Vodič za CISO-e za forenzičku spremnost spremnu za reviziju: objedinjavanje NIS2, DORA, ISO 27001 i GDPR

Maria, CISO u fintech društvu srednje veličine, osjetila je poznato stezanje u želucu. Izvješće vanjske revizije za njihovu certifikaciju prema ISO/IEC 27001:2022 stajalo je na njezinu stolu, s neumoljivim zaključkom koji joj je bio pred očima: velika nesukladnost.

Prije tri tjedna mlađi razvojni inženjer slučajno je izložio neprodukcijsko spremište podataka javnom internetu na 72 minute. Operativno gledano, odgovor na incident bio je uspješan. Tim je brzo reagirao, zaključao sustav i potvrdio da nisu bili uključeni osjetljivi podaci klijenata.

Iz perspektive usklađenosti, bio je to promašaj.

Kada je revizor zatražio dokaze kojima bi se pokazalo točno što se dogodilo tijekom tih 72 minute, tim ih nije mogao dostaviti u dovoljnoj mjeri. Dnevnički zapisi pružatelja usluga u oblaku bili su generički i prebrisani nakon 24 sata. Dnevnički zapisi vatrozida prikazivali su veze, ali nisu sadržavali detalje na razini paketa. Interni dnevnički zapisi aplikacije nisu bili konfigurirani za bilježenje konkretnih API poziva. Nisu mogli nedvojbeno dokazati da nijedna neovlaštena strana nije pokušala eskalirati privilegije ili se lateralno kretati prema drugim sustavima.

Nalaz revizora bio je izravan: “Organizacija ne može dostaviti dostatne i pouzdane dokaze za rekonstrukciju vremenskog slijeda sigurnosnog događaja, što upućuje na nedostatak forenzičke spremnosti. To otvara značajna pitanja u pogledu usklađenosti sa zahtjevima upravljanja incidentima prema NIS2, obvezom DORA za detaljno praćenje incidenata i načelom odgovornosti prema GDPR.”

Marijin problem nije bio neuspjeh odgovora na incident, nego neuspjeh predviđanja. Njezin tim izvrsno je gasio požare, ali nije izgradio sposobnost istrage podmetača. Upravo se u toj kritičnoj praznini nalazi forenzička spremnost, sposobnost koja više nije luksuz, nego nužan zahtjev suvremene regulative.

Od reaktivnog zapisivanja događaja do proaktivne forenzičke spremnosti

Mnoge organizacije, poput Marijine, pogrešno smatraju da je “imati dnevničke zapise” isto što i biti pripremljen za istragu. Nije. Forenzička spremnost strateška je sposobnost, a ne slučajni nusproizvod IT operacija. Kako to postavlja međunarodni standard ISO/IEC 27043, organizacije moraju uspostaviti procese kojima se osigurava da su digitalni dokazi pripremljeni, dostupni i troškovno učinkoviti prije mogućih sigurnosnih incidenata.

U kontekstu NIS2, DORA, ISO 27001:2022 i GDPR to znači da možete:

• Otkrivati relevantne događaje dovoljno brzo za ispunjavanje kratkih rokova izvješćivanja.
• Rekonstruirati pouzdan slijed događaja iz dnevničkih zapisa otpornih na neovlaštene izmjene.
• Dokazati revizorima i regulatorima da su vaše kontrole zapisivanja događaja i praćenja temeljene na riziku, usklađene sa zaštitom privatnosti i djelotvorne.

Clarysecove smjernice za implementaciju u Clarysec’s Zenith Controls: The Cross-Compliance Guide Zenith Controls to sažimaju ovako:

Djelotvorna forenzička spremnost u kontekstu usklađenosti zahtijeva svođenje prikupljanja podataka iz dnevničkih zapisa na ono što je strogo nužno, izbjegavanje pohrane prekomjernih osobnih ili osjetljivih podataka te, gdje je izvedivo, anonimizaciju ili pseudonimizaciju podataka. Dodatne najbolje prakse uključuju primjenu robusnih sigurnosnih mjera kao što su kontrola pristupa, šifriranje, česte revizije i kontinuirano praćenje, zajedno s provedbom politika zadržavanja podataka usklađenih s GDPR i redovitim čišćenjem nepotrebnih informacija.

To je temeljna promjena načina razmišljanja:

• Od gomilanja podataka do svrhovitog prikupljanja: Umjesto prikupljanja svega, definirate dokaze potrebne za odgovor na ključna pitanja: Tko je što učinio? Kada i gdje se dogodilo? Kakav je bio učinak?
• Od izoliranih dnevničkih zapisa do koreliranih vremenskih slijedova: Dnevnički zapisi vatrozida, aplikacija i oblaka pojedinačni su dijelovi slagalice. Forenzička spremnost sposobnost je njihova sastavljanja u koherentnu cjelinu.
• Od operativnog alata do dokazne imovine: Dnevnički zapisi nisu samo za otklanjanje pogrešaka. Oni su pravni i regulatorni dokazi koje treba zaštititi, očuvati i obrađivati uz jasan lanac nadzora.

Nemogućnost dokazivanja što se dogodilo tijekom povrede danas se smatra neuspjehom kontrole samim po sebi, neovisno o početnom učinku incidenta.

Temelj: gdje se upravljanje i politike susreću s praksom

Prije konfiguriranja ijednog dnevničkog zapisa, program forenzičke spremnosti započinje jasnim upravljanjem. Prvo pitanje revizora neće biti “Pokažite mi svoj SIEM”, nego “Pokažite mi svoju politiku”. Tu strukturirani pristup odmah donosi dokazivu vrijednost.

U The Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, korak 14 faze “Rizik i implementacija” posvećen je upravo tom temeljnom radu. Cilj je izričit:

“Izradite ili doradite posebne politike i postupke prema zahtjevima odabranih obrada rizika (i kontrola iz Priloga A) te osigurajte usklađenost s propisima kao što su GDPR, NIS2 i DORA.”

Ovaj korak obvezuje organizacije da odluke o riziku prevedu u dokumentirana, provediva pravila. Za CISO-a poput Marije to znači izradu skupa međusobno povezanih politika koje definiraju forenzičku sposobnost organizacije. Clarysecovi predlošci politika pružaju arhitekturne nacrte za tu strukturu. Ključno je uspostaviti izričite veze između politika radi stvaranja koherentnog okvira upravljanja.

Uspostavom ovog okvira politika najprije stvarate dokazivu poziciju. Primjerice, naša Politika prikupljanja dokaza i forenzike navodi oslanjanje na P22 – Politiku zapisivanja događaja i praćenja radi osiguranja “dostupnosti dnevničkih zapisa događaja i telemetrije za prikupljanje dokaza i forenzičku korelaciju.” Ta jedna rečenica stvara snažan mandat: svrha zapisivanja događaja nije samo operativna, nego mora služiti forenzičkoj analizi.

Za manje organizacije načela su ista. Naša Politika prikupljanja dokaza i forenzike za SME upućuje na vlastitu temeljnu politiku zapisivanja događaja: “P22S – Politika zapisivanja događaja i praćenja: Pruža sirove podatke koji se upotrebljavaju kao forenzički dokazi te uspostavlja zahtjeve zadržavanja, kontrole pristupa i zapisivanja događaja.”

Ova dokumentirana strategija pokazuje revizorima, regulatorima i internim timovima da imate definiran i namjeran pristup upravljanju dokazima.

Tehnički pogon: izgradnja spremnosti strateškim praćenjem

Uz čvrst temelj politika, sljedeći je korak izgradnja tehničkog pogona. U središtu su dvije ključne kontrole iz ISO/IEC 27001:2022: 8.15 Zapisivanje događaja i 8.16 Aktivnosti praćenja. Iako se često razmatraju zajedno, imaju različite svrhe. Kontrola 8.15 odnosi se na bilježenje događaja. Kontrola 8.16 odnosi se na njihovu aktivnu analizu radi otkrivanja anomalija i sigurnosnih događaja. To je srž forenzičke spremnosti.

Vodič Zenith Controls, naše intelektualno vlasništvo koje mapira ISO kontrole na globalne standarde i revizijske prakse, detaljno prikazuje kako je 8.16 Aktivnosti praćenja središnja poveznica koja sirove podatke pretvara u obavještajne podatke primjenjive u praksi. Ona ne postoji u vakuumu; dio je duboko povezanog sigurnosnog ekosustava:

• Povezano s 8.15 Zapisivanje događaja: Djelotvorno praćenje nije moguće bez robusnog zapisivanja događaja. Kontrola 8.15 osigurava postojanje sirovih podataka. Kontrola 8.16 osigurava analitički mehanizam za njihovo razumijevanje. Bez praćenja, dnevnički zapisi samo su tiha, neanalizirana arhiva.
• Ulaz u 5.25 Procjena i odluka o događajima informacijske sigurnosti: Upozorenja i anomalije označeni praćenjem (8.16) primarni su ulazi u proces procjene događaja (5.25). Kako navodi vodič Zenith Controls, tako razlikujete manji poremećaj od stvarnog incidenta koji zahtijeva eskalaciju.
• Informirano kroz 5.7 Obavještajni podaci o prijetnjama: Vaše praćenje ne smije biti statično. Obavještajni podaci o prijetnjama (5.7) pružaju nove pokazatelje kompromitacije i obrasce napada koje treba upotrebljavati za ažuriranje pravila praćenja i pretraga, čime se stvara proaktivna povratna petlja.
• Proširuje se na 5.22 Praćenje usluga dobavljača: Vaša vidljivost ne smije završiti na vlastitom perimetru. Za usluge u oblaku i druge dobavljače morate osigurati da njihove sposobnosti praćenja i zapisivanja događaja zadovoljavaju vaše forenzičke zahtjeve, što je ključan aspekt za NIS2 i DORA.

Strategija zapisivanja događaja i praćenja spremna za forenzičku uporabu počinje svrhom. Pragovi upozorenja trebaju se temeljiti na procjeni rizika, primjerice praćenjem naglih porasta izlaznog mrežnog prometa, brzog zaključavanja računa, događaja eskalacije privilegija, detekcija zlonamjernog softvera i instalacija neovlaštenog softvera.

Jednako tako, zadržavanje dnevničkih zapisa mora biti svjesna odluka. Vodič Zenith Controls savjetuje:

Zadržavanjem i sigurnosnim kopiranjem dnevničkih zapisa treba upravljati tijekom unaprijed definiranog razdoblja, uz zaštitu od neovlaštenog pristupa i izmjena. Razdoblja zadržavanja dnevničkih zapisa moraju se odrediti na temelju poslovnih potreba, procjena rizika, dobrih praksi i pravnih zahtjeva…

To znači definiranje razdoblja zadržavanja po sustavu (npr. 12 mjeseci online, 3–5 godina arhivirano za sustave kritične prema DORA) i osiguravanje da se sigurnosne kopije čuvaju barem onoliko dugo koliko se dnevnički zapisi redovito pregledavaju.

Ravnoteža usklađenosti: prikupljanje dokaza bez kršenja GDPR

Instinktivna reakcija na revizijski neuspjeh poput Marijina mogla bi biti zapisivati sve, posvuda. Time nastaje novi i jednako opasan problem: kršenje načela zaštite podataka prema GDPR. Forenzička spremnost i privatnost često se doživljavaju kao suprotstavljene sile, ali moraju biti usklađene.

Tu kontrola ISO 27001:2022 5.34 Privatnost i zaštita osobnih podataka (PII) postaje ključna. Ona je most između sigurnosnog programa i obveza privatnosti. Kako je detaljno opisano u Zenith Controls, implementacija 5.34 izravan je dokaz sposobnosti ispunjavanja GDPR Article 25 (ugrađena i zadana zaštita podataka) i Article 32 (sigurnost obrade).

Za postizanje te ravnoteže vaš forenzički program mora integrirati ključne kontrole za unapređenje privatnosti:

• Integracija s 5.12 Klasifikacija informacija: Osigurajte da se dnevnički zapisi iz sustava koji obrađuju osobne podatke (PII) klasificiraju kao visoko osjetljivi i da dobiju najstrože zaštite.
• Implementacija 8.11 Maskiranje podataka: Aktivno primjenjujte pseudonimizaciju ili maskiranje radi prikrivanja osobnih identifikatora u dnevničkim zapisima kada sirove vrijednosti nisu potrebne za istragu. To je izravna provedba minimizacije podataka.
• Provedba 5.15 i 5.16 (kontrola pristupa i upravljanje identitetom): Ograničite pristup sirovim dnevničkim zapisima strogo prema načelu nužnog poznavanja, osobito za događaje koji se odnose na zaposlenike ili klijente.
• Mapiranje na okvire privatnosti: Poduprite program standardima kao što su ISO/IEC 27701 (za PIMS), ISO/IEC 27018 (za osobne podatke u oblaku) i ISO/IEC 29100 (za načela privatnosti).

Integracijom ovih kontrola možete oblikovati strategiju zapisivanja događaja i praćenja koja je i forenzički pouzdana i svjesna privatnosti, istodobno zadovoljavajući sigurnosne timove i službenike za zaštitu podataka.

Od teorije do revizije: što različiti revizori stvarno traže

Uspješan prolazak revizije zahtijeva predstavljanje pravih dokaza na način koji odgovara specifičnoj metodologiji revizora. Revizor za ISO 27001 razmišlja drukčije od COBIT revizora, a obojica imaju drukčiji fokus od regulatora za NIS2.

Odjeljak audit_methodology u našem vodiču Zenith Controls za 8.16 Aktivnosti praćenja pruža CISO-ima iznimno vrijedan plan rada, prevodeći cilj kontrole u opipljive dokaze za različite revizijske perspektive.

Evo kako se pripremiti za provjeru iz različitih kutova:

Razumijevanje tih različitih perspektiva ključno je. Za ISO revizora dobro dokumentiran proces postupanja s lažnim alarmom izvrstan je dokaz djelotvornog sustava. Za NIST revizora uvjerljiviji je test uživo koji pokazuje aktiviranje upozorenja u stvarnom vremenu. Za regulatora prema NIS2 ili DORA presudan je dokaz pravodobnog otkrivanja i eskalacije. Marijin tim nije uspio jer nije mogao dostaviti dokaze koji bi zadovoljili ijednu od tih perspektiva.

Praktični scenarij: izrada paketa dokaza spremnog za reviziju

Primijenimo to na scenarij iz prakse: kampanja zlonamjernog softvera pogađa nekoliko krajnjih uređaja u vašim operacijama u EU, od kojih neki obrađuju osobne podatke klijenata (PII). Morate zadovoljiti GDPR, NIS2, DORA i revizora za ISO 27001.

Vaš paket dokaza treba biti strukturirana naracija, a ne samo izvoz podataka. Treba uključivati:

1. Tehnički vremenski slijed i artefakti:

   • SIEM upozorenja koja prikazuju početnu detekciju, povezana s 8.16 Aktivnosti praćenja.
   • EDR dnevničke zapise s vrijednostima sažetka datoteka, stablima procesa i radnjama ograničavanja.
   • Dnevničke zapise vatrozida i mreže koji prikazuju pokušaje C2 komunikacije.
   • Zapise dnevnika autentikacije koji prikazuju pokušaje lateralnog kretanja.
   • Sažetke svih prikupljenih datoteka dnevničkih zapisa radi dokazivanja cjelovitosti, usklađeno s 8.24 Uporaba kriptografije.

2. Dokazi upravljanja i postupaka:

   • Presliku vaše Politike prikupljanja dokaza i forenzike.
   • Presliku vaše Politike zapisivanja događaja i praćenja, kojom se dokazuje mandat za prikupljanje tih podataka.
   • Relevantni izvadak iz vaše Politike zadržavanja i zbrinjavanja podataka Politika zadržavanja i zbrinjavanja podataka, koji prikazuje razdoblja zadržavanja za te konkretne dnevničke zapise.

3. Povezanost s upravljanjem incidentima:

   • Prijavu odgovora na incidente koja prikazuje klasifikaciju, procjenu ozbiljnosti i eskalaciju, povezujući praćenje (8.16) s procjenom incidenta (5.25).
   • Zapise procesa odlučivanja o obavješćivanju nadležnih tijela prema NIS2 Article 23 ili GDPR Article 33.

4. Dokazi usklađenosti privatnosti:

   • Bilješku službenika za zaštitu podataka (DPO) kojom se potvrđuje da je nad paketom dokaza proveden pregled iz perspektive privatnosti.
   • Dokaz da su svi osobni podaci (PII) unutar dnevničkih zapisa obrađeni u skladu s politikom (npr. pristup je bio ograničen), usklađeno s kontrolom 5.34 Privatnost i zaštita osobnih podataka (PII).

5. Regulatorna komunikacija:

   • Zapis svake korespondencije s tijelom za zaštitu podataka ili nacionalnim tijelom za kibernetičku sigurnost, kako preporučuju naše smjernice u Zenith Controls.

Ovaj strukturirani paket pretvara kaotičan događaj u dokaz kontrole, procesa i dubinske analize dobavljača.

Izgradnja spremišta dokaza: provedbeni plan

Kako CISO može prijeći iz reaktivnog stanja u kontinuiranu forenzičku spremnost spremnu za reviziju? Ključ je sustavna izgradnja “spremišta dokaza” koje sadrži dokaze potrebne revizorima prije nego što ih zatraže.

1. Dokumentirajte svoju strategiju:

• Dovršite politike: Odobrite i objavite Politiku zapisivanja događaja i praćenja, Politiku prikupljanja dokaza i Politiku zadržavanja podataka, koristeći korak 14 iz Zenith Blueprint kao vodič.
• Mapirajte tok podataka: Održavajte dijagram koji prikazuje odakle se dnevnički zapisi prikupljaju, gdje se agregiraju (npr. SIEM) i kako se štite.

2. Konfigurirajte i provjerite alate:

• Postavite pragove temeljene na riziku: Dokumentirajte pragove za ključna upozorenja i obrazložite ih na temelju procjene rizika.
• Provjerite postavke zadržavanja: Napravite snimke zaslona iz platforme za upravljanje dnevničkim zapisima ili konzole oblaka koje jasno prikazuju konfigurirana razdoblja zadržavanja za različite vrste podataka.
• Dokažite cjelovitost: Uspostavite proces kriptografskog izračuna sažetka kritičnih datoteka dokaza pri prikupljanju i pohranite sažetke odvojeno.

3. Dokažite operativnu djelotvornost:

• Vodite detaljne zapise: Održavajte zapise o tome kako ste obradili najmanje tri nedavna sigurnosna događaja, čak i lažne alarme. Prikažite početno upozorenje, bilješke trijaže, poduzete radnje i konačno rješenje s vremenskim oznakama.
• Zapisujte pristup dnevničkim zapisima: Budite spremni pokazati tko ima pristup za pregled sirovih dnevničkih zapisa i dostaviti revizijske tragove njihova pristupa.
• Testirajte i evidentirajte: Čuvajte zapise koji pokazuju da su sustavi praćenja ispravni i da se periodični testovi (npr. testovi alarma) provode i bilježe.

Marijin revizijski neuspjeh nije bio tehnički, nego strateški. Naučila je na teži način da je u današnjem regulatornom okruženju incident koji se ne može istražiti gotovo jednako loš kao i sam incident. Dnevnički zapisi više nisu jednostavan nusproizvod IT-a; oni su kritična imovina za upravljanje, upravljanje rizicima i usklađenost.

Nemojte čekati da nesukladnost razotkrije vaše praznine. Izgradnjom stvarne sposobnosti forenzičke spremnosti pretvarate sigurnosne podatke iz potencijalne obveze u svoju najvrjedniju imovinu za dokazivanje dužne pažnje i otpornosti.

Spremni ste izgraditi vlastitu forenzičku sposobnost spremnu za reviziju? Istražite Clarysecov The Zenith Blueprint: An Auditor’s 30-Step Roadmap za izgradnju dokumentiranog ISMS-a od temelja i zaronite u naš Zenith Controls kako biste razumjeli precizne dokaze koje revizori zahtijevaju za svaku kontrolu. Dogovorite konzultacije već danas i saznajte kako naši integrirani alati mogu ubrzati vaš put prema dokazivoj usklađenosti.