Διακυβέρνηση καταβολής λύτρων σε περιστατικά ransomware για NIS2 και DORA

Είναι 3:17 π.μ. μια εργάσιμη ημέρα του 2026. Η Μαρία, η Επικεφαλής Ασφάλειας Πληροφοριών (CISO) μιας ταχέως αναπτυσσόμενης πλατφόρμας fintech, καλείται σε γέφυρα διαχείρισης κρίσης από μήνυμα του επικεφαλής αναλυτή SOC: έχει επιβεβαιωθεί εκτεταμένη κρυπτογράφηση, οι βασικές υπηρεσίες είναι εκτός λειτουργίας και μια ομάδα ransomware ισχυρίζεται ότι έχει υποκλέψει 2TB δεδομένων πελατών.

Ο Διευθύνων Σύμβουλος συνδέεται πρώτος στην κλήση. Ακολουθεί το Νομικό Τμήμα. Έπειτα η ομάδα προστασίας δεδομένων, τα οικονομικά, οι επικοινωνίες, ο ασφαλιστής κυβερνοκινδύνων, ένας πάροχος ψηφιακής διερεύνησης και η ομάδα λειτουργιών νέφους. Μια πύλη στο dark web εμφανίζει αντίστροφη μέτρηση 48 ωρών και απαίτηση επταψήφιου ποσού σε κρυπτονόμισμα.

Ο Διευθύνων Σύμβουλος κάνει την ερώτηση που κάθε CISO φοβάται.

«Μπορούμε να πληρώσουμε και ποιος επιτρέπεται να αποφασίσει;»

Η λανθασμένη απάντηση είναι να αντιμετωπιστεί αυτό ως ζήτημα διαπραγμάτευσης. Η σωστή απάντηση είναι να αντιμετωπιστεί ως ζήτημα διακυβέρνησης.

Το 2026, η διακυβέρνηση αποφάσεων καταβολής λύτρων σε περιστατικά ransomware δεν αποτελεί πλέον ιδιωτική, τεχνική επιλογή σε συνθήκες κρίσης. Μπορεί να ελεγχθεί από ρυθμιστικές αρχές, ελεγκτές, ασφαλιστές, πελάτες, διωκτικές αρχές, μετόχους και το Διοικητικό Συμβούλιο. Μια απόφαση πληρωμής διασταυρώνεται με έκθεση σε κυρώσεις, αξιολόγηση παραβίασης δεδομένων προσωπικού χαρακτήρα, όρους ασφάλισης κυβερνοκινδύνων, συμβατικές υποχρεώσεις, επικοινωνίες κρίσης, διατήρηση τεκμηρίων, σταδιακή αναφορά NIS2, ταξινόμηση περιστατικού DORA, γνωστοποίηση GDPR και βελτίωση μετά το περιστατικό.

Γι’ αυτό η Clarysec συμβουλεύει τους πελάτες να ενσωματώνουν τη διακυβέρνηση αποφάσεων καταβολής λύτρων σε περιστατικά ransomware στο ISMS πριν από το περιστατικό. Το ISO/IEC 27001:2022 παρέχει τη δομή του συστήματος διαχείρισης. Οι έλεγχοι ISO/IEC 27002:2022 παρέχουν το λειτουργικό μοντέλο. Το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές και το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης βοηθούν στη μετατροπή αυτής της δομής σε πρακτικά, ελέγξιμα τεκμήρια.

Ένα playbook ransomware που αναφέρει «ενημερώστε το Νομικό Τμήμα» δεν αρκεί. Ο οργανισμός πρέπει να γνωρίζει ποιος μπορεί να εγκρίνει διαπραγμάτευση, πώς εκτελείται ο έλεγχος κυρώσεων, πότε απαιτείται έγκριση του ασφαλιστή, πώς τεκμηριώνεται η ταξινόμηση GDPR, NIS2 και DORA και πώς προστατεύονται τα τεκμήρια ενώ οι ομάδες ανάκαμψης εργάζονται υπό πίεση.

Γιατί αποτυγχάνουν οι ad hoc αποφάσεις πληρωμής ransomware

Μια απόφαση πληρωμής ransomware συχνά περιγράφεται ως δυαδική: πληρώνουμε ή δεν πληρώνουμε. Στην πραγματικότητα, η απόφαση έχει τουλάχιστον έξι επίπεδα:

1. Έχει επιβεβαιωθεί, περιοριστεί και ταξινομηθεί σωστά το συμβάν;
2. Επηρεάζονται δεδομένα προσωπικού χαρακτήρα, ρυθμιζόμενα δεδομένα ή η παροχή κρίσιμης υπηρεσίας;
3. Επιτρέπεται νομικά στον οργανισμό να επικοινωνήσει ή να συναλλαχθεί με τον φορέα απειλής;
4. Απαιτεί η ασφάλιση κυβερνοκινδύνων προηγούμενη ειδοποίηση, εγκεκριμένους προμηθευτές, συναίνεση ή συγκεκριμένα τεκμήρια;
5. Θα μειώσει η πληρωμή τον επιχειρηματικό αντίκτυπο ή θα αυξήσει τον νομικό, χρηματοοικονομικό και φημιστικό κίνδυνο;
6. Ποιος έχει την αρμοδιότητα να αποφασίσει και πώς καταγράφεται η απόφαση;

Κατά τη διάρκεια ενεργού περιστατικού, ασύνδετες ομάδες συχνά κινούνται προς διαφορετικές κατευθύνσεις. Ο CFO μπορεί να θεωρεί τα λύτρα επιχειρηματική δαπάνη σε σύγκριση με τον αυξανόμενο χρόνο διακοπής. Το Νομικό Τμήμα βλέπει κυρώσεις, χρηματοοικονομικό έγκλημα και ρυθμιστική έκθεση. Ο DPO αξιολογεί αν τα κρυπτογραφημένα ή εξαχθέντα δεδομένα δημιουργούν κοινοποιητέα παραβίαση δεδομένων προσωπικού χαρακτήρα. Η λειτουργία συμμόρφωσης παρακολουθεί τις προθεσμίες αναφοράς NIS2 και DORA. Ο CISO προσπαθεί να διατηρήσει τεκμήρια ενώ αποκαθιστά υπηρεσίες. Ο Διευθύνων Σύμβουλος ζητά εισήγηση πριν λήξει ο χρονομετρητής του επιτιθέμενου.

Χωρίς επίσημη διαδικασία λήψης αποφάσεων, η πιο δυνατή φωνή στο δωμάτιο μπορεί να γίνει το μοντέλο διακυβέρνησης. Αυτή ακριβώς είναι η κατάσταση που η σύγχρονη κανονιστική ρύθμιση κυβερνοασφάλειας έχει σχεδιαστεί να αποτρέπει.

Το NIS2 καθιστά την κυβερνοασφάλεια αρμοδιότητα της διοίκησης. Το Article 20 αφορά τη διακυβέρνηση και τη λογοδοσία των διοικητικών οργάνων, ενώ το Article 21 απαιτεί μέτρα διαχείρισης κινδύνων που καλύπτουν τον χειρισμό περιστατικών, την επιχειρησιακή συνέχεια, τη διαχείριση αντιγράφων ασφαλείας, τη διαχείριση κρίσεων, την ασφάλεια εφοδιαστικής αλυσίδας, τον έλεγχο πρόσβασης, τη διαχείριση περιουσιακών στοιχείων, το MFA και την αξιολόγηση αποτελεσματικότητας. Το Article 23 δημιουργεί σταδιακή αναφορά σημαντικών περιστατικών, συμπεριλαμβανομένης προειδοποίησης εντός 24 ωρών, γνωστοποίησης εντός 72 ωρών και τελικής αναφοράς εντός ενός μήνα, όπου εφαρμόζεται.

Για τις χρηματοοικονομικές οντότητες, το DORA είναι το ειδικό ανά τομέα εγχειρίδιο ψηφιακής επιχειρησιακής ανθεκτικότητας. Το Article 5 αναθέτει την ευθύνη για τη διαχείριση κινδύνων ΤΠΕ στο διοικητικό όργανο. Τα Articles 17, 18 and 19 αφορούν τη διαχείριση περιστατικών σχετιζόμενων με ΤΠΕ, την ταξινόμηση και την αναφορά μείζονων περιστατικών σχετιζόμενων με ΤΠΕ. Το DORA απαιτεί επίσης ικανότητες απόκρισης και ανάκαμψης, αντίγραφα ασφαλείας και αποκατάσταση, μάθηση μετά το περιστατικό, δοκιμές και διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ.

Το GDPR προσθέτει ξεχωριστή αλλά επικαλυπτόμενη αξιολόγηση. Αν το ransomware προκαλέσει τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη γνωστοποίηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας πρέπει να αξιολογήσει αν έχει επέλθει παραβίαση δεδομένων προσωπικού χαρακτήρα. Αν απαιτείται γνωστοποίηση, η προθεσμία προς την εποπτική αρχή είναι γενικά 72 ώρες από τη γνώση του περιστατικού. Αν υπάρχει υψηλός κίνδυνος για φυσικά πρόσωπα, μπορεί επίσης να απαιτείται επικοινωνία προς τα επηρεαζόμενα φυσικά πρόσωπα.

Το συμπέρασμα είναι απλό: το ερώτημα των λύτρων δεν πρέπει να τίθεται για πρώτη φορά μέσα στην αίθουσα διαχείρισης κρίσης.

Έλεγχοι ISO 27001:2022 που θεμελιώνουν τη διακυβέρνηση πληρωμών

Ένα ISO/IEC 27001:2022 ISMS δεν είναι λίστα ελέγχου για ελεγκτές. Είναι σύστημα διαχείρισης για τη λήψη αποφάσεων βάσει κινδύνου. Η διακυβέρνηση πληρωμών ransomware ανήκει σε αυτό το σύστημα, επειδή συνδυάζει αξιολόγηση κινδύνου, Αντιμετώπιση κινδύνων, ρόλους, νομικές υποχρεώσεις, απόκριση σε περιστατικά, συνέχεια, διαχείριση προμηθευτών και συνεχή βελτίωση.

Οι πιο σχετικοί έλεγχοι του Annex A του ISO 27001:2022 σχηματίζουν μια συνδεδεμένη αλυσίδα ελέγχων.

Στο Zenith Controls, η ενότητα για το A.5.24, Σχεδιασμός και προετοιμασία για τη διαχείριση περιστατικών ασφάλειας πληροφοριών, ταξινομεί τον έλεγχο ως διορθωτικό, συνδεδεμένο με την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, και ευθυγραμμισμένο με τις έννοιες Respond και Recover. Συνδέει επίσης το A.5.24 με την αξιολόγηση συμβάντων A.5.25, τη μάθηση από περιστατικά A.5.27, την καταγραφή A.8.15, την παρακολούθηση A.8.16, την ασφάλεια κατά τη διαταραχή A.5.29, τη συνέχεια και την επαφή με αρχές.

Αυτό έχει σημασία επειδή η διακυβέρνηση πληρωμών ransomware είναι αλυσίδα. Αν δεν μπορείτε να ανιχνεύσετε και να ταξινομήσετε το συμβάν, δεν μπορείτε να αποφασίσετε. Αν δεν μπορείτε να διατηρήσετε τεκμήρια, δεν μπορείτε να υπερασπιστείτε την απόφαση. Αν οι νομικές υποχρεώσεις δεν έχουν χαρτογραφηθεί, η διαπραγμάτευση ή η πληρωμή μπορεί να είναι παράνομη. Αν οι επιλογές ανάκαμψης δεν έχουν δοκιμαστεί, τα διευθυντικά στελέχη μπορεί να πιεστούν σε απόφαση βάσει φόβου αντί για πραγματικά στοιχεία.

Το Zenith Controls διατυπώνει καθαρά τη σχέση μεταξύ προετοιμασίας και λήψης αποφάσεων:

«Το 5.25 είναι το σημείο απόφασης που καθορίζει πότε ένα συμβάν υπερβαίνει το όριο και γίνεται περιστατικό ασφάλειας, ενεργοποιώντας τις ενέργειες που περιγράφονται στο 5.26. Η έγκαιρη και ακριβής αξιολόγηση συμβάντων διασφαλίζει ότι η απόκριση σε περιστατικά ούτε καθυστερεί ούτε κατευθύνεται λανθασμένα.»

Ο ίδιος οδηγός συνδέει το A.5.31, Νομικές, καταστατικές, ρυθμιστικές και συμβατικές απαιτήσεις, με την ιδιωτικότητα, τη διατήρηση αρχείων, την ανεξάρτητη ανασκόπηση και τη συμμόρφωση με εσωτερικές πολιτικές. Για το ransomware, το A.5.31 είναι το σημείο όπου ο έλεγχος κυρώσεων, οι ασφαλιστικές υποχρεώσεις, η συνεργασία με διωκτικές αρχές, οι συμβάσεις πελατών, οι υποχρεώσεις προστασίας δεδομένων και η τομεακή κανονιστική αναφορά αποτυπώνονται σε ένα ενιαίο Μητρώο Συμμόρφωσης.

Το μοντέλο πέντε πυλών της Clarysec για τη διακυβέρνηση πληρωμών ransomware

Το μοντέλο της Clarysec διαχωρίζει τη διακυβέρνηση αποφάσεων πληρωμής ransomware σε πέντε πύλες. Σκοπός δεν είναι να γίνει η πληρωμή ευκολότερη. Σκοπός είναι κάθε απόφαση, συμπεριλαμβανομένης της άρνησης πληρωμής, να βασίζεται σε τεκμήρια, να έχει νομική ανασκόπηση, να είναι εγκεκριμένη και να είναι ελέγξιμη.

Το μοντέλο αυτό χρησιμοποιεί τη λογική Αντιμετώπισης κινδύνων του ISO 27001. Μια πληρωμή ransomware δεν είναι έλεγχος ασφάλειας. Είναι, το πολύ, μια επιλογή κρίσης που εξετάζεται μέσα σε πλαίσιο Αντιμετώπισης κινδύνων και ανάκαμψης. Πριν από ένα περιστατικό, ο οργανισμός θα πρέπει ήδη να έχει αποφασίσει πώς αντιμετωπίζονται οι κίνδυνοι ransomware: μετριασμός μέσω ελέγχων, μεταφορά μέρους της χρηματοοικονομικής έκθεσης μέσω ασφάλισης, αποφυγή μη αποδεκτών εξαρτήσεων παλαιού τύπου ή ρητή αποδοχή υπολειπόμενου κινδύνου όπου αιτιολογείται.

Στη φάση Διαχείρισης Κινδύνων, Βήμα 13, Σχεδιασμός Αντιμετώπισης Κινδύνων και Δήλωση Εφαρμοσιμότητας, το Zenith Blueprint καθοδηγεί τους οργανισμούς να προσδιορίζουν επιλογές αντιμετώπισης για κάθε κίνδυνο και να τις τεκμηριώνουν στο Μητρώο Κινδύνων. Προειδοποιεί ότι η μεταφορά, όπως η ασφάλιση κυβερνοκινδύνων, δεν αφαιρεί την ανάγκη για ελέγχους, επειδή η μεταφορά συχνά αντιμετωπίζει τον χρηματοοικονομικό αντίκτυπο και όχι την πιθανότητα. Αναφέρει επίσης:

«Η αποδοχή πρέπει να είναι ρητή και εγκεκριμένη από τη διοίκηση, ιδίως για κάθε μεσαίο κίνδυνο. Οι υψηλοί κίνδυνοι σπάνια γίνονται αποδεκτοί, εκτός αν είναι πραγματικά αναπόφευκτοι και έχουν συμφωνηθεί στο ανώτατο επίπεδο.»

Η διατύπωση αυτή σχετίζεται άμεσα με τη διακυβέρνηση πληρωμών ransomware. Αν ζητείται από το Διοικητικό Συμβούλιο να αποδεχθεί τον υπολειπόμενο κίνδυνο άρνησης πληρωμής ή τον νομικό και φημιστικό κίνδυνο έγκρισης διαπραγμάτευσης, η αποδοχή πρέπει να είναι ρητή, καταγεγραμμένη και εγκεκριμένη από την κατάλληλη αρμόδια αρχή.

Η Πολιτική Διαχείρισης Κινδύνων της Clarysec ενισχύει το ίδιο σημείο:

«Οι αποφάσεις Αντιμετώπισης κινδύνων πρέπει να ευθυγραμμίζονται με τις προκαθορισμένες επιλογές»
Από τη ρήτρα 5.5.

Επομένως, μια απόφαση για λύτρα δεν αποτελεί παράκαμψη της διαχείρισης κινδύνων. Πρέπει να αντιμετωπίζεται ως επίσημη, τεκμηριωμένη απόφαση Αντιμετώπισης κινδύνων υπό καθορισμένη αρμοδιότητα.

Αρμοδιότητα πολιτικής: ποιος μπορεί να αποφασίσει υπό πίεση;

Πολλές αποτυχίες ransomware είναι αποτυχίες διακυβέρνησης μεταμφιεσμένες σε τεχνικές αποτυχίες. Κάποιος επικοινωνεί με τον επιτιθέμενο εκτός του εγκεκριμένου καναλιού. Κάποιος υπόσχεται πληρωμή πριν από την έγκριση του ασφαλιστή. Κάποιος αποκαθιστά συστήματα και αντικαθιστά τεκμήρια ψηφιακής διερεύνησης. Κάποιος ενημερώνει τους πελάτες πολύ νωρίς, πολύ αργά ή με ανακριβή στοιχεία.

Οι πολιτικές της Clarysec έχουν σχεδιαστεί για να αφαιρούν αυτή την ασάφεια.

Για ΜΜΕ, η Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης - ΜΜΕ δίνει έναν απλό κανόνα:

«Όλες οι σημαντικές αποφάσεις ασφάλειας, οι εξαιρέσεις και οι κλιμακώσεις πρέπει να καταγράφονται και να είναι ιχνηλάσιμες.»
Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.5.

Η Πολιτική Αντιμετώπισης Περιστατικών - ΜΜΕ αναθέτει αρμοδιότητα κλιμάκωσης:

«Ο Γενικός Διευθυντής (GM) είναι υπόλογος για την έγκριση όλων των αποφάσεων κλιμάκωσης περιστατικών, των ρυθμιστικών γνωστοποιήσεων και των εξωτερικών επικοινωνιών.»
Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.1.1.

Συνδέει επίσης τα περιστατικά δεδομένων πελατών με ρυθμιστικές υποχρεώσεις:

«Όπου εμπλέκονται δεδομένα πελατών, ο Γενικός Διευθυντής πρέπει να αξιολογεί τις νομικές υποχρεώσεις γνωστοποίησης με βάση την εφαρμοσιμότητα των GDPR, NIS2 ή DORA.»
Από την ενότητα «Αντιμετώπιση κινδύνων και εξαιρέσεις», ρήτρα πολιτικής 7.4.1.

Για μεγαλύτερους οργανισμούς, η εταιρική Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης απαιτεί άμεση κλιμάκωση όπου ενδέχεται να υπάρχει νομική έκθεση ή κοινοποιητέες παραβιάσεις δεδομένων:

«Νομική/ρυθμιστική κλιμάκωση: Περιστατικά που περιλαμβάνουν πιθανή νομική έκθεση ή κοινοποιητέες παραβιάσεις δεδομένων πρέπει να κλιμακώνονται άμεσα προς τον Υπεύθυνο Νομικής και Κανονιστικής Συμμόρφωσης και την Ανώτατη Διοίκηση.»
Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.4.3.

Η εταιρική Πολιτική Αντιμετώπισης Περιστατικών ορίζει την εκτελεστική αρμοδιότητα κατά τη διάρκεια σοβαρών περιστατικών. Η ρήτρα 4.6.1 αναφέρει ότι ο ρόλος της Ομάδας Ανώτατης Διοίκησης είναι να:

«Λαμβάνει στρατηγικές αποφάσεις κατά τη διάρκεια περιστατικών υψηλής σοβαρότητας, συμπεριλαμβανομένης της έγκρισης γνωστοποιήσεων και δημόσιων επικοινωνιών.»

Σε πλαίσιο ransomware, η Clarysec αντιμετωπίζει τη συζήτηση πληρωμής, την έγκριση διαπραγμάτευσης, την ειδοποίηση πελατών, τη ρυθμιστική δήλωση και τη δημόσια επικοινωνία ως στρατηγικές αποφάσεις, όχι ως τεχνικές ενέργειες.

Ακολουθεί ένας πρακτικός κανόνας διακυβέρνησης: ο CISO μπορεί να εισηγηθεί, η ομάδα περιστατικού μπορεί να αξιολογήσει, το Νομικό Τμήμα μπορεί να συμβουλεύσει, τα οικονομικά μπορούν να επιβεβαιώσουν τους μηχανισμούς πληρωμής, ο ασφαλιστής μπορεί να συναινέσει ή να αρνηθεί κάλυψη, αλλά η Ανώτατη Διοίκηση ή το Διοικητικό Συμβούλιο πρέπει να έχει την ευθύνη της απόφασης σύμφωνα με προκαθορισμένη αρμοδιότητα.

Κλιμάκωση ασφαλής ως προς τις κυρώσεις πριν από κάθε διαπραγμάτευση

Μια διαδικασία ransomware ασφαλής ως προς τις κυρώσεις ξεκινά με απαγόρευση: κανένας εργαζόμενος, ανάδοχος, προμηθευτής, μεσίτης, διαπραγματευτής ή χειριστής περιστατικού δεν επιτρέπεται να διαπραγματευτεί, να υποσχεθεί, να διευκολύνει ή να μεταφέρει αξία σε φορέα απειλής χωρίς εγκεκριμένη νομική ανασκόπηση.

Το νομικό σημείο ελέγχου πρέπει να πραγματοποιείται πριν από οποιαδήποτε ενεργή επικοινωνία με τον επιτιθέμενο, όχι αφού εμφανιστεί μια διεύθυνση πορτοφολιού. Η διαδικασία πρέπει να περιλαμβάνει:

• Εμπλοκή νομικού συμβούλου πριν από οποιαδήποτε επικοινωνία πέρα από παθητική συλλογή τεκμηρίων.
• Ταυτοποίηση του φορέα απειλής με χρήση εισροών ψηφιακής διερεύνησης, πληροφοριών απειλών και διωκτικών αρχών, όπου είναι διαθέσιμες.
• Έλεγχο κυρώσεων και περιορισμένων μερών για ονόματα ομάδων, ψευδώνυμα, διευθύνσεις πορτοφολιών, υποδομή, διαμεσολαβητές και κανάλια πληρωμής.
• Εξέταση και καταγραφή διαβούλευσης με διωκτικές αρχές.
• Ειδοποίηση του ασφαλιστή κυβερνοκινδύνων σύμφωνα με τους όρους της πολιτικής πριν από τον διορισμό προμηθευτών ή την έναρξη διαπραγματεύσεων.
• Εμπλοκή του DPO ή του επικεφαλής προστασίας δεδομένων αν ενδέχεται να εμπλέκονται δεδομένα προσωπικού χαρακτήρα.
• Επιβεβαίωση από τον CFO ή τον επικεφαλής οικονομικών των ελέγχων πληρωμής, του διαχωρισμού καθηκόντων, των ελέγχων κατά της απάτης και των απαιτήσεων έγκρισης από το Διοικητικό Συμβούλιο.
• Καταγραφή της εκτελεστικής απόφασης με τις εναλλακτικές που εξετάστηκαν, συμπεριλαμβανομένης της αποκατάστασης, του περιορισμού, της αναστολής υπηρεσίας, της επικοινωνίας με πελάτες και της άρνησης πληρωμής.
• Διατήρηση τεκμηρίων για επικοινωνίες με τον επιτιθέμενο, ενδείξεις, στοιχεία πορτοφολιού, συναντήσεις λήψης αποφάσεων, εγκρίσεις και εξωτερικές συμβουλές.

Για το ransomware, το νομικό μητρώο πρέπει να περιλαμβάνει τουλάχιστον τις ακόλουθες πηγές υποχρεώσεων.

Οι οργανισμοί πρέπει επίσης να ορίζουν ποιος μπορεί να σταματήσει την απόφαση πληρωμής. Το Νομικό Τμήμα, η Συμμόρφωση, ο DPO, ο σύμβουλος κυρώσεων ή το Διοικητικό Συμβούλιο πρέπει να έχουν ρητή αρμοδιότητα να παύουν τη διαπραγμάτευση ή την πληρωμή αν ο έλεγχος είναι ελλιπής, τα τεκμήρια είναι αναξιόπιστα, οι όροι του ασφαλιστή δεν έχουν εκπληρωθεί ή η ενέργεια μπορεί να παραβιάζει νόμο ή σύμβαση.

Διατήρηση τεκμηρίων: μην καταστρέφετε την απόδειξη ενώ αποκαθιστάτε την υπηρεσία

Οι ομάδες ransomware φυσικά σπεύδουν να αποκαταστήσουν τις λειτουργίες. Αν όμως η αποκατάσταση καταστρέψει αρχεία καταγραφής, στιγμιότυπα, σημειώματα λύτρων, δείγματα κακόβουλου λογισμικού, εικόνες μνήμης ή μηνύματα επιτιθέμενου, ο οργανισμός μπορεί να χάσει τη δυνατότητα να αποδείξει τι συνέβη.

Στη φάση Έλεγχοι σε Εφαρμογή, Βήμα 23, Οργανωτικοί έλεγχοι, το Zenith Blueprint καθοδηγεί τους οργανισμούς να επικυρώνουν και να δοκιμάζουν τις ικανότητες διαχείρισης περιστατικών, ορίζοντας αναφερόμενα συμβάντα ασφάλειας, τεκμηριώνοντας τη λήψη αποφάσεων και διατηρώντας τεκμήρια ψηφιακής διερεύνησης. Καθοδηγεί τις ομάδες να:

«Συλλέγουν και καταγράφουν όλες τις αποφάσεις, τους ρόλους και τις επικοινωνίες (5.26), και να επικαιροποιούν το σχέδιο με τα διδάγματα που αντλήθηκαν (5.27). Να επιβεβαιώνουν ότι υπάρχουν διαδικασίες για τη διατήρηση τεκμηρίων ψηφιακής διερεύνησης (5.28), συμπεριλαμβανομένων στιγμιότυπων αρχείων καταγραφής, αντιγράφων ασφαλείας και ασφαλούς απομόνωσης επηρεαζόμενων συστημάτων.»

Το ίδιο βήμα εξηγεί το A.5.28 με γλώσσα που κάθε Διοικητικό Συμβούλιο πρέπει να κατανοεί:

«αυτό που μπορείτε να αποδείξετε έχει την ίδια σημασία με αυτό που πραγματικά συνέβη»

Η εταιρική Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Διερεύνησης της Clarysec ενισχύει ότι τα τεκμήρια πρέπει να παραμένουν ιχνηλάσιμα:

«Ένα Αρχείο Καταγραφής Αλυσίδας Επιμέλειας πρέπει να συνοδεύει όλα τα φυσικά ή ψηφιακά τεκμήρια από τη στιγμή της απόκτησης έως την αρχειοθέτηση ή μεταφορά και πρέπει να τεκμηριώνει:»
Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.6.

Για ΜΜΕ, η Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Διερεύνησης - ΜΜΕ είναι σκόπιμα πρακτική:

«Πρέπει πάντα να δημιουργείται εγκληματολογικό αντίγραφο ή εξαγωγή· το αρχικό τεκμήριο δεν πρέπει ποτέ να τροποποιείται απευθείας.»
Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.

Απαιτεί επίσης νομική διαβούλευση όταν ενδέχεται να υπάρχει αντίκτυπος στο HR, νομικός ή πελατειακός αντίκτυπος:

«Αν το περιστατικό περιλαμβάνει πιθανό αντίκτυπο στο Ανθρώπινο Δυναμικό (HR), νομικό αντίκτυπο ή αντίκτυπο σε πελάτες, ο GM πρέπει να συμβουλευτεί νομικό σύμβουλο πριν προχωρήσει σε εφαρμογή ή κλιμάκωση.»
Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.4.2.

Ένα πρακτικό πακέτο τεκμηρίων πρέπει να ανοίγεται κατά την Πύλη 2. Δημιουργήστε περιορισμένο φάκελο τεκμηρίων περιστατικού. Εξαγάγετε χρονογραμμές SIEM, ανιχνεύσεις EDR, αρχεία καταγραφής ελέγχου νέφους, αρχεία καταγραφής συνδέσεων παρόχου ταυτότητας, κατάσταση εργασιών αντιγράφων ασφαλείας, σημειώματα λύτρων, στιγμιότυπα οθόνης, μηνύματα επιτιθέμενου, διευθύνσεις πορτοφολιών, δείγματα αρχείων, αναφορές νομικών συμβουλών, αλληλογραφία με τον ασφαλιστή και αποφάσεις συναντήσεων. Ορίστε θεματοφύλακα. Καταγράψτε τιμές κατακερματισμού όπου ενδείκνυται. Μην επιτρέπετε στους διαχειριστές να καθαρίζουν επηρεαζόμενα συστήματα πριν από την απόκτηση τεκμηρίων ψηφιακής διερεύνησης, εκτός αν το απαιτεί η ασφάλεια ζωής, η προστασία κρίσιμης υπηρεσίας ή ο εγκεκριμένος από τη διοίκηση περιορισμός.

Ένα φύλλο ταξινόμησης για NIS2, DORA και GDPR

Ένα περιστατικό ransomware μπορεί να ενεργοποιήσει πολλαπλές προθεσμίες. Η πρόκληση δεν είναι μόνο να γνωρίζει ο οργανισμός τις προθεσμίες. Είναι να γνωρίζει πότε έλαβε γνώση, τι γνώριζε εκείνη τη στιγμή και πώς λήφθηκαν οι αποφάσεις ταξινόμησης.

Το NIS2 Article 23 απαιτεί από βασικές και σημαντικές οντότητες να γνωστοποιούν στο CSIRT ή στην αρμόδια αρχή, χωρίς αδικαιολόγητη καθυστέρηση, τα σημαντικά περιστατικά. Η σημαντικότητα συνδέεται με σοβαρή επιχειρησιακή διαταραχή, χρηματοοικονομική απώλεια ή σημαντική υλική ή μη υλική ζημία σε τρίτους. Το σταδιακό μοντέλο περιλαμβάνει προειδοποίηση εντός 24 ωρών, γνωστοποίηση εντός 72 ωρών, ενδιάμεσες επικαιροποιήσεις αν ζητηθούν και τελική αναφορά εντός ενός μήνα από τη γνωστοποίηση του περιστατικού όπου εφαρμόζεται.

Το DORA απαιτεί από τις χρηματοοικονομικές οντότητες να ορίζουν και να εφαρμόζουν διαχείριση περιστατικών σχετιζόμενων με ΤΠΕ, να καταγράφουν περιστατικά και σημαντικές κυβερνοαπειλές, να ταξινομούν περιστατικά με κριτήρια όπως επηρεαζόμενοι πελάτες, διάρκεια, γεωγραφική εξάπλωση, απώλεια δεδομένων, κρισιμότητα και οικονομικός αντίκτυπος, και να αναφέρουν μείζονα περιστατικά σχετιζόμενα με ΤΠΕ στις αρμόδιες αρχές μέσω αρχικών, ενδιάμεσων και τελικών αναφορών.

Το GDPR θέτει διαφορετικό αλλά επικαλυπτόμενο ερώτημα: προκάλεσε το περιστατικό παραβίαση δεδομένων προσωπικού χαρακτήρα; Αν ναι, είναι πιθανό να επιφέρει κίνδυνο για φυσικά πρόσωπα; Αν πληρούται το όριο γνωστοποίησης, η γνωστοποίηση στην εποπτική αρχή πρέπει να αξιολογείται έναντι της προθεσμίας των 72 ωρών. Αν υπάρχει υψηλός κίνδυνος, μπορεί επίσης να απαιτείται επικοινωνία με τα φυσικά πρόσωπα.

Η Clarysec συνιστά τη χρήση ενιαίου φύλλου ταξινόμησης ransomware με ξεχωριστές ενότητες για κάθε καθεστώς.

Η προσέγγιση αυτή ταιριάζει με τις ρήτρες του ISO 27001 για αξιολόγηση κινδύνου, Αντιμετώπιση κινδύνων και τεκμηριωμένες πληροφορίες. Ευθυγραμμίζεται επίσης με το NIST CSF 2.0. Η λειτουργία GOVERN του NIST CSF 2.0 αναμένει από τους οργανισμούς να κατανοούν τα ενδιαφερόμενα μέρη, τις νομικές και ρυθμιστικές υποχρεώσεις, τη διάθεση ανάληψης κινδύνου, τους ρόλους, την πολιτική, την εποπτεία και τον κίνδυνο τρίτων μερών. Τα αποτελέσματα ανίχνευσης, απόκρισης και ανάκαμψης υποστηρίζουν τη δήλωση περιστατικού, την ανάλυση, τον συντονισμό απόκρισης, τη γνωστοποίηση προς ενδιαφερόμενα μέρη, την εκτέλεση ανάκαμψης και την επικύρωση αποκατάστασης.

Για χρηματοοικονομικές οντότητες, το DORA μπορεί να λειτουργεί ως το ειδικό ανά τομέα καθεστώς κυβερνοασφάλειας για επικαλυπτόμενες υποχρεώσεις NIS2, αλλά αυτό δεν αφαιρεί την ανάγκη κατανόησης της εφαρμοσιμότητας του NIS2 για οντότητες ομίλου, παρόχους ΤΠΕ, διαχειριζόμενες υπηρεσίες ή εξαρτήσεις νέφους. Η πρακτική απάντηση δεν είναι η διατήρηση ξεχωριστών playbooks. Είναι η λειτουργία ενός ενιαίου μοντέλου τεκμηρίων ISMS αντιστοιχισμένου σε όλες τις σχετικές υποχρεώσεις.

Η ασφάλιση κυβερνοκινδύνων και ο συντονισμός προμηθευτών είναι έλεγχοι διακυβέρνησης

Η ασφάλιση κυβερνοκινδύνων μπορεί να είναι πολύτιμη, αλλά δεν αποτελεί στρατηγική ransomware. Είναι μηχανισμός μεταφοράς κινδύνου με όρους. Κατά τη διάρκεια περιστατικού ransomware, ο ασφαλιστής μπορεί να απαιτήσει άμεση ειδοποίηση, χρήση εταιρειών πάνελ, προηγούμενη έγκριση για διαπραγμάτευση, διατήρηση τεκμηρίων, απόδειξη αστοχίας αντιγράφων ασφαλείας, απόδειξη εύλογων ελέγχων και νομική ανασκόπηση πριν από οποιαδήποτε εξέταση πληρωμής.

Το DORA καθιστά τον κίνδυνο τρίτων παρόχων ΤΠΕ βασικό πεδίο συμμόρφωσης. Το NIS2 Article 21 απαιτεί επίσης ασφάλεια εφοδιαστικής αλυσίδας και συνεκτίμηση των ευπαθειών προμηθευτών και των πρακτικών κυβερνοασφάλειας. Το ISO 27001 υποστηρίζει την ίδια λογική μέσω ελέγχων προμηθευτών και νέφους, όπως οι A.5.19 έως A.5.23, καθώς και μέσω ελέγχων περιστατικών, συνέχειας και νομικών απαιτήσεων.

Το Zenith Controls συνδέει την προετοιμασία περιστατικών με εξωτερικούς συνεργάτες, συμπεριλαμβανομένων εταιρειών ψηφιακής διερεύνησης, νομικών, δημοσίων σχέσεων και επαφής με αρχές. Από ελεγκτική άποψη, η απουσία προκαθορισμένων εξωτερικών συνεργατών μπορεί να θεωρηθεί κενό ετοιμότητας, επειδή μπορεί να καθυστερήσει την απόκριση κατά τη διάρκεια πραγματικού περιστατικού.

Για τη διακυβέρνηση πληρωμών ransomware, η Clarysec συνιστά να έχουν προσυμφωνηθεί:

• Όροι σύμβασης διαθεσιμότητας ψηφιακής διερεύνησης ή ταχείας απόκρισης.
• Διαθεσιμότητα εξωτερικού νομικού συμβούλου για στρατηγική παραβίασης, κυρώσεις και νομικό προνόμιο.
• Διαδρομή ειδοποίησης ασφαλιστή κυβερνοκινδύνων και εγκεκριμένος κατάλογος προμηθευτών.
• Διαδρομή κλιμάκωσης παρόχου νέφους για στιγμιότυπα, αρχεία καταγραφής, απομόνωση και ανάκαμψη.
• Διαδικασίες συνεργασίας με MSSP ή MDR κατά τα περιστατικά.
• Διαδικασία ανασκόπησης δημοσίων σχέσεων και επικοινωνιών κρίσης.
• Τραπεζικοί ή οικονομικοί έλεγχοι έγκρισης για οποιαδήποτε έκτακτη πληρωμή.
• Πρωτόκολλο επικοινωνίας με διωκτικές αρχές.

Αυτό αντιστοιχίζεται καλά στα αποτελέσματα εφοδιαστικής αλυσίδας του NIST CSF 2.0, συμπεριλαμβανομένων των ρόλων και αρμοδιοτήτων προμηθευτών, της δέουσας επιμέλειας, των συμβατικών απαιτήσεων κυβερνοασφάλειας, του συντονισμού περιστατικών προμηθευτών και των δραστηριοτήτων μετά τη λύση συνεργασίας.

Ένα πρακτικό playbook κλιμάκωσης πληρωμής ransomware

Οι πέντε πύλες μπορούν να μετατραπούν σε επιχειρησιακό playbook. Κάθε βήμα πρέπει να τεκμηριώνεται, να έχει ιδιοκτήτη και να δοκιμάζεται.

Ο στόχος δεν είναι να διασφαλιστεί μια άνετη απόφαση. Μπορεί να μην υπάρχει άνετη απόφαση. Ο στόχος είναι να διασφαλιστεί ότι η απόφαση είναι εγκεκριμένη, βασισμένη σε τεκμήρια, ενημερωμένη νομικά και υπερασπίσιμη.

Η άσκηση επιτραπέζιου σεναρίου 90 λεπτών που αποδεικνύει την ετοιμότητα

Ο απλούστερος τρόπος δοκιμής της διακυβέρνησης πληρωμών ransomware δεν είναι μια τεχνική άσκηση Red Team. Είναι ένα επιτραπέζιο σενάριο απόφασης.

Χρησιμοποιήστε το Zenith Blueprint, στη φάση Έλεγχοι σε Εφαρμογή, Βήμα 23, για να επικυρώσετε την ικανότητα διαχείρισης περιστατικών. Επιλέξτε σενάριο ransomware και εκτελέστε χρονομετρημένη άσκηση. Ο στόχος δεν είναι να αποφασιστεί εκ των προτέρων ότι ο οργανισμός θα πλήρωνε ή δεν θα πλήρωνε ποτέ. Ο στόχος είναι να αποδειχθεί ότι ο οργανισμός μπορεί να καταλήξει σε απόφαση υπό διακυβέρνηση.

Σενάριο: μια βάση δεδομένων πελατών που φιλοξενείται σε περιβάλλον νέφους έχει κρυπτογραφηθεί, ο επιτιθέμενος ισχυρίζεται εξαγωγή δεδομένων, υπάρχουν αντίγραφα ασφαλείας αλλά δεν έχουν ακόμη δοκιμαστεί ως προς την ακεραιότητα, ο ασφαλιστής δεν έχει ειδοποιηθεί και ο επιτιθέμενος παρέχει διεύθυνση πορτοφολιού με προθεσμία 48 ωρών.

Λίστα ελέγχου άσκησης:

• Δηλώστε το περιστατικό και αναθέστε τον Συντονιστή Περιστατικού.
• Ανοίξτε το αρχείο αποφάσεων ransomware.
• Ταξινομήστε το συμβάν χρησιμοποιώντας τα κριτήρια A.5.25.
• Προσδιορίστε επηρεαζόμενα περιουσιακά στοιχεία και επιχειρησιακές υπηρεσίες.
• Προσδιορίστε αν εμπλέκονται δεδομένα προσωπικού χαρακτήρα.
• Ενεργοποιήστε ροές εργασιών αξιολόγησης GDPR, NIS2, DORA και συμβατικών υποχρεώσεων.
• Ειδοποιήστε το Νομικό Τμήμα, τον DPO, την Ανώτατη Διοίκηση, τον ασφαλιστή και τον πάροχο ψηφιακής διερεύνησης.
• Διατηρήστε τεκμήρια πριν από καταστροφικές ενέργειες ανάκαμψης.
• Ελέγξτε την ακεραιότητα αντιγράφων ασφαλείας και τις επιλογές αποκατάστασης.
• Διενεργήστε έλεγχο κυρώσεων πριν από οποιαδήποτε διαπραγμάτευση.
• Καταγράψτε αν απαιτείται διαβούλευση με διωκτικές αρχές.
• Συντάξτε αρχικές δηλώσεις για πελάτες και ρυθμιστικές αρχές.
• Παρουσιάστε επιλογές απόφασης στην εκτελεστική αρμοδιότητα.
• Καταγράψτε την απόφαση, την αιτιολόγηση, τις διαφωνίες, τις εγκρίσεις και τις επόμενες ενέργειες.
• Προγραμματίστε ανασκόπηση μετά το περιστατικό και ενέργειες βελτίωσης ελέγχων.

Η έξοδος πρέπει να είναι πλήρες πακέτο τεκμηρίων: κατάλογος συμμετεχόντων, χρονογραμμή, φύλλο ταξινόμησης, αρχείο αποφάσεων, προσχέδια επικοινωνιών, νομικές ενέργειες, ενέργειες ασφαλιστή, ευρήματα αντιγράφων ασφαλείας και διδάγματα που αντλήθηκαν. Αυτό το πακέτο είναι εξαιρετικά πολύτιμο σε έλεγχο, επειδή δείχνει ότι η διακυβέρνηση λειτουργεί πριν από μια πραγματική κρίση.

Πώς θα δοκιμάσουν τη διαδικασία οι ελεγκτές και οι ρυθμιστικές αρχές

Ελεγκτές από διαφορετικά υπόβαθρα θα εξετάσουν την ίδια διαδικασία ransomware μέσα από διαφορετικούς φακούς.

Το Zenith Controls παρέχει λεπτομερή μεθοδολογία ελέγχου για τα A.5.24, A.5.25 και A.5.31. Για το A.5.24, οι ελεγκτές εξετάζουν το σχέδιο Αντιμετώπισης Περιστατικών, τις ταξινομήσεις σοβαρότητας, τους ρόλους, τις λίστες επαφών, τις οδηγίες κανονιστικής αναφοράς, τις ασκήσεις και τις ρυθμίσεις εξωτερικών συνεργατών. Για το A.5.25, εξετάζουν αν υπάρχουν κριτήρια ταξινόμησης συμβάντων, αν τα αρχεία χειρισμού ειδοποιήσεων δείχνουν αποφάσεις διερεύνησης και κλιμάκωσης, αν χρησιμοποιούνται SIEM και threat intelligence, και αν εμπλέκονται οι ομάδες DPO ή Νομικού Τμήματος όταν ενδέχεται να επηρεάζονται δεδομένα προσωπικού χαρακτήρα. Για το A.5.31, οι ελεγκτές αναζητούν νομικά μητρώα, χαρτογράφηση συμμόρφωσης, τεκμήρια ανασκόπησης, κάλυψη εσωτερικού ελέγχου και αναφορά προς την Ανώτατη Διοίκηση.

Ο ελεγκτικός κίνδυνος δεν είναι μόνο ότι ένας οργανισμός πλήρωσε ή αρνήθηκε να πληρώσει. Ο ελεγκτικός κίνδυνος είναι ότι κανείς δεν μπορεί να αποδείξει πώς λήφθηκε η απόφαση.

Από τον εκβιασμό στη βελτίωση ελέγχων

Η διακυβέρνηση ransomware δεν τελειώνει όταν τα συστήματα αποκατασταθούν. Το ISO 27001 αναμένει συνεχή βελτίωση. Το A.5.27, μάθηση από περιστατικά ασφάλειας πληροφοριών, είναι κεντρικό σε αυτή την προσδοκία. Το DORA απαιτεί ανάλυση βασικής αιτίας και πρόσθετους ελέγχους. Η τελική αναφορά NIS2 αναμένει μέτρα μετριασμού και πιθανή βασική αιτία όπου εφαρμόζεται. Η λογοδοσία του GDPR αναμένει τεκμηρίωση αποφάσεων και δικλίδων ασφαλείας.

Κάθε ανασκόπηση μετά από περιστατικό ransomware πρέπει να απαντά:

• Εντοπίστηκαν σωστά οι προθεσμίες αναφοράς;
• Λειτούργησε όπως σχεδιάστηκε η αρμοδιότητα λήψης αποφάσεων;
• Ήταν αρκετά έγκαιρη η νομική ανασκόπηση και ο έλεγχος κυρώσεων;
• Βοήθησε ή καθυστέρησε την απόκριση ο συντονισμός με τον ασφαλιστή;
• Ήταν τα αντίγραφα ασφαλείας πλήρη, διαχωρισμένα, αποκαταστάσιμα και δοκιμασμένα;
• Ήταν τα αρχεία καταγραφής επαρκή για την αξιολόγηση πρόσβασης και εξαγωγής δεδομένων;
• Ανταποκρίθηκαν οι προμηθευτές σύμφωνα με τη σύμβαση;
• Ήταν οι επικοινωνίες με πελάτες ακριβείς και έγκαιρες;
• Έλαβαν τα διευθυντικά στελέχη τις σωστές πληροφορίες στον σωστό χρόνο;
• Ποιοι έλεγχοι, πολιτικές, συμβάσεις ή εκπαιδεύσεις πρέπει να αλλάξουν;

Οι απαντήσεις αυτές πρέπει να επικαιροποιούν το Μητρώο Κινδύνων, τη Δήλωση Εφαρμοσιμότητας, το σχέδιο Αντιμετώπισης Περιστατικών, τη στρατηγική αντιγράφων ασφαλείας, τις συμβάσεις προμηθευτών, το σχέδιο επικοινωνίας και το εκπαιδευτικό πρόγραμμα.

Στη φάση Θεμελίωση και Ηγεσία ISMS, Βήμα 5, το Zenith Blueprint δίνει έμφαση στον σχεδιασμό εξωτερικών επικοινωνιών, συμπεριλαμβανομένου του προσδιορισμού πελατών, ρυθμιστικών αρχών, συνεργατών και κοινού, του καθορισμού του τι και πότε θα επικοινωνείται και του ορισμού του ποιος επικοινωνεί. Για το ransomware, το βήμα αυτό γίνεται η γέφυρα μεταξύ τεχνικής απόκρισης και διατήρησης εμπιστοσύνης.

Δημιουργήστε το αρχείο απόφασης πριν από το σημείωμα λύτρων

Ο καλύτερος χρόνος για τη διακυβέρνηση μιας απόφασης λύτρων είναι πριν ο επιτιθέμενος θέσει την προθεσμία.

Αν το playbook ransomware σας δεν ορίζει αρμοδιότητα απόφασης, νομική ανασκόπηση, έλεγχο κυρώσεων, έγκριση ασφαλιστή, διατήρηση τεκμηρίων, ταξινόμηση NIS2 και DORA, αξιολόγηση παραβίασης GDPR και τεκμηρίωση σε επίπεδο Διοικητικού Συμβουλίου, ο οργανισμός έχει κενό διακυβέρνησης που περιμένει την κρίση.

Η Clarysec βοηθά τους οργανισμούς να ενσωματώσουν αυτή την ικανότητα στο ISMS χρησιμοποιώντας:

• Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές για σταδιακή εφαρμογή ISO 27001, Αντιμετώπιση κινδύνων, σχεδιασμό επικοινωνίας και επικύρωση ικανότητας περιστατικών.
• Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης για αντιστοίχιση ελέγχων ISO 27001 σε NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 και ελεγκτικά τεκμήρια.
• Εταιρικές πολιτικές και πολιτικές ΜΜΕ της Clarysec, συμπεριλαμβανομένων των Πολιτική Αντιμετώπισης Περιστατικών, Πολιτική Αντιμετώπισης Περιστατικών - ΜΜΕ, Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Διερεύνησης, Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Διερεύνησης - ΜΜΕ, Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης, Πολιτική Ρόλων και Αρμοδιοτήτων Διακυβέρνησης - ΜΜΕ και Πολιτική Διαχείρισης Κινδύνων.
• Πρακτικά πρότυπα επιτραπέζιων ασκήσεων ransomware, αρχεία αποφάσεων, μήτρες νομικής κλιμάκωσης, πακέτα τεκμηρίων και φύλλα εργασίας αναφορών διασταυρούμενης συμμόρφωσης.

Μην περιμένετε την κλήση των 3 π.μ. για να ανακαλύψετε ποιος μπορεί να αποφασίσει. Ανασκοπήστε το σχέδιο Αντιμετώπισης Περιστατικών σας με βάση τις πέντε πύλες της Clarysec, εκτελέστε μια επιτραπέζια άσκηση πληρωμής ransomware 90 λεπτών και δημιουργήστε αρχείο απόφασης ασφαλές ως προς τις κυρώσεις και έτοιμο για έλεγχο, που μπορεί να σταθεί απέναντι σε ρυθμιστικές αρχές, ασφαλιστές και το ίδιο σας το Διοικητικό Συμβούλιο.