Upravljanje odlukama o plaćanju otkupnine kod ransomwarea za NIS2 i DORA
Radni je dan 2026. godine, 3:17 ujutro. Mariju, CISO brzo rastuće fintech platforme, poruka glavnog SOC analitičara uvlači u krizni konferencijski poziv: potvrđeno je masovno šifriranje, temeljne usluge su nedostupne, a ransomware skupina tvrdi da je ukrala 2 TB podataka klijenata.
Prvi se u poziv uključuje glavni izvršni direktor. Zatim pravni poslovi. Potom privatnost, financije, komunikacije, kibernetički osiguratelj, forenzički pružatelj usluga i tim za operacije u oblaku. Portal na dark webu prikazuje odbrojavanje od 48 sati i sedmeroznamenkasti zahtjev u kriptovaluti.
Glavni izvršni direktor postavlja pitanje kojeg se svaki CISO pribojava.
„Možemo li platiti i tko smije odlučiti?”
Pogrešan je odgovor tretirati to kao pregovarački problem. Ispravan je odgovor tretirati to kao pitanje upravljanja.
U 2026. upravljanje odlukom o plaćanju otkupnine kod ransomwarea više nije privatna, tehnička krizna odluka. Mogu ga preispitivati regulatori, revizori, osiguratelji, klijenti, tijela kaznenog progona, dioničari i uprava. Odluka o plaćanju presijeca se sa sankcijskom izloženošću, procjenom povrede osobnih podataka, uvjetima kibernetičkog osiguranja, ugovornim obvezama, kriznim komunikacijama, očuvanjem dokaza, faznim izvješćivanjem prema NIS2, klasifikacijom incidenata prema DORA, obavješćivanjem prema GDPR i poboljšanjima nakon incidenta.
Zato Clarysec savjetuje klijentima da upravljanje odlukom o plaćanju otkupnine kod ransomwarea ugrade u ISMS prije incidenta. ISO/IEC 27001:2022 daje strukturu sustava upravljanja. Kontrole ISO/IEC 27002:2022 daju operativni model. Zenith Blueprint: revizorov plan u 30 koraka i Zenith Controls: vodič za međuregulatornu usklađenost pomažu tu strukturu pretvoriti u praktične, revizijski provjerljive dokaze.
Operativne upute za ransomware koje kažu „obavijesti pravne poslove” nisu dovoljne. Organizacija mora znati tko može odobriti pregovore, kako se provodi provjera sankcija, kada osiguratelj mora dati odobrenje, kako se dokumentira klasifikacija prema GDPR, NIS2 i DORA te kako se dokazi štite dok timovi za oporavak rade pod pritiskom.
Zašto ad hoc odluke o plaćanju otkupnine kod ransomwarea ne uspijevaju
Odluka o plaćanju otkupnine kod ransomwarea često se opisuje kao binarna: platiti ili ne platiti. U stvarnosti, odluka ima najmanje šest slojeva:
- Je li događaj potvrđen, ograničen i ispravno klasificiran?
- Jesu li pogođeni osobni podaci, regulirani podaci ili pružanje kritične usluge?
- Smije li organizacija pravno komunicirati ili provesti transakciju s akterom prijetnje?
- Zahtijeva li kibernetičko osiguranje prethodnu obavijest, odobrene dobavljače, suglasnost ili posebne dokaze?
- Bi li plaćanje smanjilo utjecaj na poslovanje ili bi povećalo pravni, financijski i reputacijski rizik?
- Tko ima ovlast odlučiti i kako se ta odluka zapisuje?
Tijekom aktivnog incidenta nepovezani timovi često vuku u različitim smjerovima. Financijski direktor može otkupninu promatrati kao poslovni trošak u usporedbi s rastućim zastojem. Pravni poslovi vide sankcije, financijski kriminal i regulatornu izloženost. DPO procjenjuje stvaraju li šifrirani ili izneseni podaci prijavljivu povredu osobnih podataka. Usklađenost prati rokove izvješćivanja prema NIS2 i DORA. CISO pokušava očuvati dokaze dok obnavlja usluge. Glavni izvršni direktor želi preporuku prije isteka napadačeva odbrojavanja.
Bez formalnog postupka odlučivanja najglasniji glas u prostoriji može postati model upravljanja. Upravo je to situacija koju suvremena regulativa kibernetičke sigurnosti nastoji spriječiti.
NIS2 kibernetičku sigurnost čini odgovornošću uprave. Article 20 uređuje upravljanje i odgovornost upravljačkih tijela, dok Article 21 zahtijeva mjere upravljanja rizicima koje obuhvaćaju postupanje s incidentima, neprekidnost poslovanja, upravljanje sigurnosnim kopijama, upravljanje krizama, sigurnost opskrbnog lanca, kontrolu pristupa, upravljanje imovinom, MFA i procjenu učinkovitosti. Article 23 uvodi fazno izvješćivanje o značajnim incidentima, uključujući rano upozorenje u roku od 24 sata, obavijest u roku od 72 sata i završno izvješće u roku od mjesec dana kada je primjenjivo.
Za financijske subjekte DORA je sektorski pravilnik za operativnu otpornost. Article 5 stavlja odgovornost za upravljanje IKT rizicima na upravljačko tijelo. Articles 17, 18 i 19 uređuju upravljanje incidentima povezanima s IKT-om, klasifikaciju i prijavljivanje većih incidenata povezanih s IKT-om. DORA također zahtijeva sposobnosti odgovora i oporavka, sigurnosno kopiranje i vraćanje podataka, učenje nakon incidenta, testiranje i upravljanje IKT rizicima trećih strana.
GDPR dodaje zasebnu, ali preklapajuću procjenu. Ako ransomware prouzroči slučajno ili nezakonito uništenje, gubitak, izmjenu, neovlašteno otkrivanje osobnih podataka ili pristup njima, voditelj obrade mora procijeniti je li došlo do povrede osobnih podataka. Ako je obavješćivanje potrebno, rok za obavješćivanje nadzornog tijela u pravilu je 72 sata od saznanja. Ako postoji visok rizik za pojedince, može biti potrebna i komunikacija s pogođenim pojedincima.
Zaključak je jednostavan: pitanje otkupnine ne smije se prvi put postaviti u kriznoj sobi.
Kontrole ISO 27001:2022 koje podupiru upravljanje plaćanjem
ISMS prema ISO/IEC 27001:2022 nije kontrolni popis za revizore. To je sustav upravljanja za donošenje odluka temeljenih na riziku. Upravljanje plaćanjem otkupnine kod ransomwarea pripada tom sustavu jer objedinjuje procjenu rizika, obradu rizika, uloge, pravne obveze, odgovor na incidente, neprekidnost poslovanja, upravljanje dobavljačima i kontinuirano poboljšanje.
Najrelevantnije kontrole Priloga A norme ISO 27001:2022 čine povezani lanac kontrola.
| Područje kontrole ISO 27001:2022 | Zašto je važno tijekom upravljanja plaćanjem otkupnine kod ransomwarea |
|---|---|
| A.5.24 Planiranje i priprema upravljanja incidentima informacijske sigurnosti | Definira okvir odgovora na incidente, model eskalacije, komunikacije i spremnost prije početka iznude. |
| A.5.25 Procjena i odluka o događajima informacijske sigurnosti | Uspostavlja kako događaji postaju incidenti, kako se određuje ozbiljnost i kada se pokreće eskalacija prema izvršnom rukovodstvu. |
| A.5.26 Odgovor na incidente informacijske sigurnosti | Upravlja ograničavanjem, uklanjanjem prijetnje, koordinacijom oporavka i provedbom operativnih odluka. |
| A.5.27 Učenje iz incidenata informacijske sigurnosti | Osigurava da ishodi odluka o otkupnini, zamalo nastali događaji, povratne informacije osiguratelja i nalazi regulatora poboljšavaju buduće kontrole. |
| A.5.28 Prikupljanje dokaza | Očuvava zapise, slike, korespondenciju, uzorke zlonamjernog softvera i zapise odluka na pravno pouzdan način. |
| A.5.29 Informacijska sigurnost tijekom poremećaja | Održava rad sigurnosnih kontrola dok poslovanje radi u degradiranom načinu. |
| A.5.30 Spremnost IKT-a za neprekidnost poslovanja | Povezuje sigurnosne kopije, prioritete oporavka, prebacivanje na pričuvni sustav i planove neprekidnosti s postupkom odlučivanja o incidentu. |
| A.5.31 Pravni, zakonski, regulatorni i ugovorni zahtjevi | Obuhvaća provjeru sankcija, regulatorno izvješćivanje, obveze prema klijentima, obveze prema osiguratelju i pravno odobrenje. |
| A.5.34 Privatnost i zaštita osobnih podataka (PII) | Pokreće procjenu povrede prema GDPR-u i procjenu utjecaja na privatnost tijekom iznude. |
| A.6.3 Kontakt s nadležnim tijelima | Podržava planiranu komunikaciju s regulatorima, CSIRT-ovima, tijelima kaznenog progona i nadležnim tijelima. |
| A.8.13 Sigurnosna kopija informacija | Utvrđuje je li plaćanje operativno relevantno dokazivanjem mogućnosti oporavka. |
| A.8.15 Zapisivanje događaja i A.8.16 Aktivnosti praćenja | Pružaju dokaznu osnovu za opseg, vremenski slijed, utjecaj i aktivnosti napadača. |
U Zenith Controls, odjeljak za A.5.24, planiranje i pripremu upravljanja incidentima informacijske sigurnosti, klasificira kontrolu kao korektivnu, povezanu s povjerljivošću, cjelovitošću i dostupnošću te usklađenu s konceptima odgovora i oporavka. Također povezuje A.5.24 s procjenom događaja A.5.25, učenjem iz incidenata A.5.27, zapisivanjem događaja A.8.15, praćenjem A.8.16, sigurnošću tijekom poremećaja A.5.29, neprekidnošću i kontaktom s nadležnim tijelima.
To je važno jer je upravljanje plaćanjem otkupnine kod ransomwarea lanac. Ako ne možete otkriti i klasificirati događaj, ne možete odlučiti. Ako ne možete očuvati dokaze, ne možete obraniti odluku. Ako pravne obveze nisu mapirane, pregovaranje ili plaćanje može biti nezakonito. Ako mogućnosti oporavka nisu testirane, izvršni rukovoditelji mogu biti pritisnuti na odluku temeljenu na strahu, a ne na činjenicama.
Zenith Controls jasno opisuje odnos između pripreme i donošenja odluka:
“5.25 je točka odlučivanja koja određuje kada događaj prelazi prag sigurnosnog incidenta i pokreće radnje navedene u 5.26. Pravodobna i točna procjena događaja osigurava da odgovor na incidente nije ni odgođen ni pogrešno usmjeren.”
Isti vodič povezuje A.5.31, pravne, zakonske, regulatorne i ugovorne zahtjeve, s privatnošću, zadržavanjem zapisa, neovisnim pregledom i usklađenošću s internim politikama. Za ransomware, A.5.31 je mjesto na kojem se provjera sankcija, obveze osiguranja, uključivanje tijela kaznenog progona, ugovori s klijentima, obveze zaštite podataka i sektorsko regulatorno izvješćivanje bilježe u jednom registru usklađenosti.
Clarysecov model upravljanja plaćanjem otkupnine kod ransomwarea u pet kontrolnih točaka
Clarysecov model razdvaja upravljanje odlukom o plaćanju otkupnine kod ransomwarea u pet kontrolnih točaka. Svrha nije olakšati plaćanje. Svrha je svaku odluku, uključujući odbijanje plaćanja, učiniti utemeljenom na dokazima, pravno pregledanom, autoriziranom i prikladnom za reviziju.
| Kontrolna točka | Ključno pitanje | Potrebni dokazi | Tipični vlasnik |
|---|---|---|---|
| Kontrolna točka 1: Proglašenje incidenta | Je li incident ransomwarea ili iznude proglašen prema definiranim kriterijima? | SIEM upozorenja, telemetrija krajnjih uređaja, poruka o otkupnini, pogođena imovina, početni zapis ozbiljnosti | Zapovjednik incidenta ili CISO |
| Kontrolna točka 2: Pravna i regulatorna trijaža | Uključuje li incident osobne podatke, regulirane usluge, rizik sankcija, ugovornu obavijest ili sektorsko izvješćivanje? | Mapiranje pravnog registra, procjena povrede prema GDPR-u, klasifikacija prema NIS2 ili DORA, bilješke pravnog savjetnika | Pravni poslovi, usklađenost, DPO |
| Kontrolna točka 3: Izvedivost oporavka | Može li se organizacija sigurno oporaviti bez plaćanja unutar prihvatljivih granica utjecaja? | Provjere cjelovitosti sigurnosnih kopija, status RTO/RPO, analiza utjecaja na poslovanje, rezultati testova oporavka | IT, odgovorna osoba za BC/DR |
| Kontrolna točka 4: Pregled rizika plaćanja | Jesu li bilo kakvi pregovori ili plaćanje pravno dopušteni, odobreni od osiguratelja, provjereni u odnosu na sankcije i odobreni od uprave? | Zapis provjere sankcija, suglasnost osiguratelja, zapis konzultacije s tijelima kaznenog progona, financijsko odobrenje, prihvaćanje rizika | Izvršno rukovodstvo ili uprava |
| Kontrolna točka 5: Zatvaranje i poboljšanje | Jesu li odluke, komunikacije, temeljni uzrok i naučene lekcije zapisani? | Izvješće o incidentu, lanac nadzora, dnevnik komunikacija, plan poboljšanja kontrola | CISO, voditelj ISMS-a, interna revizija |
Ovaj model koristi logiku obrade rizika iz ISO 27001. Plaćanje otkupnine kod ransomwarea nije sigurnosna kontrola. Ono je, najviše, krizna opcija razmatrana u kontekstu obrade rizika i oporavka. Prije incidenta organizacija je već trebala odlučiti kako se ransomware rizici obrađuju: ublažavanjem kroz kontrole, prijenosom dijela financijske izloženosti kroz osiguranje, izbjegavanjem neprihvatljivih naslijeđenih ovisnosti ili izričitim prihvaćanjem preostalog rizika gdje je to opravdano.
U fazi upravljanja rizicima, korak 13, Planiranje obrade rizika i Izjava o primjenjivosti, Zenith Blueprint upućuje organizacije da odrede opcije obrade za svaki rizik i dokumentiraju ih u registru rizika. Upozorava da prijenos, kao što je kibernetičko osiguranje, ne uklanja potrebu za kontrolama jer prijenos često pokriva financijski utjecaj, a ne vjerojatnost. Također navodi:
“Prihvaćanje mora biti izričito i odobreno od uprave, osobito za sve srednje rizike. Visoki rizici rijetko se prihvaćaju osim ako su doista neizbježni i dogovoreni na najvišoj razini.”
Ta je rečenica izravno relevantna za upravljanje plaćanjem otkupnine kod ransomwarea. Ako se od uprave traži da prihvati preostali rizik odbijanja plaćanja ili pravni i reputacijski rizik odobravanja pregovora, prihvaćanje mora biti izričito, zabilježeno i odobreno od odgovarajućeg ovlaštenog tijela.
Clarysecova Politika upravljanja rizicima potvrđuje isto načelo:
“Odluke o obradi rizika moraju biti usklađene s unaprijed definiranim opcijama”
Iz točke 5.5.
Odluka o otkupnini stoga nije zaobilaznica upravljanja rizicima. Mora se obraditi kao formalna, dokumentirana odluka o obradi rizika pod definiranom ovlašću.
Ovlasti iz politike: tko može odlučiti pod pritiskom?
Mnogi neuspjesi u ransomware situacijama zapravo su neuspjesi upravljanja prikriveni kao tehnički neuspjesi. Netko kontaktira napadača izvan odobrenog kanala. Netko obeća plaćanje prije odobrenja osiguratelja. Netko obnavlja sustave i prepisuje forenzičke dokaze. Netko klijentima kaže prerano, prekasno ili s netočnim činjenicama.
Clarysecove politike osmišljene su za uklanjanje takve nejasnoće.
Za mala i srednja poduzeća, Politika uloga i odgovornosti u upravljanju - SME daje jednostavno pravilo:
“Sve značajne sigurnosne odluke, iznimke i eskalacije moraju biti zabilježene i sljedive.”
Iz odjeljka “Zahtjevi upravljanja”, točka politike 5.5.
SME Politika odgovora na incidente - SME dodjeljuje ovlast za eskalaciju:
“Glavni direktor (GM) odgovoran je za odobravanje svih odluka o eskalaciji incidenata, regulatornih obavijesti i vanjskih komunikacija.”
Iz odjeljka “Zahtjevi upravljanja”, točka politike 5.1.1.
Također povezuje incidente s podacima klijenata s regulatornim obvezama:
“Kada su uključeni podaci klijenata, glavni direktor mora procijeniti zakonske obveze obavješćivanja na temelju primjenjivosti GDPR, NIS2 ili DORA.”
Iz odjeljka “Obrada rizika i iznimke”, točka politike 7.4.1.
Za veće organizacije, korporativna Politika uloga i odgovornosti u upravljanju zahtijeva trenutačnu eskalaciju kada može postojati pravna izloženost ili prijavljive povrede podataka:
“Pravna/regulatorna eskalacija: incidenti koji uključuju moguću pravnu izloženost ili prijavljive povrede podataka moraju se odmah eskalirati službeniku za pravne poslove i usklađenost te izvršnom rukovodstvu.”
Iz odjeljka “Zahtjevi za provedbu politike”, točka politike 6.4.3.
Korporativna Politika odgovora na incidente definira izvršne ovlasti tijekom ozbiljnih incidenata. Točka 4.6.1 navodi da je uloga tima izvršnog rukovodstva:
“Donositi strateške odluke tijekom incidenata visoke ozbiljnosti, uključujući odobravanje obavijesti i javnih komunikacija.”
U kontekstu ransomwarea, Clarysec raspravu o plaćanju, odobrenje pregovora, obavijest klijentima, regulatornu izjavu i javnu komunikaciju tretira kao strateške odluke, a ne tehničke radnje.
Iz toga slijedi praktično pravilo upravljanja: CISO može preporučiti, tim za incident može procijeniti, pravni poslovi mogu savjetovati, financije mogu provjeriti mehaniku plaćanja, osiguratelj može dati suglasnost ili odbiti pokriće, ali izvršno rukovodstvo ili uprava moraju biti vlasnici odluke prema unaprijed definiranim ovlastima.
Eskalacija usklađena sa sankcijskim režimima prije bilo kakvih pregovora
Ransomware postupak usklađen sa sankcijskim režimima počinje zabranom: nijedan zaposlenik, izvođač, dobavljač, posrednik, pregovarač ili osoba zadužena za postupanje s incidentima ne smije pregovarati, obećavati, omogućavati niti prenositi vrijednost akteru prijetnje bez odobrenog pravnog pregleda.
Pravna kontrolna točka mora se dogoditi prije bilo kakvog aktivnog angažmana s napadačem, a ne nakon što se pojavi adresa novčanika. Postupak treba uključivati:
- Uključivanje pravnog savjetnika prije bilo kakve komunikacije izvan pasivnog prikupljanja dokaza.
- Identifikaciju aktera prijetnje koristeći forenzičke, obavještajne i, kada su dostupni, ulazne podatke tijela kaznenog progona.
- Provjeru sankcija i ograničenih strana za nazive skupina, pseudonime, adrese novčanika, infrastrukturu, posrednike i kanale plaćanja.
- Razmatranje i bilježenje konzultacije s tijelima kaznenog progona.
- Obavješćivanje kibernetičkog osiguratelja prema uvjetima police prije imenovanja dobavljača ili ulaska u pregovore.
- Uključivanje DPO-a ili voditelja privatnosti ako osobni podaci mogu biti uključeni.
- Potvrdu financijskog direktora ili voditelja financija o kontrolama plaćanja, razdvajanju dužnosti, provjerama protiv prijevara i zahtjevima odobrenja uprave.
- Zapisivanje izvršne odluke uz razmatranje alternativa, uključujući vraćanje podataka, ograničavanje, obustavu usluge, komunikaciju s klijentima i odbijanje plaćanja.
- Očuvanje dokaza o komunikaciji napadača, pokazateljima, detaljima novčanika, sastancima odlučivanja, odobrenjima i vanjskim savjetima.
Za ransomware, pravni registar trebao bi sadržavati najmanje sljedeće izvore obveza.
| Izvor obveze | Utjecaj na upravljanje plaćanjem |
|---|---|
| Zahtjevi sankcija i financijskog kriminala | Nema pregovora ni plaćanja bez pravne provjere i dokumentiranog odobrenja. |
| Ugovor o kibernetičkom osiguranju | Obavijest osiguratelju, odobreni dobavljači, prethodna suglasnost, zahtjevi za dokazima i uvjeti pokrića. |
| GDPR | Procjena povrede osobnih podataka, obavješćivanje nadzornog tijela, komunikacija s ispitanicima i zapisi odgovornosti. |
| NIS2 | Klasifikacija značajnog incidenta, rano upozorenje u roku od 24 sata, obavijest u roku od 72 sata i završno izvješće u roku od mjesec dana kada je primjenjivo. |
| DORA | Klasifikacija većeg incidenta povezanog s IKT-om, izvješćivanje nadležnom tijelu, komunikacija s klijentima i analiza temeljnog uzroka nakon incidenta. |
| Ugovori s klijentima | Obavijest o sigurnosnom incidentu, obveze razine usluge, prava na reviziju i obveze komunikacije s klijentima. |
| Očekivanja tijela kaznenog progona | Očuvanje dokaza, postupanje s komunikacijom napadača i zapisi koordinacije. |
Organizacije također trebaju definirati tko može zaustaviti odluku o plaćanju. Pravni poslovi, usklađenost, DPO, savjetnik za sankcije ili uprava trebaju imati izričitu ovlast za pauziranje pregovora ili plaćanja ako je provjera nepotpuna, dokazi nepouzdani, uvjeti osiguratelja nisu ispunjeni ili bi radnja mogla povrijediti zakon ili ugovor.
Očuvanje dokaza: ne uništavajte dokaze dok obnavljate uslugu
Timovi za ransomware prirodno žure obnoviti operacije. Ali ako obnova uništi zapise, snimke, poruke o otkupnini, uzorke zlonamjernog softvera, slike memorije ili poruke napadača, organizacija može izgubiti mogućnost dokazivanja što se dogodilo.
U fazi Kontrole na djelu, korak 23, Organizacijske kontrole, Zenith Blueprint upućuje organizacije da provjere i testiraju sposobnosti upravljanja incidentima definiranjem prijavljivih sigurnosnih događaja, dokumentiranjem donošenja odluka i očuvanjem forenzičkih dokaza. Timovima nalaže da:
“Zabilježe u dnevnik sve odluke, uloge i komunikacije (5.26) te ažuriraju plan naučenim lekcijama (5.27). Potvrde da postoje postupci za očuvanje forenzičkih dokaza (5.28), uključujući snimke zapisa dnevnika, sigurnosne kopije i sigurnu izolaciju pogođenih sustava.”
Isti korak objašnjava A.5.28 jezikom koji svaka uprava razumije:
“ono što možete dokazati važno je jednako koliko i ono što se stvarno dogodilo”
Clarysecova korporativna Politika prikupljanja dokaza i forenzike potvrđuje da dokazi moraju ostati sljedivi:
“Dnevnik lanca nadzora mora pratiti sve fizičke ili digitalne dokaze od trenutka prikupljanja do arhiviranja ili prijenosa te mora dokumentirati:”
Iz odjeljka “Zahtjevi upravljanja”, točka politike 5.6.
Za mala i srednja poduzeća, Politika prikupljanja dokaza i forenzike - SME namjerno je praktična:
“Forenzička kopija ili izvoz uvijek se mora izraditi; izvorni dokaz nikada se ne smije izravno uređivati.”
Iz odjeljka “Zahtjevi za provedbu politike”, točka politike 6.1.1.
Također zahtijeva pravnu konzultaciju kada može postojati utjecaj na HR, pravne poslove ili klijente:
“Ako incident uključuje mogući utjecaj na ljudske resurse (HR), pravne poslove ili klijente, GM se mora savjetovati s pravnim savjetnikom prije nastavka provedbe ili eskalacije.”
Iz odjeljka “Zahtjevi upravljanja”, točka politike 5.4.2.
Praktičan paket dokaza treba otvoriti tijekom Kontrolne točke 2. Izradite ograničenu mapu dokaza za incident. Izvezite SIEM vremenske slijedove, EDR detekcije, revizijske zapise iz oblaka, zapise prijava pružatelja identiteta, status poslova sigurnosnog kopiranja, poruke o otkupnini, snimke zaslona, poruke napadača, adrese novčanika, uzorke datoteka, reference na pravne savjete, korespondenciju s osigurateljem i odluke sa sastanaka. Dodijelite skrbnika. Zabilježite hash vrijednosti gdje je primjereno. Ne dopustite administratorima čišćenje pogođenih sustava prije forenzičkog prikupljanja osim ako to zahtijeva sigurnost života, zaštita kritične usluge ili izvršno odobreno ograničavanje.
Jedan klasifikacijski radni list za NIS2, DORA i GDPR
Ransomware incident može pokrenuti više rokova. Izazov nije samo znati rokove. Izazov je znati kada je organizacija stekla saznanje, što je tada znala i kako su donesene odluke o klasifikaciji.
NIS2 Article 23 zahtijeva od ključnih i važnih subjekata da bez nepotrebnog odgađanja obavijeste CSIRT ili nadležno tijelo o značajnim incidentima. Značajnost je povezana s ozbiljnim operativnim poremećajem, financijskim gubitkom ili znatnom materijalnom ili nematerijalnom štetom za druge. Fazni model uključuje rano upozorenje u roku od 24 sata, obavijest u roku od 72 sata, međuažuriranja ako se zatraže i završno izvješće u roku od mjesec dana od obavijesti o incidentu kada je primjenjivo.
DORA zahtijeva od financijskih subjekata da definiraju i implementiraju upravljanje incidentima povezanima s IKT-om, bilježe incidente i značajne kibernetičke prijetnje, klasificiraju incidente koristeći kriterije kao što su pogođeni klijenti, trajanje, geografska rasprostranjenost, gubitak podataka, kritičnost i ekonomski utjecaj te prijavljuju veće incidente povezane s IKT-om nadležnim tijelima kroz početna, međufazna i završna izvješća.
GDPR postavlja drukčije, ali preklapajuće pitanje: je li incident prouzročio povredu osobnih podataka? Ako jest, je li vjerojatno da će rezultirati rizikom za pojedince? Ako je prag obavješćivanja dosegnut, obavješćivanje nadzornog tijela mora se procijeniti u odnosu na rok od 72 sata. Ako postoji visok rizik, može biti potrebna i komunikacija s pojedincima.
Clarysec preporučuje korištenje jednog klasifikacijskog radnog lista za ransomware s odvojenim odjeljcima za svaki režim.
| Područje klasifikacije | Primjer pitanja za ransomware | Ishod |
|---|---|---|
| Operativni utjecaj | Jesu li kritične usluge prekinute ili je vjerojatno da će biti prekinute? | Ulaz za značajnost prema NIS2 i kritičnost prema DORA |
| Financijski utjecaj | Je li incident prouzročio ili bi mogao prouzročiti značajan financijski gubitak? | Ulaz za ozbiljnost prema NIS2 i DORA |
| Utjecaj na klijente | Jesu li pogođeni primatelji usluga, klijenti, druge ugovorne strane ili transakcije? | Ulaz za NIS2, DORA i ugovorno obavješćivanje |
| Osobni podaci | Je li osobnim podacima pristupljeno, jesu li izneseni, izmijenjeni, uništeni ili učinjeni nedostupnima? | Ulaz za procjenu povrede prema GDPR-u |
| Osjetljivost podataka | Uključuju li pogođeni podaci posebne kategorije podataka, vjerodajnice, financijske podatke, identifikacijske dokumente ili podatke djece? | Ulaz za rizik i komunikaciju prema GDPR-u |
| Prekogranični utjecaj | Jesu li pogođene više država članica, jurisdikcija, klijenata ili lokacija usluge? | Ulaz za izvješćivanje prema NIS2 i DORA |
| Pouzdanost dokaza | Koje su činjenice potvrđene, sumnjive ili nepoznate? | Osnova za fazno izvješćivanje i ažuriranja |
Ovaj pristup odgovara odredbama ISO 27001 o procjeni rizika, obradi rizika i dokumentiranim informacijama. Također je usklađen s NIST CSF 2.0. Funkcija GOVERN u NIST CSF 2.0 očekuje da organizacije razumiju dionike, pravne i regulatorne obveze, apetit za rizik, uloge, politiku, nadzor i rizik trećih strana. Ishodi otkrivanja, odgovora i oporavka podržavaju proglašenje incidenta, analizu, koordinaciju odgovora, obavješćivanje dionika, provedbu oporavka i provjeru obnove.
Za financijske subjekte DORA može djelovati kao sektorski režim kibernetičke sigurnosti za preklapajuće obveze NIS2, ali to ne uklanja potrebu za razumijevanjem primjenjivosti NIS2 za subjekte grupe, IKT pružatelje, upravljane usluge ili ovisnosti o oblaku. Praktičan odgovor nije održavati odvojene operativne upute. Odgovor je pokrenuti jedan ISMS model dokaza mapiran na sve relevantne obveze.
Kibernetičko osiguranje i koordinacija dobavljača kontrole su upravljanja
Kibernetičko osiguranje može biti vrijedno, ali nije strategija za ransomware. To je mehanizam prijenosa rizika s uvjetima. Tijekom ransomware događaja osiguratelj može zahtijevati trenutačnu obavijest, korištenje pružatelja s odobrene liste, prethodno odobrenje za pregovore, očuvanje dokaza, dokaz neuspjeha sigurnosnih kopija, dokaz razumnih kontrola i pravni pregled prije bilo kakvog razmatranja plaćanja.
DORA čini IKT rizik trećih strana prvorazrednom domenom usklađenosti. NIS2 Article 21 također zahtijeva sigurnost opskrbnog lanca i razmatranje ranjivosti dobavljača i praksi kibernetičke sigurnosti. ISO 27001 podržava istu logiku kroz kontrole dobavljača i oblaka kao što su A.5.19 do A.5.23, uz kontrole incidenata, neprekidnosti i pravnih zahtjeva.
Zenith Controls povezuje pripremu za incidente s vanjskim partnerima, uključujući forenzičke tvrtke, pravne poslove, odnose s javnošću i kontakt s nadležnim tijelima. Iz revizijske perspektive, izostanak unaprijed identificiranih vanjskih partnera može se smatrati prazninom u spremnosti jer može odgoditi odgovor tijekom stvarnog incidenta.
Za upravljanje plaćanjem otkupnine kod ransomwarea Clarysec preporučuje unaprijed ugovoriti:
- Ugovor o forenzičkoj pripravnosti ili uvjete brzog odgovora.
- Dostupnost vanjskog pravnog savjetnika za povredu, sankcije i strategiju povjerljivosti.
- Put obavješćivanja kibernetičkog osiguratelja i popis odobrenih dobavljača.
- Eskalacijski put pružatelja usluga u oblaku za snimke, zapise, izolaciju i oporavak.
- Postupke suradnje za incidente s MSSP-om ili MDR-om.
- Postupak pregleda odnosa s javnošću i kriznih komunikacija.
- Bankovne ili financijske kontrole odobravanja za svako izvanredno plaćanje.
- Protokol kontakta s tijelima kaznenog progona.
To se dobro mapira na ishode opskrbnog lanca u NIST CSF 2.0, uključujući uloge i odgovornosti dobavljača, dubinsku analizu dobavljača, ugovorne zahtjeve kibernetičke sigurnosti, koordinaciju incidenata s dobavljačima i aktivnosti nakon prestanka ugovornog odnosa.
Praktične operativne upute za eskalaciju plaćanja otkupnine kod ransomwarea
Pet kontrolnih točaka može se prevesti u operativne upute. Svaki korak treba biti dokumentiran, imati vlasnika i biti uvježban.
| Faza | Ključna radnja | Odgovorna uloga | Ključne kontrole ISO 27001:2022 | Dokaz ili ishod |
|---|---|---|---|---|
| 1. Trijaža i proglašenje | Procijeniti događaj prema kriterijima, proglasiti značajan ili veći incident, aktivirati tim za odgovor | Voditelj SOC-a, zapovjednik incidenta | A.5.24, A.5.25 | Prijava incidenta, dnevnik proglašenja, početno izvješće o situaciji |
| 2. Analiza utjecaja na poslovanje | Kvantificirati operativni utjecaj, procijeniti položaj RTO/RPO, utvrditi kritičnost podataka i usluga | Vlasnici poslovanja, CISO, odgovorna osoba za BC/DR | A.5.29, A.5.30, A.8.13 | Analiza utjecaja na poslovanje, nalazi o cjelovitosti sigurnosnih kopija |
| 3. Očuvanje dokaza | Izvesti zapise, očuvati sustave, osigurati dokaze i održavati lanac nadzora | Voditelj forenzike, tim za odgovor na incidente | A.5.28, A.8.15, A.8.16 | Forenzičke slike, izvozi zapisa, zapis lanca nadzora |
| 4. Pravna i sankcijska provjera | Uključiti pravnog savjetnika, identificirati aktera prijetnje, provjeriti sankcije, procijeniti obveze izvješćivanja | Pravni službenik, DPO, usklađenost, vanjski pravni savjetnik | A.5.31, A.5.34, A.6.3 | Pravno mišljenje, zapis provjere sankcija, radni list izvješćivanja |
| 5. Koordinacija osiguranja i dobavljača | Obavijestiti osiguratelja, potvrditi odobrene dobavljače, koordinirati podršku oblaka, MSSP-a i forenzike | CISO, pravni poslovi, voditelj dobavljača | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Suglasnost osiguratelja, prijave dobavljača, zapisnik radnji dobavljača |
| 6. Sažetak za izvršnu odluku | Predstaviti opcije, rizike, pravni stav, izvedivost oporavka, komunikacijski utjecaj i stav osiguratelja | Zapovjednik incidenta, CISO, pravni poslovi, financijski direktor | A.5.1, A.5.2, A.5.26, A.5.31 | Dokument za odlučivanje o ransomwareu |
| 7. Odobriti i dokumentirati | Izvršno ovlašteno tijelo odlučuje hoće li pregovarati, odbiti, platiti ili poduzeti alternativne radnje | Glavni izvršni direktor, izvršno rukovodstvo, uprava | A.5.2, A.5.3, A.5.26, A.5.31 | Potpisani zapis odluke, prihvaćanje rizika, zapisnik radnji |
| 8. Zatvaranje i poboljšanje | Provesti analizu temeljnog uzroka, naučene lekcije i ažuriranja kontrola | Voditelj ISMS-a, CISO, interna revizija | A.5.27, ISO 27001 clause 10.2 | Izvješće o naučenim lekcijama, plan korektivnih radnji, ažurirani ISMS zapisi |
Cilj nije jamčiti ugodnu odluku. Možda ugodne odluke neće biti. Cilj je osigurati da odluka bude autorizirana, utemeljena na dokazima, pravno informirana i dokaziva.
Stolna vježba od 90 minuta koja dokazuje spremnost
Najjednostavniji način testiranja upravljanja plaćanjem otkupnine kod ransomwarea nije tehnička vježba crvenog tima. To je stolna vježba odlučivanja.
Koristite Zenith Blueprint, fazu Kontrole na djelu, korak 23, za provjeru sposobnosti upravljanja incidentima. Odaberite ransomware scenarij i provedite vremenski ograničenu vježbu. Cilj nije unaprijed odlučiti bi li organizacija platila ili nikada ne bi platila. Cilj je dokazati da organizacija može doći do upravljane odluke.
Scenarij: baza podataka klijenata hostirana u oblaku je šifrirana, napadač tvrdi da je izvršio iznošenje podataka, sigurnosne kopije postoje, ali njihova cjelovitost još nije testirana, osiguratelj nije obaviješten, a napadač daje adresu novčanika s rokom od 48 sati.
Kontrolni popis vježbe:
- Proglasiti incident i dodijeliti zapovjednika incidenta.
- Otvoriti dnevnik odluka o ransomwareu.
- Klasificirati događaj koristeći kriterije A.5.25.
- Identificirati pogođenu imovinu i poslovne usluge.
- Utvrditi jesu li uključeni osobni podaci.
- Pokrenuti radne tokove procjene prema GDPR, NIS2, DORA i ugovorima.
- Obavijestiti pravne poslove, DPO-a, izvršno rukovodstvo, osiguratelja i forenzičkog pružatelja usluga.
- Očuvati dokaze prije destruktivnih radnji oporavka.
- Provjeriti cjelovitost sigurnosnih kopija i mogućnosti obnove.
- Provesti provjeru sankcija prije bilo kakvih pregovora.
- Zabilježiti je li potrebna konzultacija s tijelima kaznenog progona.
- Izraditi privremene izjave za klijente i regulatora.
- Predstaviti opcije odluke izvršnom ovlaštenom tijelu.
- Zabilježiti odluku, obrazloženje, neslaganja, odobrenja i sljedeće radnje.
- Zakazati pregled nakon incidenta i radnje poboljšanja kontrola.
Ishod treba biti cjelovit paket dokaza: popis sudionika, vremenski slijed, klasifikacijski radni list, dnevnik odluka, nacrti komunikacija, pravne stavke za djelovanje, stavke za djelovanje osiguratelja, nalazi o sigurnosnim kopijama i naučene lekcije. Taj paket ima visoku revizijsku vrijednost jer pokazuje da upravljanje funkcionira prije stvarne krize.
Kako će revizori i regulatori testirati postupak
Revizori različitih profila ispitat će isti ransomware postupak kroz različite perspektive.
| Revizorska perspektiva | Što će tražiti | Kako izgledaju dobri dokazi |
|---|---|---|
| Revizor ISO 27001:2022 | Jesu li planiranje incidenata, procjena događaja, odgovor, dokazi, pravni zahtjevi i naučene lekcije kontrolirani? | Plan odgovora na incidente, mapiranje SoA, registar rizika, zapisi stolnih vježbi, postupak za dokaze, dnevnici odluka, ishodi preispitivanja sustava od strane uprave |
| ISMS revizor u stilu ISO/IEC 27007 | Razumiju li ljudi svoje uloge i mogu li zapisi dokazati provedbu? | Intervjui s CISO-om, pravnim poslovima, DPO-om, SOC-om i izvršnim rukovoditeljima, uz uzorkovane prijave incidenata i zapise eskalacije |
| Procjenitelj usklađen s NIST-om | Jesu li upravljanje, otkrivanje, odgovor, komunikacije i ishodi oporavka integrirani? | CSF profil, registar rizika, pravila praćenja, kriteriji proglašenja incidenta, komunikacije s dionicima, provjera oporavka |
| Revizor COBIT 2019 ili ISACA | Postoji li vlasništvo uprave, kontrola procesa, dostatnost dokaza i kontinuirano poboljšanje? | RACI, procesne metrike, izvješćivanje o usklađenosti, pregled nakon incidenta, praćenje korektivnih radnji |
| Revizor usmjeren na DORA | Jesu li IKT incidenti klasificirani, eskalirani, prijavljeni, oporavljeni i poboljšani u okviru IKT rizika? | Kriteriji klasifikacije incidenata, izvješćivanje upravljačkom tijelu, dokazi komunikacije s klijentima, analiza temeljnog uzroka, testiranje otpornosti |
| Revizor GDPR/privatnosti | Je li procjena povrede osobnih podataka bila pravodobna, temeljena na riziku i dokumentirana? | Obrazac procjene povrede, uključenost DPO-a, odluka o nadzornom tijelu, obrazloženje komunikacije s ispitanicima, zapisi o kontekstu obrade |
Zenith Controls pruža detaljnu revizijsku metodologiju za A.5.24, A.5.25 i A.5.31. Za A.5.24 revizori pregledavaju plan odgovora na incidente, klasifikacije ozbiljnosti, uloge, popise kontakata, upute za regulatorno izvješćivanje, vježbe i aranžmane s vanjskim partnerima. Za A.5.25 pregledavaju postoje li kriteriji klasifikacije događaja, pokazuju li zapisi obrade upozorenja istragu i odluke o eskalaciji, koriste li se SIEM i obavještajni podaci o prijetnjama te jesu li DPO ili pravni timovi uključeni kada osobni podaci mogu biti pogođeni. Za A.5.31 revizori traže pravne registre, mapiranje usklađenosti, dokaze pregleda, obuhvat interne revizije i izvješćivanje višem rukovodstvu.
Revizijski rizik nije samo to je li organizacija platila ili odbila platiti. Revizijski rizik je da nitko ne može dokazati kako je odluka donesena.
Od iznude do poboljšanja kontrola
Upravljanje ransomwareom ne završava kada se sustavi obnove. ISO 27001 očekuje kontinuirano poboljšanje. A.5.27 učenje iz incidenata informacijske sigurnosti središnje je za to očekivanje. DORA zahtijeva analizu temeljnog uzroka i dodatne kontrole. Završno izvješćivanje prema NIS2 očekuje mjere ublažavanja i vjerojatni temeljni uzrok kada je primjenjivo. Odgovornost prema GDPR-u očekuje dokumentiranje odluka i zaštitnih mjera.
Svaki pregled nakon ransomware incidenta treba odgovoriti na sljedeće:
- Jesu li rokovi izvješćivanja ispravno identificirani?
- Je li ovlast za odlučivanje funkcionirala kako je osmišljeno?
- Jesu li pravni pregled i provjera sankcija provedeni dovoljno rano?
- Je li koordinacija s osigurateljem pomogla ili odgodila odgovor?
- Jesu li sigurnosne kopije bile potpune, odvojene, obnovljive i testirane?
- Jesu li zapisi bili dostatni za procjenu pristupa i iznošenja podataka?
- Jesu li dobavljači odgovorili prema ugovoru?
- Jesu li komunikacije s klijentima bile točne i pravodobne?
- Jesu li izvršni rukovoditelji dobili prave informacije u pravo vrijeme?
- Koje se kontrole, politike, ugovori ili osposobljavanje moraju promijeniti?
Ti odgovori trebaju ažurirati registar rizika, Izjavu o primjenjivosti, plan odgovora na incidente, strategiju sigurnosnog kopiranja, ugovore s dobavljačima, komunikacijski plan i program osposobljavanja.
U fazi Temelji ISMS-a i vodstvo, korak 5, Zenith Blueprint naglašava planiranje vanjske komunikacije, uključujući identificiranje klijenata, regulatora, partnera i javnosti, određivanje što i kada komunicirati te definiranje tko komunicira. Za ransomware taj korak postaje most između tehničkog odgovora i očuvanja povjerenja.
Izgradite zapis odluke prije poruke o otkupnini
Najbolje vrijeme za upravljanje odlukom o otkupnini jest prije nego što napadač postavi rok.
Ako vaše operativne upute za ransomware ne definiraju ovlast odlučivanja, pravni pregled, provjeru sankcija, odobrenje osiguratelja, očuvanje dokaza, klasifikaciju prema NIS2 i DORA, procjenu povrede prema GDPR-u i dokumentaciju na razini uprave, organizacija ima prazninu u upravljanju koja čeka krizu.
Clarysec pomaže organizacijama izgraditi tu sposobnost u ISMS koristeći:
- Zenith Blueprint: revizorov plan u 30 koraka za faznu implementaciju ISO 27001, obradu rizika, planiranje komunikacije i provjeru sposobnosti za incidente.
- Zenith Controls: vodič za međuregulatornu usklađenost za mapiranje kontrola ISO 27001 na NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 i revizijske dokaze.
- Clarysec korporativne i SME politike, uključujući Politika odgovora na incidente, Politika odgovora na incidente - SME, Politika prikupljanja dokaza i forenzike, Politika prikupljanja dokaza i forenzike - SME, Politika uloga i odgovornosti u upravljanju, Politika uloga i odgovornosti u upravljanju - SME i Politika upravljanja rizicima.
- Praktične predloške stolnih vježbi za ransomware, dnevnike odluka, matrice pravne eskalacije, pakete dokaza i radne listove za međuregulatorno izvješćivanje.
Ne čekajte poziv u 3 ujutro da otkrijete tko može odlučiti. Pregledajte svoj plan odgovora na incidente u odnosu na Clarysecovih pet kontrolnih točaka, provedite 90-minutnu stolnu vježbu plaćanja otkupnine kod ransomwarea i izgradite zapis odluke usklađen sa sankcijskim režimima i spreman za reviziju, koji može izdržati provjeru regulatora, osiguratelja i vlastite uprave.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council