler, klassificerer hændelser efter kriterier som berørte kunder, varighed, geografisk udbredelse, datatab, kritikalitet og økonomisk konsekvens samt rapporterer større IKT-relaterede hændelser til kompetente myndigheder gennem indledende, mellemliggende og endelige rapporter.
GDPR stiller et andet, men overlappende spørgsmål: medførte hændelsen et brud på persondatasikkerheden? Hvis ja, er der sandsynlighed for risiko for fysiske personers rettigheder og frihedsrettigheder? Hvis anmeldelsestærsklen er opfyldt, skal anmeldelse til tilsynsmyndigheden vurderes i forhold til 72-timersfristen. Hvis der foreligger høj risiko, kan kommunikation til de registrerede også være nødvendig.
Clarysec anbefaler at anvende ét klassificeringsark for ransomware med særskilte afsnit for hvert regelsæt.
| Klassificeringsområde | Eksempel på ransomware-spørgsmål | Output |
|---|---|---|
| Driftsmæssig konsekvens | Er kritiske tjenester afbrudt eller sandsynligt på vej til at blive afbrudt? | Input til NIS2-væsentlighed og DORA-kritikalitet |
| Finansiel konsekvens | Har hændelsen forårsaget, eller kan den forårsage, væsentligt finansielt tab? | Input til NIS2- og DORA-alvorlighed |
| Kundepåvirkning | Er tjenestemodtagere, kunder, modparter eller transaktioner påvirket? | Input til NIS2, DORA og kontraktlig underretning |
| Personoplysninger | Er personoplysninger blevet tilgået, eksfiltreret, ændret, ødelagt eller gjort utilgængelige? | Input til GDPR-brudvurdering |
| Datafølsomhed | Omfatter de berørte data særlige kategorier af oplysninger, legitimationsoplysninger, finansielle data, identitetsdokumenter eller børns data? | Input til GDPR-risiko og kommunikation |
| Grænseoverskridende påvirkning | Er flere medlemsstater, jurisdiktioner, kunder eller tjenestelokationer påvirket? | Input til NIS2- og DORA-rapportering |
| Tillid til bevismateriale | Hvilke fakta er bekræftede, mistænkte eller ukendte? | Grundlag for trinvis rapportering og opdateringer |
Denne tilgang passer til ISO 27001-klausulerne om risikovurdering, risikobehandling og dokumenteret information. Den er også i overensstemmelse med NIST CSF 2.0. NIST CSF 2.0 GOVERN-funktionen forventer, at organisationer forstår interessenter, retlige og regulatoriske forpligtelser, risikovillighed, roller, politik, tilsyn og tredjepartsrisiko. Funktionens resultater for detektion, respons og genopretning understøtter hændelseserklæring, analyse, koordinering af respons, underretning af interessenter, gennemførelse af genopretning og validering af gendannelse.
For finansielle enheder kan DORA fungere som det sektorspecifikke cybersikkerhedsregime for overlappende NIS2-forpligtelser, men det fjerner ikke behovet for at forstå NIS2-anvendelighed for koncernenheder, IKT-udbydere, administrerede tjenester eller cloudafhængigheder. Det praktiske svar er ikke at vedligeholde separate playbooks. Det er at køre én ISMS-model for bevismateriale, kortlagt til alle relevante forpligtelser.
Cyberforsikring og leverandørkoordinering er styringskontroller
Cyberforsikring kan være værdifuld, men den er ikke en ransomware-strategi. Den er en risikooverførselsmekanisme med betingelser. Under en ransomware-hændelse kan forsikringsselskabet kræve øjeblikkelig underretning, brug af panelvirksomheder, forudgående godkendelse af forhandling, bevaring af bevismateriale, dokumentation for backupsvigt, dokumentation for rimelige kontroller og juridisk gennemgang før enhver overvejelse om betaling.
DORA gør IKT-tredjepartsrisiko til et centralt compliance-domæne. NIS2 artikel 21 kræver også sikkerhed i forsyningskæden og hensyntagen til leverandørsårbarheder og cybersikkerhedspraksis. ISO 27001 understøtter samme logik gennem leverandør- og cloudkontroller som A.5.19 til A.5.23 samt hændelses-, kontinuitets- og juridiske kontroller.
Zenith Controls knytter hændelsesforberedelse til eksterne partnere, herunder forensiske firmaer, juridiske rådgivere, PR og kontakt med myndigheder. Fra et revisionsperspektiv kan fravær af på forhånd identificerede eksterne partnere blive betragtet som et beredskabshul, fordi det kan forsinke responsen under en reel hændelse.
For styring af ransomware-betalinger anbefaler Clarysec at forhåndsaftale:
- Forensisk beredskabsaftale eller vilkår for hurtig respons.
- Tilgængelighed af ekstern juridisk rådgiver til brud, sanktioner og strategi for fortrolighed.
- Underretningsvej til cyberforsikringsselskab og liste over godkendte leverandører.
- Eskaleringsvej til cloududbyder for snapshots, logfiler, isolering og genopretning.
- Procedurer for hændelsessamarbejde med MSSP eller MDR.
- Gennemgangsproces for PR og krisekommunikation.
- Bank- eller finansgodkendelseskontroller for enhver ekstraordinær betaling.
- Kontaktprotokol for retshåndhævende myndigheder.
Dette passer godt til NIST CSF 2.0-resultater for forsyningskæden, herunder leverandørroller og -ansvar, due diligence, kontraktlige cybersikkerhedskrav, koordinering af leverandørhændelser og aktiviteter efter ophør.
En praktisk playbook for eskalering af ransomware-betalinger
De fem beslutningsporte kan omsættes til en operationel playbook. Hvert trin skal dokumenteres, ejes og øves.
| Fase | Nøglehandling | Ansvarlig rolle | Centrale ISO 27001:2022-kontroller | Bevismateriale eller output |
|---|---|---|---|---|
| 1. Triage og erklæring | Vurdér hændelse mod kriterier, erklær en væsentlig eller større hændelse, aktiver responsteam | SOC-ansvarlig, hændelsesleder | A.5.24, A.5.25 | Hændelsessag, erklæringslog, indledende situationsrapport |
| 2. Forretningskonsekvensanalyse | Kvantificér driftsmæssig påvirkning, estimer RTO/RPO-position, fastlæg data- og tjenestekritikalitet | Procesejere, CISO, BC/DR-ansvarlig | A.5.29, A.5.30, A.8.13 | Forretningskonsekvensanalyse, konstateringer om backupintegritet |
| 3. Sikring af bevismateriale | Eksportér logfiler, bevar systemer, sikr bevismateriale og vedligehold chain of custody | Forensisk ansvarlig, hændelseshåndteringsteam | A.5.28, A.8.15, A.8.16 | Forensiske images, logeksporter, chain of custody-registrering |
| 4. Juridisk og sanktionsmæssig kontrol | Inddrag rådgiver, identificér trusselsaktør, screen sanktioner, vurder rapporteringsforpligtelser | Juridisk ansvarlig, DPO, compliance, ekstern rådgiver | A.5.31, A.5.34, A.6.3 | Juridisk vurdering, registrering af sanktionskontrol, rapporteringsark |
| 5. Forsikrings- og leverandørkoordinering | Underret forsikringsselskab, bekræft godkendte leverandører, koordinér cloud-, MSSP- og forensisk support | CISO, juridisk afdeling, leverandøransvarlig | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Samtykke fra forsikringsselskab, leverandørsager, log over leverandørhandlinger |
| 6. Beslutningsoplæg til ledelsen | Præsentér muligheder, risici, juridisk vurdering, genopretningsmulighed, kommunikationspåvirkning og forsikringsselskabets position | Hændelsesleder, CISO, juridisk afdeling, økonomidirektør | A.5.1, A.5.2, A.5.26, A.5.31 | Beslutningsoplæg om ransomware |
| 7. Autorisér og dokumentér | Ledelsesmyndighed beslutter, om der skal forhandles, afvises, betales eller iværksættes alternative handlinger | Administrerende direktør, direktion, bestyrelse | A.5.2, A.5.3, A.5.26, A.5.31 | Underskrevet beslutningsregistrering, risikoaccept, handlingslog |
| 8. Lukning og forbedring | Gennemfør rodårsagsanalyse, læring og opdatering af kontroller | ISMS-ansvarlig, CISO, intern revision | A.5.27, ISO 27001 klausul 10.2 | Rapport om erfaringer, plan for korrigerende handlinger, opdaterede ISMS-registreringer |
Målet er ikke at garantere en behagelig beslutning. Der findes måske ingen behagelig beslutning. Målet er at sikre, at beslutningen er autoriseret, evidensbaseret, juridisk informeret og forsvarlig.
Den 90-minutters tabletop-øvelse, der dokumenterer beredskab
Den enkleste måde at teste styring af ransomware-betalinger på er ikke en teknisk red team-øvelse. Det er en beslutningsbaseret tabletop-øvelse.
Brug Zenith Blueprint, fasen Kontroller i praksis, trin 23, til at validere kapaciteten til hændelsesstyring. Vælg et ransomware-scenarie, og gennemfør en tidsstyret øvelse. Formålet er ikke på forhånd at beslutte, at organisationen vil betale eller aldrig betale. Formålet er at dokumentere, at organisationen kan nå frem til en styret beslutning.
Scenarie: en cloudhostet kundedatabase er krypteret, angriberen hævder eksfiltrering, backups findes, men er endnu ikke integritetstestet, forsikringsselskabet er ikke blevet underrettet, og angriberen oplyser en wallet-adresse med en frist på 48 timer.
Øvelsestjekliste:
- Erklær hændelsen, og udpeg hændelseslederen.
- Åbn beslutningsloggen for ransomware.
- Klassificér hændelsen efter A.5.25-kriterier.
- Identificér berørte aktiver og forretningstjenester.
- Fastlæg, om personoplysninger er involveret.
- Udløs arbejdsgange for GDPR-, NIS2-, DORA- og kontraktlig vurdering.
- Underret juridisk afdeling, DPO, direktion, forsikringsselskab og forensisk leverandør.
- Bevar bevismateriale før destruktive genopretningshandlinger.
- Kontrollér backupintegritet og gendannelsesmuligheder.
- Gennemfør sanktionsscreening før enhver forhandling.
- Registrér, om konsultation med retshåndhævende myndigheder er påkrævet.
- Udarbejd foreløbige udtalelser til kunder og tilsynsmyndigheder.
- Præsentér beslutningsmuligheder for den udøvende myndighed.
- Registrér beslutning, begrundelse, dissens, godkendelser og næste handlinger.
- Planlæg gennemgang efter hændelsen og kontrolforbedringer.
Outputtet bør være en fuldstændig bevispakke: deltagerliste, tidslinje, klassificeringsark, beslutningslog, kommunikationsudkast, juridiske handlingspunkter, handlingspunkter til forsikringsselskabet, backupkonstateringer og erfaringer. Den pakke er guld værd ved revision, fordi den viser styring i drift før en reel krise.
Hvordan revisorer og tilsynsmyndigheder vil teste processen
Revisorer med forskellig baggrund vil undersøge den samme ransomware-proces gennem forskellige linser.
| Revisors perspektiv | Hvad de vil bede om | Hvordan godt bevismateriale ser ud |
|---|---|---|
| ISO 27001:2022-revisor | Er hændelsesplanlægning, hændelsesvurdering, respons, bevismateriale, juridiske krav og læring kontrolleret? | Hændelseshåndteringsplan, SoA-kortlægning, risikoregister, tabletop-registreringer, procedure for bevismateriale, beslutningslogfiler, output fra ledelsens gennemgang |
| ISMS-revisor efter ISO/IEC 27007 | Forstår medarbejdere deres roller, og kan registreringer dokumentere drift? | Interviews med CISO, juridisk afdeling, DPO, SOC og ledelse samt stikprøver af hændelsessager og eskaleringsregistreringer |
| NIST-tilpasset assessor | Er styring, detektion, respons, kommunikation og genopretning integreret? | CSF-profil, risikoregister, overvågningsregler, kriterier for hændelseserklæring, interessentkommunikation, validering af genopretning |
| COBIT 2019- eller ISACA-revisor | Er der ledelsesejerskab, proceskontrol, tilstrækkeligt bevismateriale og løbende forbedring? | RACI, procesmetrikker, efterlevelsesrapportering, gennemgang efter hændelsen, sporing af korrigerende handlinger |
| DORA-fokuseret revisor | Klassificeres, eskaleres, rapporteres, gendannes og forbedres IKT-hændelser under IKT-risikostyringsrammen? | Kriterier for hændelsesklassificering, rapportering til ledelsesorganet, bevismateriale for kundekommunikation, rodårsagsanalyse, robusthedstest |
| GDPR-/privatlivsrevisor | Var vurderingen af brud på persondatasikkerheden rettidig, risikobaseret og dokumenteret? | Formular til brudvurdering, DPO-involvering, beslutning vedrørende tilsynsmyndighed, begrundelse for kommunikation til registrerede, kontekst for behandlingsregistre |
Zenith Controls indeholder detaljeret revisionsmetodik for A.5.24, A.5.25 og A.5.31. For A.5.24 undersøger revisorer hændelseshåndteringsplanen, alvorlighedsklassificeringer, roller, kontaktlister, instruktioner for regulatorisk rapportering, øvelser og aftaler med eksterne partnere. For A.5.25 gennemgår de, om kriterier for hændelsesklassificering findes, om registreringer for håndtering af alarmer viser undersøgelses- og eskaleringsbeslutninger, om SIEM og trusselsintelligens anvendes, og om DPO eller juridiske teams inddrages, når personoplysninger kan være berørt. For A.5.31 ser revisorer efter juridiske registre, efterlevelseskortlægning, bevismateriale for gennemgang, intern revisionsdækning og rapportering til øverste ledelse.
Revisionsrisikoen er ikke kun, at en organisation betalte eller nægtede at betale. Revisionsrisikoen er, at ingen kan dokumentere, hvordan beslutningen blev truffet.
Fra afpresning til kontrolforbedring
Ransomware-styring slutter ikke, når systemerne er gendannet. ISO 27001 forventer løbende forbedring. A.5.27 læring af informationssikkerhedshændelser er central for denne forventning. DORA kræver rodårsagsanalyse og yderligere kontroller. NIS2-slutrapportering forventer afbødende foranstaltninger og sandsynlig rodårsag, hvor det er relevant. GDPR-ansvarlighed forventer dokumentation for beslutninger og sikkerhedsforanstaltninger.
Enhver gennemgang efter en ransomware-hændelse bør besvare:
- Blev rapporteringsfrister identificeret korrekt?
- Fungerede beslutningsbemyndigelsen efter hensigten?
- Skete juridisk gennemgang og sanktionsgennemgang tidligt nok?
- Hjælpede eller forsinkede koordineringen med forsikringsselskabet responsen?
- Var backups fuldstændige, adskilte, gendannelige og testede?
- Var logfiler tilstrækkelige til at vurdere adgang og eksfiltrering?
- Reagerede leverandører i henhold til kontrakt?
- Var kundekommunikation korrekt og rettidig?
- Modtog ledelsen de rette oplysninger på det rette tidspunkt?
- Hvilke kontroller, politikker, kontrakter eller træning skal ændres?
Svarene bør opdatere risikoregisteret, Statement of Applicability, hændelseshåndteringsplanen, backupstrategien, leverandørkontrakter, kommunikationsplanen og træningsprogrammet.
I fasen ISMS-grundlag og ledelse, trin 5, fremhæver Zenith Blueprint planlægning af ekstern kommunikation, herunder identifikation af kunder, tilsynsmyndigheder, partnere og offentligheden, fastlæggelse af hvad og hvornår der skal kommunikeres, og definition af hvem der kommunikerer. For ransomware bliver dette trin broen mellem teknisk respons og bevarelse af tillid.
Byg beslutningsregistreringen, før løsesumsnoten kommer
Det bedste tidspunkt at styre en løsesumsbeslutning på er, før angriberen fastsætter fristen.
Hvis jeres ransomware-playbook ikke definerer beslutningsbemyndigelse, juridisk gennemgang, sanktionsscreening, forsikringsgodkendelse, sikring af bevismateriale, NIS2- og DORA-klassificering, GDPR-brudvurdering og dokumentation på bestyrelsesniveau, har organisationen et styringshul, der venter på en krise.
Clarysec hjælper organisationer med at indbygge denne kapacitet i ISMS’et ved hjælp af:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap til faseopdelt ISO 27001-implementering, risikobehandling, kommunikationsplanlægning og validering af hændelseskapacitet.
- Zenith Controls: The Cross-Compliance Guide til kortlægning af ISO 27001-kontroller til NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 og revisionsbevismateriale.
- Clarysec enterprise- og SMV-politikker, herunder Incident Response Policy, Incident Response Policy - SME, Evidence Collection and Forensics Policy, Evidence Collection and Forensics Policy - SME, Governance Roles and Responsibilities Policy, Governance Roles and Responsibilities Policy - SME og Risk Management Policy.
- Praktiske skabeloner til ransomware-tabletop-øvelser, beslutningslogfiler, juridiske eskaleringsmatricer, bevispakker og rapporteringsark til tværgående efterlevelse.
Vent ikke på opkaldet kl. 3 om natten med at finde ud af, hvem der kan beslutte. Gennemgå jeres hændelseshåndteringsplan mod Clarysecs fem beslutningsporte, gennemfør en 90-minutters tabletop-øvelse om ransomware-betaling, og etabler en sanktionsrobust, revisionsklar beslutningsregistrering, der kan stå imod tilsynsmyndigheder, forsikringsselskaber og jeres egen bestyrelse.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council