Lunaraha maksmise otsuste juhtimine NIS2 ja DORA nõuete kontekstis
On 2026. aasta tööpäeva öö kell 3.17. Maria, kiiresti kasvava finantstehnoloogia platvormi infoturbejuht, kutsutakse kriisikõnesse pärast seda, kui tema juhtiv SOC-analüütik on teatanud: ulatuslik krüptimine on kinnitatud, põhiteenused ei tööta ning lunavararühmitus väidab, et on varastanud 2 TB kliendiandmeid.
Esimesena liitub kõnega tegevjuht. Seejärel õigusosakond. Siis andmekaitse, finants, kommunikatsioon, küberkindlustusandja, kohtuekspertiisi teenuseosutaja ja pilvetoimingute meeskond. Tumeveebi portaalis kuvatakse 48-tunnine taimer ja seitsmekohaline nõue krüptorahas.
Tegevjuht esitab küsimuse, mida iga infoturbejuht kardab.
„Kas me võime maksta ja kellel on õigus otsustada?“
Vale vastus on käsitleda seda läbirääkimisprobleemina. Õige vastus on käsitleda seda juhtimisprobleemina.
- aastal ei ole lunaraha maksmise otsuste juhtimine enam privaatne tehniline kriisiotsus. Seda võivad hinnata regulaatorid, audiitorid, kindlustusandjad, kliendid, õiguskaitseasutused, aktsionärid ja juhatus. Makseotsus põimub sanktsiooniriskiga, isikuandmetega seotud rikkumise hindamisega, küberkindlustuse tingimustega, lepinguliste kohustustega, kriisikommunikatsiooniga, tõendusmaterjali säilitamisega, NIS2 etapiviisilise aruandlusega, DORA intsidendi klassifitseerimisega, GDPR-i teavitamisega ja intsidendijärgse parendamisega.
Seetõttu soovitab Clarysec klientidel luua lunaraha maksmise otsuste juhtimine infoturbe juhtimissüsteemi sisse enne intsidendi toimumist. ISO/IEC 27001:2022 annab juhtimissüsteemi struktuuri. ISO/IEC 27002:2022 kontrollimeetmed annavad toimemudeli. Zenith Blueprint: audiitori 30-sammuline teekaart ja Zenith Controls: ristvastavuse juhend aitavad muuta selle struktuuri praktiliseks ja auditikõlblikuks tõendusmaterjaliks.
Lunavara tööjuhisest, mis ütleb „teavita õigusosakonda“, ei piisa. Organisatsioon peab teadma, kellel on õigus läbirääkimised volitada, kuidas tehakse sanktsioonikontroll, millal peab kindlustusandja heakskiidu andma, kuidas dokumenteeritakse GDPR-i, NIS2 ja DORA klassifitseerimine ning kuidas kaitstakse tõendusmaterjali ajal, mil taastemeeskonnad töötavad surve all.
Miks ad hoc lunaraha maksmise otsused ebaõnnestuvad
Lunaraha maksmise otsust kirjeldatakse sageli binaarsena: maksta või mitte maksta. Tegelikult on otsusel vähemalt kuus kihti:
- Kas sündmus on kinnitatud, ohjeldatud ja õigesti klassifitseeritud?
- Kas mõjutatud on isikuandmed, reguleeritud andmed või kriitilise teenuse osutamine?
- Kas organisatsioonil on õiguslikult lubatud ohutegijaga suhelda või tehingut teha?
- Kas küberkindlustus nõuab eelnevat teavitust, heakskiidetud tarnijaid, nõusolekut või konkreetset tõendusmaterjali?
- Kas makse vähendaks ärimõju või suurendaks õiguslikku, finants- ja maineriski?
- Kellel on otsustusõigus ja kuidas otsus registreeritakse?
Reaalse intsidendi ajal liiguvad eraldiseisvad meeskonnad sageli eri suundades. Finantsjuht võib näha lunaraha ärikuluna võrreldes kasvava katkestusajaga. Õigusosakond näeb sanktsioone, finantskuritegevust ja regulatiivset kokkupuudet. Andmekaitsespetsialist hindab, kas krüpteeritud või välja viidud andmed kujutavad endast teatamiskohustuslikku isikuandmetega seotud rikkumist. Vastavuse tagamise funktsioon jälgib NIS2 ja DORA aruandlustähtaegu. Infoturbejuht püüab teenuseid taastades tõendusmaterjali säilitada. Tegevjuht soovib soovitust enne ründaja taimeri lõppemist.
Ilma ametliku otsustusprotsessita võib ruumi kõige valjem hääl saada juhtimismudeliks. Just seda olukorda on tänapäevane küberturbe regulatsioon mõeldud vältima.
NIS2 muudab küberturbe juhtkonna vastutuseks. Article 20 käsitleb juhtorganite juhtimist ja vastutust, samal ajal kui Article 21 nõuab riskijuhtimismeetmeid, mis hõlmavad intsidentide käsitlemist, talitluspidevust, varunduse haldamist, kriisijuhtimist, tarneahela turvet, juurdepääsukontrolli, varahaldust, MFA-d ja tõhususe hindamist. Article 23 loob oluliste intsidentide etapiviisilise aruandluse, sealhulgas varajase hoiatuse 24 tunni jooksul, teavituse 72 tunni jooksul ja vajaduse korral lõpparuande ühe kuu jooksul.
Finantsüksuste puhul on DORA valdkonnapõhine operatsioonilise toimepidevuse reeglistik. Article 5 paneb IKT-riski juhtimise eest vastutuse juhtorganile. Articles 17, 18 ja 19 käsitlevad IKT-ga seotud intsidentide haldust, oluliste IKT-ga seotud intsidentide klassifitseerimist ja aruandlust. DORA nõuab ka reageerimis- ja taastevõimekust, varundamist ja taastamist, intsidendijärgset õppimist, testimist ning IKT kolmandate osapoolte riskijuhtimist.
GDPR lisab eraldi, kuid kattuva hindamise. Kui lunavara põhjustab isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu, peab vastutav töötleja hindama, kas toimus isikuandmetega seotud rikkumine. Kui teavitamine on nõutav, on järelevalveasutuse teavitamise tähtaeg üldjuhul 72 tundi alates rikkumisest teada saamisest. Kui isikutele kaasneb suur risk, võib olla vaja teavitada ka mõjutatud isikuid.
Järeldus on lihtne: lunaraha küsimust ei tohi esimest korda esitada kriisiruumis.
ISO 27001:2022 kontrollimeetmed, mis toetavad makseotsuste juhtimist
ISO/IEC 27001:2022 infoturbe juhtimissüsteem ei ole audiitoritele mõeldud kontrollnimekiri. See on juhtimissüsteem riskipõhiste otsuste tegemiseks. Lunaraha maksmise juhtimine kuulub sellesse süsteemi, sest see ühendab riskihindamise, riskikäsitluse, rollid, õiguslikud kohustused, intsidendihalduse, talitluspidevuse, tarnijahaldus ja pideva täiustamise.
Kõige asjakohasemad ISO 27001:2022 lisa A kontrollimeetmed moodustavad omavahel seotud kontrolliahela.
| ISO 27001:2022 kontrollivaldkond | Miks see on lunaraha maksmise otsuste juhtimisel oluline |
|---|---|
| A.5.24 Infoturbeintsidentide halduse planeerimine ja ettevalmistus | Määratleb enne väljapressimise algust intsidendihalduse raamistiku, eskaleerimismudeli, kommunikatsiooni ja valmisoleku. |
| A.5.25 Infoturbesündmuste hindamine ja otsustamine | Kehtestab, kuidas sündmustest saavad intsidendid, kuidas määratakse tõsidus ja millal käivitub eskaleerimine tippjuhtkonnale. |
| A.5.26 Infoturbeintsidentidele reageerimine | Reguleerib ohjeldamist, kõrvaldamist, taaste koordineerimist ja operatiivotsuste elluviimist. |
| A.5.27 Infoturbeintsidentidest õppimine | Tagab, et lunarahaotsuste tulemused, napilt välditud juhtumid, kindlustusandja tagasiside ja regulaatori leiud parandavad tulevasi kontrollimeetmeid. |
| A.5.28 Tõendite kogumine | Säilitab logid, tõmmised, kirjavahetuse, pahavaranäidised ja otsuste kirjed õiguslikult usaldusväärsel viisil. |
| A.5.29 Infoturve häireolukorras | Hoiab turbekontrollid töös, kui organisatsioon tegutseb piiratud töörežiimis. |
| A.5.30 IKT valmisolek talitluspidevuseks | Seob varukoopiad, taasteprioriteedid, ümberlülituse ja talitluspidevuse plaanid intsidendi otsustusprotsessiga. |
| A.5.31 Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded | Hõlmab sanktsioonikontrolli, regulatiivset aruandlust, kliendikohustusi, kindlustusandja nõudeid ja õiguslikku heakskiitu. |
| A.5.34 Privaatsus ja PII kaitse | Suunab väljapressimise ajal GDPR-i rikkumise hindamist ja privaatsusmõju hindamist. |
| A.6.3 Kontakt ametiasutustega | Toetab kavandatud suhtlust regulaatorite, CSIRT-ide, õiguskaitseasutuste ja pädevate asutustega. |
| A.8.13 Teabe varundamine | Määrab, kas makse on operatiivselt asjakohane, tõendades taastevõimalusi. |
| A.8.15 Logimine ja A.8.16 seiretegevused | Annab tõendusbaasi ulatuse, ajajoone, mõju ja ründaja tegevuse kohta. |
Zenith Controls jaotises A.5.24, Infoturbeintsidentide halduse planeerimine ja ettevalmistus, klassifitseeritakse kontrollimeede korrigeerivaks, seotakse see konfidentsiaalsuse, tervikluse ja käideldavusega ning joondatakse reageerimise ja taastamise kontseptsioonidega. Samuti seob see A.5.24 kontrollimeetmetega A.5.25 sündmuste hindamine, A.5.27 intsidentidest õppimine, A.8.15 logimine, A.8.16 seire, A.5.29 infoturve häireolukorras, talitluspidevus ja kontakt ametiasutustega.
See on oluline, sest lunaraha maksmise juhtimine on ahel. Kui sündmust ei saa tuvastada ja klassifitseerida, ei saa otsustada. Kui tõendusmaterjali ei saa säilitada, ei saa otsust kaitsta. Kui õiguslikud kohustused ei ole kaardistatud, võivad läbirääkimised või makse olla õigusvastased. Kui taastevõimalused on testimata, võib tippjuhtkond sattuda otsustama hirmu, mitte faktide põhjal.
Zenith Controls kirjeldab ettevalmistuse ja otsustamise seost otse:
„5.25 on otsustuspunkt, mis määrab, millal sündmus ületab turvaintsidendi künnise ja käivitab punktis 5.26 kirjeldatud tegevused. Õigeaegne ja täpne sündmuse hindamine tagab, et intsidendile reageerimine ei viibi ega liigu vales suunas.“
Sama juhend seob A.5.31, Õiguslikud, seadusest tulenevad, regulatiivsed ja lepingulised nõuded, privaatsuse, kirjete säilitamise, sõltumatu läbivaatuse ja sisepoliitikate järgimisega. Lunavara puhul on A.5.31 koht, kus sanktsioonikontroll, kindlustuskohustused, õiguskaitseasutustega suhtlus, kliendilepingud, andmekaitsekohustused ja valdkondlik regulatiivne aruandlus koondatakse ühte vastavusregistrisse.
Claryseci viie värava mudel lunaraha maksmise otsuste juhtimiseks
Claryseci mudel jagab lunaraha maksmise otsuste juhtimise viieks väravaks. Eesmärk ei ole muuta maksmist lihtsamaks. Eesmärk on muuta iga otsus, sealhulgas maksmisest keeldumine, tõenduspõhiseks, õiguslikult läbivaadatuks, volitatud ja auditikõlblikuks.
| Värav | Põhiküsimus | Nõutav tõendusmaterjal | Tüüpiline omanik |
|---|---|---|---|
| Värav 1: intsidendi väljakuulutamine | Kas lunavara- või väljapressimisintsident on määratletud kriteeriumide alusel välja kuulutatud? | SIEM-i teavitused, lõppseadme telemeetria, lunarahateade, mõjutatud varad, esmane tõsiduse kirje | Intsidendijuht või infoturbejuht |
| Värav 2: õiguslik ja regulatiivne triaaž | Kas intsident hõlmab isikuandmeid, reguleeritud teenuseid, sanktsiooniriski, lepingulist teavitust või valdkondlikku aruandlust? | Õigusregistri vastendus, GDPR-i rikkumise hindamine, NIS2 või DORA klassifitseerimine, õigusnõustaja märkmed | Õigusosakond, vastavus, andmekaitsespetsialist |
| Värav 3: taaste teostatavus | Kas organisatsioon saab lubatud mõjupiiride sees ohutult taastuda ilma makseta? | Varukoopiate tervikluse kontrollid, RTO/RPO staatus, ärimõju analüüs, taastamistestide tulemused | IT, talitluspidevuse ja avariitaaste juht |
| Värav 4: makseriski ülevaatus | Kas läbirääkimine või makse on õiguslikult lubatav, kindlustusandja poolt heaks kiidetud, sanktsioonikontrolli läbinud ja juhatuse poolt volitatud? | Sanktsioonikontrolli kirje, kindlustusandja nõusolek, õiguskaitseasutustega konsulteerimise kirje, finantsheakskiit, riski aktsepteerimine | Tippjuhtkond või juhatus |
| Värav 5: sulgemine ja parendamine | Kas otsused, kommunikatsioon, algpõhjus ja õppetunnid registreeriti? | Intsidendiaruanne, tõendite valduse ahel, kommunikatsioonilogi, kontrollimeetmete parendusplaan | Infoturbejuht, infoturbe juhtimissüsteemi juht, siseaudit |
See mudel kasutab ISO 27001 riskikäsitluse loogikat. Lunaraha maksmine ei ole turbekontroll. See on äärmuslik kriisiolukorra valik, mida kaalutakse riskikäsitluse ja taaste kontekstis. Enne intsidenti peaks organisatsioon olema juba otsustanud, kuidas lunavarariske käsitletakse: maandatakse kontrollimeetmetega, kantakse osa finantsmõjust üle kindlustusele, välditakse lubamatuid pärandsõltuvusi või aktsepteeritakse põhjendatud juhtudel jääkrisk selgesõnaliselt.
Riskijuhtimise etapis, sammus 13, Riski käsitlemise planeerimine ja kohaldatavusdeklaratsioon, juhendab Zenith Blueprint organisatsioone määrama iga riski käsitlusvalikud ja dokumenteerima need riskiregistris. See hoiatab, et riski ülekandmine, näiteks küberkindlustus, ei kõrvalda kontrollimeetmete vajadust, sest ülekandmine käsitleb sageli finantsmõju, mitte tõenäosust. Samuti öeldakse:
„Aktsepteerimine peab olema selgesõnaline ja juhtkonna poolt heaks kiidetud, eriti kõigi keskmise tasemega riskide puhul. Kõrgeid riske aktsepteeritakse harva, välja arvatud juhul, kui need on tõepoolest vältimatud ja kõrgemal tasemel kokku lepitud.“
See lause on lunaraha maksmise otsuste juhtimise seisukohast otseselt asjakohane. Kui juhatusel palutakse aktsepteerida maksmisest keeldumise jääkriski või läbirääkimiste heakskiitmise õiguslikku ja maineriski, peab aktsepteerimine olema selgesõnaline, registreeritud ja õige volitusega heaks kiidetud.
Claryseci Riskijuhtimise poliitika kinnitab sama põhimõtet:
„Riskikäsitluse otsused peavad olema kooskõlas eelnevalt määratletud käsitlusvalikutega.“
Punktist 5.5.
Lunarahaotsus ei ole seega riskijuhtimisest möödahiilimine. Seda tuleb käsitleda formaalse, dokumenteeritud riskikäsitluse otsusena määratletud volituste alusel.
Poliitikast tulenev volitus: kes võib surve all otsustada?
Paljud lunavaraga seotud ebaõnnestumised on tehnilisteks tõrgeteks maskeerunud juhtimisvead. Keegi võtab ründajaga ühendust väljaspool heakskiidetud kanalit. Keegi lubab maksta enne kindlustusandja heakskiitu. Keegi taastab süsteemid ja kirjutab kohtuekspertiisi tõendusmaterjali üle. Keegi teavitab kliente liiga vara, liiga hilja või ebatäpsete faktidega.
Claryseci poliitikad on loodud selle ebaselguse kõrvaldamiseks.
VKE-de jaoks annab Juhtimisrollide ja vastutuste poliitika VKE-dele lihtsa reegli:
„Kõik olulised turbeotsused, erandid ja eskaleerimised peavad olema registreeritud ja jälgitavad.“
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.5.
VKE-de Intsidentidele reageerimise poliitika määrab eskaleerimise volituse:
„Tegevjuht vastutab kõigi intsidendi eskaleerimisotsuste, regulatiivsete teavituste ja väliskommunikatsiooni volitamise eest.“
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.1.1.
See seob ka kliendiandmete intsidendid regulatiivsete kohustustega:
„Kui kaasatud on kliendiandmed, peab tegevjuht hindama õiguslikke teavitamiskohustusi GDPR-i, NIS2 või DORA kohaldatavuse alusel.“
Jaotisest „Riskikäsitlus ja erandid“, poliitika punkt 7.4.1.
Suuremate organisatsioonide jaoks nõuab ettevõtte Juhtimisrollide ja vastutuste poliitika viivitamatut eskaleerimist, kui võib esineda õiguslik kokkupuude või teatamiskohustuslik andmekaitserikkumine:
„Õiguslik/regulatiivne eskaleerimine: potentsiaalset õiguslikku kokkupuudet või teatamiskohustuslikke andmekaitserikkumisi hõlmavad intsidendid tuleb viivitamata eskaleerida õigus- ja vastavusjuhile ning tippjuhtkonnale.“
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.4.3.
Ettevõtte Intsidentidele reageerimise poliitika määratleb tippjuhtkonna volituse rasketes intsidentides. Punkt 4.6.1 ütleb, et tippjuhtkonna roll on:
„Teha suure tõsidusastmega intsidentide ajal strateegilisi otsuseid, sealhulgas kinnitada teavitused ja avalik kommunikatsioon.“
Lunavara kontekstis käsitleb Clarysec makse arutamist, läbirääkimiste volitamist, klientide teavitamist, regulatiivseid avaldusi ja avalikku kommunikatsiooni strateegiliste otsustena, mitte tehniliste tegevustena.
Praktiline juhtimisreegel on järgmine: infoturbejuht võib soovitada, intsidendimeeskond võib hinnata, õigusosakond võib nõustada, finantsjuht võib valideerida maksemehhanika, kindlustusandja võib nõustuda või katmisest keelduda, kuid otsuse omanik peab olema tippjuhtkond või juhatus eelnevalt määratud volituste alusel.
Sanktsioonide seisukohast ohutu eskaleerimine enne mis tahes läbirääkimisi
Sanktsiooniriske vältiv lunavaraprotsess algab keelust: ükski töötaja, töövõtja, tarnija, vahendaja, läbirääkija ega intsidendile reageerija ei tohi ohutegijaga läbi rääkida, makset lubada, seda hõlbustada ega väärtust üle kanda ilma heakskiidetud õigusliku ülevaatuseta.
Õiguslik kontrollpunkt peab toimuma enne mis tahes aktiivset suhtlust ründajaga, mitte pärast rahakotiaadressi ilmumist. Protsess peab hõlmama järgmist:
- Õigusnõustaja kaasatakse enne mis tahes suhtlust, mis ületab passiivse tõendusmaterjali kogumise.
- Ohutegija tuvastamine toimub kohtuekspertiisi, ohuteabe ja võimaluse korral õiguskaitseasutuste sisendi alusel.
- Sanktsioonide ja piiratud osapoolte kontroll tehakse rühmanimede, aliase, rahakotiaadresside, taristu, vahendajate ja maksekanalite suhtes.
- Õiguskaitseasutustega konsulteerimist kaalutakse ja see registreeritakse.
- Küberkindlustusandjat teavitatakse poliisitingimuste järgi enne tarnijate määramist või läbirääkimiste alustamist.
- Andmekaitsespetsialist või andmekaitsejuht kaasatakse, kui isikuandmed võivad olla seotud.
- Finantsjuht kinnitab maksekontrollid, ülesannete lahususe, pettusevastased kontrollid ja juhatuse heakskiidu nõuded.
- Tippjuhtkonna otsus registreeritakse koos kaalutud alternatiividega, sealhulgas taastamine, ohjeldamine, teenuse peatamine, kliendikommunikatsioon ja maksmisest keeldumine.
- Säilitatakse tõendusmaterjal ründajaga peetud suhtluse, indikaatorite, rahakotiandmete, otsustuskoosolekute, heakskiitude ja välisnõu kohta.
Lunavara puhul peab õigusregister hõlmama vähemalt järgmisi kohustuste allikaid.
| Kohustuse allikas | Mõju makseotsuste juhtimisele |
|---|---|
| Sanktsioonid ja finantskuritegevuse nõuded | Läbirääkimisi ega makset ei toimu ilma õigusliku kontrolli ja dokumenteeritud heakskiiduta. |
| Küberkindlustusleping | Kindlustusandja teavitus, heakskiidetud tarnijad, eelnev nõusolek, tõendusmaterjali nõuded ja katte tingimused. |
| GDPR | Isikuandmetega seotud rikkumise hindamine, järelevalveasutuse teavitamine, andmesubjekti teavitamine ja vastutuse tõendamise kirjed. |
| NIS2 | Olulise intsidendi klassifitseerimine, 24-tunnine varajane hoiatus, 72-tunnine teavitus ja vajaduse korral ühe kuu lõpparuanne. |
| DORA | Olulise IKT-ga seotud intsidendi klassifitseerimine, pädevale asutusele aruandlus, kliendikommunikatsioon ja intsidendijärgne algpõhjuse analüüs. |
| Kliendilepingud | Turbeintsidendi teavitus, teenustaseme kohustused, auditeerimisõigused ja kliendikommunikatsiooni kohustused. |
| Õiguskaitseasutuste ootused | Tõendusmaterjali säilitamine, ründajaga suhtlemise käsitlemine ja koordineerimise kirjed. |
Organisatsioonid peavad määratlema ka selle, kes võib makseotsuse peatada. Õigusosakonnal, vastavuse tagamise funktsioonil, andmekaitsespetsialistil, sanktsiooninõustajal või juhatusel peab olema selgesõnaline volitus peatada läbirääkimised või makse, kui kontroll on puudulik, tõendusmaterjal ebausaldusväärne, kindlustusandja tingimused täitmata või tegevus võib rikkuda seadust või lepingut.
Tõendusmaterjali säilitamine: ära hävita tõendeid teenuse taastamise ajal
Lunavarameeskonnad kiirustavad loomulikult toiminguid taastama. Kuid kui taastamine hävitab logid, tõmmised, lunarahateated, pahavaranäidised, mälukujutised või ründaja sõnumid, võib organisatsioon kaotada võime tõendada, mis juhtus.
„Kontrollimeetmed praktikas“ etapis, sammus 23, Organisatsioonilised kontrollimeetmed, juhendab Zenith Blueprint organisatsioone valideerima ja testima intsidendihalduse võimekust, määratledes teatamiskohustuslikud turbesündmused, dokumenteerides otsustamise ja säilitades kohtuekspertiisi tõendusmaterjali. See juhendab meeskondi:
„Jäädvustage ja logige kõik otsused, rollid ja kommunikatsioon (5.26) ning ajakohastage plaani õppetundide põhjal (5.27). Veenduge, et olemas on protseduurid kohtuekspertiisi tõendusmaterjali säilitamiseks (5.28), sealhulgas logitõmmised, varukoopiad ja mõjutatud süsteemide turvaline isoleerimine.“
Sama samm selgitab A.5.28 tähendust sõnastuses, mida iga juhatus mõistab:
„see, mida suudate tõendada, on sama oluline kui see, mis tegelikult juhtus“
Claryseci ettevõtte Tõendite kogumise ja kohtuekspertiisi poliitika kinnitab, et tõendusmaterjal peab jääma jälgitavaks:
„Kõiki füüsilisi või digitaalseid tõendeid peab alates kogumisest kuni arhiveerimise või üleandmiseni saatma tõendite valduse ahela logi ning see peab dokumenteerima:“
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.6.
VKE-de jaoks on Tõendite kogumise ja kohtuekspertiisi poliitika VKE-dele sihilikult praktiline:
„Alati tuleb luua kohtuekspertiisiline koopia või eksport; algset tõendusmaterjali ei tohi kunagi otse muuta.“
Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.1.1.
See nõuab ka õigusnõu, kui esineb personali-, õiguslik või kliendimõju:
„Kui intsident hõlmab võimalikku personali-, õiguslikku või kliendimõju, peab tegevjuht enne täitmisele pööramise või eskaleerimisega jätkamist konsulteerima õigusnõustajaga.“
Jaotisest „Juhtimisnõuded“, poliitika punkt 5.4.2.
Praktiline tõendusmaterjali pakett tuleb avada väravas 2. Loo piiratud juurdepääsuga intsidendi tõendusmaterjali kaust. Ekspordi SIEM-i ajajooned, EDR-i tuvastused, pilve auditilogid, identiteedipakkuja sisselogimislogid, varundustööde seis, lunarahateated, ekraanitõmmised, ründaja sõnumid, rahakotiaadressid, failinäidised, õigusnõu viited, kindlustusandja kirjavahetus ja koosolekuotsused. Määra vastutav haldur. Vajaduse korral registreeri räsiväärtused. Ära luba administraatoritel mõjutatud süsteeme puhastada enne kohtuekspertiisilise materjali kogumist, välja arvatud juhul, kui seda nõuab eluohutus, kriitilise teenuse kaitse või tippjuhtkonna heakskiidetud ohjeldamine.
Üks klassifitseerimise tööleht NIS2, DORA ja GDPR-i jaoks
Lunavaraintsident võib käivitada mitu tähtaega. Väljakutse ei ole üksnes tähtaegade teadmine. Vaja on teada, millal organisatsioon sai intsidendist teadlikuks, mida ta sel ajal teadis ja kuidas klassifitseerimisotsused tehti.
NIS2 Article 23 nõuab, et olulised ja tähtsad üksused teavitaksid olulistest intsidentidest CSIRT-i või pädevat asutust põhjendamatu viivituseta. Olulisus on seotud raske tegevushäire, finantskahju või teistele põhjustatud märkimisväärse materiaalse või mittemateriaalse kahjuga. Etapiviisiline mudel hõlmab varajast hoiatust 24 tunni jooksul, teavitust 72 tunni jooksul, nõudmisel vahepealseid uuendusi ja vajaduse korral lõpparuannet ühe kuu jooksul pärast intsidenditeavitust.
DORA nõuab finantsüksustelt IKT-ga seotud intsidendihalduse määratlemist ja rakendamist, intsidentide ja oluliste küberohtude registreerimist, intsidentide klassifitseerimist kriteeriumide alusel, nagu mõjutatud kliendid, kestus, geograafiline ulatus, andmekadu, kriitilisus ja majanduslik mõju, ning olulistest IKT-ga seotud intsidentidest pädevatele asutustele aruandmist esialgsete, vahe- ja lõpparuannete kaudu.
GDPR küsib teistsuguse, kuid kattuva küsimuse: kas intsident põhjustas isikuandmetega seotud rikkumise? Kui jah, siis kas see põhjustab tõenäoliselt isikutele riski? Kui teavitamislävend on täidetud, tuleb järelevalveasutuse teavitamist hinnata 72-tunnise tähtaja suhtes. Kui esineb suur risk, võib olla vaja teavitada ka üksikisikuid.
Clarysec soovitab kasutada ühte lunavara klassifitseerimise töölehte, millel on iga regulatsiooni jaoks eraldi jaotised.
| Klassifitseerimisala | Lunavara näidisküsimus | Väljund |
|---|---|---|
| Operatiivne mõju | Kas kriitilised teenused on häiritud või tõenäoliselt häiruvad? | Sisend NIS2 olulisuse ja DORA kriitilisuse hindamiseks |
| Finantsmõju | Kas intsident on põhjustanud või võib põhjustada olulist finantskahju? | Sisend NIS2 ja DORA tõsiduse hindamiseks |
| Kliendimõju | Kas mõjutatud on teenuse saajad, kliendid, vastaspooled või tehingud? | Sisend NIS2, DORA ja lepingulise teavituse jaoks |
| Isikuandmed | Kas isikuandmetele pääseti juurde, need viidi välja, muudeti, hävitati või muudeti kättesaamatuks? | Sisend GDPR-i rikkumise hindamiseks |
| Andmete tundlikkus | Kas mõjutatud andmed sisaldavad eriliiki andmeid, autentimisandmeid, finantsandmeid, isikut tõendavaid dokumente või laste andmeid? | Sisend GDPR-i riski ja kommunikatsiooni hindamiseks |
| Piiriülene mõju | Kas mõjutatud on mitu liikmesriiki, jurisdiktsiooni, klienti või teenuse asukohta? | Sisend NIS2 ja DORA aruandluse jaoks |
| Tõendusmaterjali kindlus | Millised faktid on kinnitatud, kahtlustatavad või teadmata? | Alus etapiviisiliseks aruandluseks ja uuendusteks |
See lähenemine sobib ISO 27001 punktidega riskihindamise, riskikäsitluse ja dokumenteeritud teabe kohta. See on kooskõlas ka NIST CSF 2.0-ga. NIST CSF 2.0 GOVERN funktsioon eeldab, et organisatsioonid mõistavad sidusrühmi, õiguslikke ja regulatiivseid kohustusi, riskivalmidust, rolle, poliitikat, järelevalvet ja kolmanda osapoole riski. Selle tuvastamise, reageerimise ja taastamise tulemused toetavad intsidendi väljakuulutamist, analüüsi, reageerimise koordineerimist, sidusrühmade teavitamist, taaste elluviimist ja taastamise valideerimist.
Finantsüksuste jaoks võib DORA toimida NIS2 kattuvate kohustuste puhul valdkonnapõhise küberturbe režiimina, kuid see ei kõrvalda vajadust mõista NIS2 kohaldatavust kontserniüksuste, IKT-teenusepakkujate, hallatud teenuste või pilvesõltuvuste suhtes. Praktiline vastus ei ole eraldi tööjuhiste hoidmine. Praktiline vastus on kasutada ühte infoturbe juhtimissüsteemi tõendusmudelit, mis on vastendatud kõigile asjakohastele kohustustele.
Küberkindlustus ja tarnijate koordineerimine on juhtimise kontrollimeetmed
Küberkindlustus võib olla väärtuslik, kuid see ei ole lunavarastrateegia. See on tingimustega riski ülekandmise mehhanism. Lunavaraintsidendi ajal võib kindlustusandja nõuda viivitamatut teavitamist, paneelifirmade kasutamist, eelnevat heakskiitu läbirääkimisteks, tõendusmaterjali säilitamist, tõendit varukoopiate tõrke kohta, mõistlike kontrollimeetmete tõendamist ja õiguslikku ülevaatust enne mis tahes makse kaalumist.
DORA muudab IKT kolmandate osapoolte riski esmatähtsaks vastavusvaldkonnaks. NIS2 Article 21 nõuab samuti tarneahela turvet ning tarnijate turvanõrkuste ja küberturbepraktikate arvestamist. ISO 27001 toetab sama loogikat tarnija- ja pilvekontrollide kaudu, nagu A.5.19 kuni A.5.23, lisaks intsidendi-, talitluspidevuse ja õiguslikele kontrollimeetmetele.
Zenith Controls seob intsidendiks valmistumise väliste partneritega, sealhulgas kohtuekspertiisifirmade, õigusnõustajate, PR-i ja kontaktidega ametiasutustes. Auditi vaates võib eelnevalt määratud välispartnerite puudumist pidada valmisolekulüngaks, sest see võib päris intsidendi ajal reageerimist viivitada.
Lunaraha maksmise otsuste juhtimiseks soovitab Clarysec eelnevalt kokku leppida:
- Kohtuekspertiisi teenuse valmisolekuleping või kiirreageerimise tingimused.
- Välise õigusnõustaja kättesaadavus rikkumise, sanktsioonide ja konfidentsiaalsusstrateegia jaoks.
- Küberkindlustusandja teavituskanal ja heakskiidetud tarnijate loend.
- Pilveteenuse pakkuja eskaleerimistee tõmmiste, logide, isoleerimise ja taastamise jaoks.
- MSSP või MDR intsidendikoostöö protseduurid.
- PR-i ja kriisikommunikatsiooni läbivaatamise protsess.
- Panga- või finantsheakskiidu kontrollid mis tahes erakorralise makse jaoks.
- Õiguskaitseasutustega kontakteerumise protokoll.
See sobitub hästi NIST CSF 2.0 tarneahela tulemustega, sealhulgas tarnija rollide ja vastutuste, taustakontrolli, lepinguliste küberturbenõuete, tarnija intsidendikoordineerimise ja suhte lõpetamise järgsete tegevustega.
Praktiline lunaraha maksmise eskaleerimise tööjuhis
Viis väravat saab tõlkida operatiivseks tööjuhiseks. Iga samm peab olema dokumenteeritud, vastutajaga kaetud ja läbi harjutatud.
| Etapp | Põhitegevus | Vastutav roll | Põhilised ISO 27001:2022 kontrollimeetmed | Tõendusmaterjal või väljund |
|---|---|---|---|---|
| 1. Triaaž ja väljakuulutamine | Hinda sündmust kriteeriumide alusel, kuuluta välja oluline või suur intsident, aktiveeri reageerimismeeskond | SOC-i juht, intsidendijuht | A.5.24, A.5.25 | Intsidendipilet, väljakuulutamise logi, esmane olukorraraport |
| 2. Ärimõju hindamine | Kvantifitseeri operatiivne mõju, hinda RTO/RPO seisu, määra andmete ja teenuse kriitilisus | Äriprotsesside omanikud, infoturbejuht, talitluspidevuse ja avariitaaste juht | A.5.29, A.5.30, A.8.13 | Ärimõju analüüs, varukoopiate tervikluse leiud |
| 3. Tõendusmaterjali säilitamine | Ekspordi logid, säilita süsteemid, kaitse tõendusmaterjal ja hoia tõendite valduse ahelat | Kohtuekspertiisi juht, intsidendile reageerimise meeskond | A.5.28, A.8.15, A.8.16 | Kohtuekspertiisilised tõmmised, logiekspordid, tõendite valduse ahela kirje |
| 4. Õiguslik ja sanktsioonikontroll | Kaasa õigusnõustaja, tuvasta ohutegija, tee sanktsioonikontroll, hinda aruandluskohustusi | Õigusjuht, andmekaitsespetsialist, vastavus, väline õigusnõustaja | A.5.31, A.5.34, A.6.3 | Õiguslik seisukoht, sanktsioonikontrolli kirje, aruandluse tööleht |
| 5. Kindlustuse ja tarnijate koordineerimine | Teavita kindlustusandjat, kinnita heakskiidetud tarnijad, koordineeri pilve, MSSP ja kohtuekspertiisi tuge | Infoturbejuht, õigusosakond, tarnijahaldur | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Kindlustusandja nõusolek, tarnijapiletid, tarnija tegevuslogi |
| 6. Tippjuhtkonna otsuse ülevaatus | Esita valikud, riskid, õiguslik vaade, taaste teostatavus, kommunikatsiooni mõju ja kindlustusandja seisukoht | Intsidendijuht, infoturbejuht, õigusosakond, finantsjuht | A.5.1, A.5.2, A.5.26, A.5.31 | Lunarahaotsuse briifingudokument |
| 7. Volitamine ja dokumenteerimine | Otsustusvolitusega juhtkond otsustab, kas läbi rääkida, keelduda, maksta või rakendada alternatiivseid tegevusi | Tegevjuht, tippjuhtkond, juhatus | A.5.2, A.5.3, A.5.26, A.5.31 | Allkirjastatud otsuse kirje, riski aktsepteerimine, tegevuslogi |
| 8. Sulgemine ja parendamine | Tee algpõhjuse analüüs, koonda õppetunnid ja uuenda kontrollimeetmeid | Infoturbe juhtimissüsteemi juht, infoturbejuht, siseaudit | A.5.27, ISO 27001 punkt 10.2 | Õppetundide aruanne, parandusmeetmete plaan, ajakohastatud infoturbe juhtimissüsteemi kirjed |
Eesmärk ei ole tagada mugavat otsust. Mugavat otsust ei pruugi olla. Eesmärk on tagada, et otsus oleks volitatud, tõenduspõhine, õiguslikult informeeritud ja kaitstav.
90-minutiline lauaõppus, mis tõendab valmisolekut
Lihtsaim viis lunaraha maksmise otsuste juhtimist testida ei ole tehniline red team. See on otsustamise lauaõppus.
Kasuta Zenith Blueprint „Kontrollimeetmed praktikas“ etapi sammu 23, et valideerida intsidendihalduse võimekust. Vali lunavarastsenaarium ja vii läbi ajaliselt piiratud õppus. Eesmärk ei ole ette otsustada, kas organisatsioon maksaks või ei maksaks kunagi. Eesmärk on tõendada, et organisatsioon suudab jõuda juhitud otsuseni.
Stsenaarium: pilvekeskkonnas majutatud kliendiandmebaas on krüpteeritud, ründaja väidab andmete väljaviimist, varukoopiad on olemas, kuid nende terviklust ei ole veel testitud, kindlustusandjat ei ole teavitatud ning ründaja annab rahakotiaadressi 48-tunnise tähtajaga.
Õppuse kontrollnimekiri:
- Kuuluta intsident välja ja määra intsidendijuht.
- Ava lunarahaotsuse logi.
- Klassifitseeri sündmus A.5.25 kriteeriumide alusel.
- Tuvasta mõjutatud varad ja äriteenused.
- Määra, kas seotud on isikuandmed.
- Käivita GDPR-i, NIS2, DORA ja lepingulise hindamise töövood.
- Teavita õigusosakonda, andmekaitsespetsialisti, tippjuhtkonda, kindlustusandjat ja kohtuekspertiisi teenuseosutajat.
- Säilita tõendusmaterjal enne hävitava mõjuga taastetegevusi.
- Kontrolli varukoopiate terviklust ja taastamisvõimalusi.
- Tee sanktsioonikontroll enne mis tahes läbirääkimisi.
- Registreeri, kas õiguskaitseasutustega konsulteerimine on nõutav.
- Koosta klientidele ja regulaatoritele esmased avaldused.
- Esita otsuse valikud otsustusvolitusega juhtkonnale.
- Registreeri otsus, põhjendus, eriarvamused, heakskiidud ja järgmised tegevused.
- Planeeri intsidendijärgne ülevaatus ja kontrollimeetmete parendustegevused.
Väljund peab olema terviklik tõendusmaterjali pakett: osalejate loend, ajajoon, klassifitseerimise tööleht, otsuselogi, kommunikatsioonikavandid, õiguslikud tegevuspunktid, kindlustusandja tegevuspunktid, varukoopiate leiud ja õppetunnid. See pakett on auditi seisukohast väärtuslik, sest näitab juhtimise toimimist enne päris kriisi.
Kuidas audiitorid ja regulaatorid protsessi testivad
Eri taustaga audiitorid vaatavad sama lunavaraprotsessi eri vaatenurkadest.
| Audiitori vaade | Mida nad küsivad | Milline näeb välja hea tõendusmaterjal |
|---|---|---|
| ISO 27001:2022 audiitor | Kas intsidendi planeerimine, sündmuse hindamine, reageerimine, tõendusmaterjal, õiguslikud nõuded ja õppetunnid on kontrolli all? | Intsidentidele reageerimise plaan, kohaldatavusdeklaratsiooni vastendus, riskiregister, lauaõppuse kirjed, tõendusmaterjali protseduur, otsuselogid, juhtkonna läbivaatuse väljundid |
| ISO/IEC 27007 stiilis infoturbe juhtimissüsteemi audiitor | Kas inimesed mõistavad oma rolle ja kas kirjed tõendavad toimimist? | Intervjuud infoturbejuhi, õigusosakonna, andmekaitsespetsialisti, SOC-i ja juhtidega ning valim intsidendipileteid ja eskaleerimiskirjeid |
| NIST-iga joondatud hindaja | Kas juhtimine, tuvastamine, reageerimine, kommunikatsioon ja taaste tulemused on integreeritud? | CSF-profiil, riskiregister, seirereeglid, intsidendi väljakuulutamise kriteeriumid, sidusrühmade kommunikatsioon, taastamise valideerimine |
| COBIT 2019 või ISACA audiitor | Kas olemas on juhtkonna vastutus, protsessikontroll, tõendusmaterjali piisavus ja pidev täiustamine? | RACI, protsessimõõdikud, vastavuse aruandlus, intsidendijärgne ülevaatus, parandusmeetmete jälgimine |
| DORA-le keskenduv audiitor | Kas IKT-intsidendid klassifitseeritakse, eskaleeritakse, raporteeritakse, taastatakse ja parandatakse IKT-riski raamistikus? | Intsidendi klassifitseerimise kriteeriumid, juhtorganile aruandlus, kliendikommunikatsiooni tõendusmaterjal, algpõhjuse analüüs, toimepidevuse testimine |
| GDPR-i/andmekaitse audiitor | Kas isikuandmetega seotud rikkumise hindamine oli õigeaegne, riskipõhine ja dokumenteeritud? | Rikkumise hindamise vorm, andmekaitsespetsialisti kaasamine, järelevalveasutuse otsus, andmesubjekti teavitamise põhjendus, töötlemise konteksti kirjed |
Zenith Controls annab A.5.24, A.5.25 ja A.5.31 kohta üksikasjaliku auditi metoodika. A.5.24 puhul uurivad audiitorid intsidendile reageerimise plaani, tõsiduse klassifikatsioone, rolle, kontaktiloendeid, regulatiivse aruandluse juhiseid, õppusi ja välispartnerite kokkuleppeid. A.5.25 puhul vaadatakse, kas sündmuste klassifitseerimise kriteeriumid on olemas, kas teavituste käsitlemise kirjed näitavad uurimist ja eskaleerimisotsuseid, kas kasutatakse SIEM-i ja ohuteavet ning kas andmekaitsespetsialist või õigusmeeskonnad kaasatakse, kui isikuandmed võivad olla mõjutatud. A.5.31 puhul otsivad audiitorid õigusregistreid, vastavuse vastendust, läbivaatuse tõendusmaterjali, siseauditi katvust ja aruandlust kõrgemale juhtkonnale.
Auditi risk ei seisne ainult selles, kas organisatsioon maksis või keeldus maksmast. Auditi risk seisneb selles, et keegi ei suuda tõendada, kuidas otsus tehti.
Väljapressimisest kontrollimeetmete parendamiseni
Lunavarajuhtimine ei lõpe süsteemide taastamisega. ISO 27001 eeldab pidevat täiustamist. A.5.27 infoturbeintsidentidest õppimine on selle ootuse keskne osa. DORA nõuab algpõhjuse analüüsi ja täiendavaid kontrollimeetmeid. NIS2 lõpparuandlus eeldab vajaduse korral maandamismeetmeid ja tõenäolist algpõhjust. GDPR-i vastutuse põhimõte eeldab otsuste ja kaitsemeetmete dokumenteerimist.
Iga lunavara intsidendijärgne ülevaatus peab vastama järgmistele küsimustele:
- Kas aruandlustähtajad tuvastati õigesti?
- Kas otsustusvolitus toimis kavandatud viisil?
- Kas õiguslik ja sanktsioonide ülevaatus toimus piisavalt vara?
- Kas kindlustusandjaga koordineerimine aitas või viivitas reageerimist?
- Kas varukoopiad olid täielikud, eraldatud, taastatavad ja testitud?
- Kas logid olid piisavad juurdepääsu ja andmete väljaviimise hindamiseks?
- Kas tarnijad reageerisid lepingu alusel piisavalt?
- Kas kliendikommunikatsioon oli täpne ja õigeaegne?
- Kas tippjuhtkond sai õige info õigel ajal?
- Milliseid kontrollimeetmeid, poliitikaid, lepinguid või koolitusi tuleb muuta?
Need vastused peavad ajakohastama riskiregistrit, kohaldatavusdeklaratsiooni, intsidendile reageerimise plaani, varundusstrateegiat, tarnijalepinguid, kommunikatsiooniplaani ja koolitusprogrammi.
Infoturbe juhtimissüsteemi aluste ja juhtimise etapis, sammus 5, rõhutab Zenith Blueprint väliskommunikatsiooni planeerimist, sealhulgas klientide, regulaatorite, partnerite ja avalikkuse tuvastamist, selle määramist, mida ja millal kommunikeerida, ning selle määratlemist, kes suhtleb. Lunavara puhul saab sellest sammust sild tehnilise reageerimise ja usalduse säilitamise vahel.
Loo otsuse kirje enne lunarahateadet
Parim aeg lunarahaotsuse juhtimiseks on enne seda, kui ründaja tähtaja seab.
Kui sinu lunavara tööjuhis ei määratle otsustusvolitust, õiguslikku ülevaatust, sanktsioonikontrolli, kindlustusandja heakskiitu, tõendusmaterjali säilitamist, NIS2 ja DORA klassifitseerimist, GDPR-i rikkumise hindamist ning juhatuse tasandi dokumentatsiooni, on organisatsioonil juhtimislünk, mis ootab kriisi.
Clarysec aitab organisatsioonidel selle võimekuse infoturbe juhtimissüsteemi sisse ehitada, kasutades:
- Zenith Blueprint: audiitori 30-sammuline teekaart ISO 27001 etapiviisiliseks rakendamiseks, riskikäsitluseks, kommunikatsiooni planeerimiseks ja intsidendivõimekuse valideerimiseks.
- Zenith Controls: ristvastavuse juhend ISO 27001 kontrollimeetmete vastendamiseks NIS2, DORA, GDPR-i, NIST CSF-i, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 ja audititõendusmaterjaliga.
- Claryseci ettevõtte ja VKE poliitikad, sealhulgas Intsidentidele reageerimise poliitika, Intsidentidele reageerimise poliitika VKE-dele, Tõendite kogumise ja kohtuekspertiisi poliitika, Tõendite kogumise ja kohtuekspertiisi poliitika VKE-dele, Juhtimisrollide ja vastutuste poliitika, Juhtimisrollide ja vastutuste poliitika VKE-dele ja Riskijuhtimise poliitika.
- Praktilised lunavara lauaõppuse mallid, otsuselogid, õigusliku eskaleerimise maatriksid, tõendusmaterjali paketid ja ristvastavuse aruandluse töölehed.
Ära oota kella 3 kõnet, et avastada, kes võib otsustada. Vaata oma intsidendile reageerimise plaan üle Claryseci viie värava järgi, vii läbi 90-minutiline lunaraha maksmise lauaõppus ning loo sanktsiooniriske vältiv ja auditiks valmis otsuse kirje, mis peab vastu regulaatorite, kindlustusandjate ja sinu enda juhatuse kontrollile.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council