Dijeljenje obavještajnih podataka o prijetnjama uz ISO 27001 u 2026.

U utorak u 07:40 Maria, CISO brzorastuće europske platne platforme, prima bilten visoke pouzdanosti od ISAC-a za financijske usluge. Kampanja krađe vjerodajnica cilja pružatelje platnih usluga koji koriste određenu integraciju pružatelja identiteta. Sigurnosna obavijest uključuje command-and-control domene, sumnjive nazive OAuth aplikacija, nizove user-agent, uočene taktike i preporuku za periodičnu promjenu tajni za pogođene tenant-e.
U roku od nekoliko minuta poslovanje počinje postavljati pitanja koja definiraju dijeljenje obavještajnih podataka o kibernetičkim prijetnjama u 2026.
SOC želi odmah unijeti pokazatelje u SIEM. Pravna služba pita smije li društvo vlastitu telemetriju podijeliti natrag s ISAC-om. DPO pita uključuju li IP adrese, korisnička imena, izvatci iz prijava, zapisnici autentifikacije ili pojedinosti o krajnjim uređajima osobne podatke. COO želi znati moraju li se upozoriti klijenti. CEO, netom nakon obuke rukovodstva o NIS2, prosljeđuje upozorenje uz dvije riječi: „Naš plan?”
Zatim voditelj usklađenosti postavlja najvažnije pitanje: „Ako nadzorno tijelo idući mjesec zatraži objašnjenje, možemo li dokazati da je naše dijeljenje obavještajnih podataka o kibernetičkim prijetnjama bilo zakonito, odobreno, korisno i kontrolirano?”
To je nova stvarnost. DORA je iz faze roka za implementaciju prešla u fazu nadzorne provjere. NIS2 je iz projekata spremnosti prešao u operativnu suradnju. GDPR se i dalje primjenjuje, čak i kada su podaci sigurnosna telemetrija. Dijeljenje obavještajnih podataka o prijetnjama više nije neformalna razmjena na Slacku između sigurnosnih timova. To je upravljana aktivnost koja uključuje povjerljivost, minimizaciju osobnih podataka, odobrenja za otkrivanje, zapise, očekivanja regulatora i revizijske dokaze.
Za CISO-e, voditelje usklađenosti, revizore i vlasnike poslovnih procesa pitanje nije treba li sudjelovati u aranžmanima za dijeljenje obavještajnih podataka o kibernetičkim prijetnjama. Pravo je pitanje kako dijeliti dovoljno brzo da se pomogne obrani, a pritom spriječiti nezakonito otkrivanje, povrede povjerljivosti klijenata, curenje konkurentski osjetljivih informacija, nekontroliranu objavu ranjivosti i nedostatne dokaze.
ISO/IEC 27001:2022 upravljačka je okosnica koja to omogućuje. Ne kao certifikat na zidu, nego kao sustav upravljanja koji dijeljenje obavještajnih podataka o kibernetičkim prijetnjama pretvara u ponovljiv, dokaziv operativni model usklađen s GDPR-om.
Zašto se dijeljenje obavještajnih podataka o kibernetičkim prijetnjama promijenilo u 2026.
Prvi val pripreme za DORA i NIS2 bio je usmjeren na opseg, rokove za prijavu incidenata, IKT rizik trećih strana, odgovornost upravnog odbora i analize nedostataka. Taj je rad bio nužan, ali regulatori i klijenti sada postavljaju operativnija pitanja:
- U kojim ISAC-ovima, CERT-ovima, CSIRT-ovima, forumima dobavljača ili pouzdanim zajednicama sudjelujete?
- Tko je ovlašten predstavljati organizaciju prema van?
- Kako odlučujete što se smije dijeliti?
- Kako sprječavate otkrivanje osobnih podataka, klijentskih tajni, pojedinosti o ranjivostima i osjetljive arhitekture?
- Kako ulazni obavještajni podaci o prijetnjama ažuriraju pravila praćenja, prioritete zakrpavanja, registre rizika, operativne upute za incidente, preglede dobavljača i testove otpornosti?
- Gdje su dokazi?
DORA je osobito izravna za financijske subjekte. Digitalnu operativnu otpornost tretira kao sustav upravljanja IKT rizicima u nadležnosti upravnog odbora, a ne kao IT kontrolni popis. DORA se primjenjuje od 17. siječnja 2025., pa se u 2026. mnogi financijski subjekti ocjenjuju prema tome funkcioniraju li njihovi procesi u praksi.
DORA Article 45 dopušta razmjenu informacija i obavještajnih podataka o kibernetičkim prijetnjama među financijskim subjektima kada je svrha jačanje digitalne operativne otpornosti. Dijeljenje se treba odvijati unutar pouzdanih zajednica i prema aranžmanima koji štite osjetljive poslovne informacije, osobne podatke, povjerljivost, intelektualno vlasništvo i granice prava tržišnog natjecanja. Jednostavno rečeno, DORA ne znači „dijelite sve”. Znači „dijelite sigurno, promišljeno i pod kontroliranim uvjetima”.
NIS2 stvara sličan pritisak izvan financijskog sektora. Primjenjuje se na mnoge bitne i važne subjekte u visoko kritičnim i drugim kritičnim sektorima, uključujući digitalnu infrastrukturu, pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga, pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnih centara, internetska tržišta, internetske tražilice, platforme društvenih mreža, bankarstvo i infrastrukture financijskog tržišta. NIS2 Article 20 upravljačka tijela čini odgovornima za odobravanje mjera upravljanja rizicima kibernetičke sigurnosti, nadzor njihove provedbe i pohađanje obuke. Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere, uključujući analizu rizika, upravljanje incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, upravljanje ranjivostima, procjenu učinkovitosti, kibernetičku higijenu, obuku, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom, MFA i sigurne komunikacije. Article 23 zahtijeva fazno prijavljivanje značajnih incidenata, uključujući rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata i završno izvješće najkasnije mjesec dana nakon obavijesti o incidentu.
GDPR dodaje ograničenje privatnosti. Osobni podaci uključuju svaku informaciju koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati. Sigurnosni zapisnici, IP adrese, korisnička imena, adrese e-pošte, nazivi krajnjih uređaja, događaji autentifikacije, prijave podršci, uzorci zlonamjernog softvera, snimke zaslona i bilješke istrage prijevara mogu biti osobni podaci. GDPR zahtijeva zakonitu, poštenu, transparentnu, svrhovito ograničenu, minimiziranu, točnu, vremenski ograničenu i sigurnu obradu. Zahtijeva i odgovornost, što znači da organizacija mora moći dokazati usklađenost.
Rezultat je upravljački problem. Dijeljenje obavještajnih podataka o prijetnjama mora biti dovoljno brzo da poboljša obranu, dovoljno kontrolirano da zadovolji nadzorna tijela i dovoljno disciplinirano da izbjegne povrede privatnosti i povjerljivosti.
ISO 27001 kao središte usklađenosti za dijeljenje obavještajnih podataka o prijetnjama
ISO/IEC 27001:2022 dobro odgovara ovom izazovu jer počinje kontekstom, zainteresiranim stranama, opsegom, rizikom, vodstvom, operativnom kontrolom, praćenjem, unutarnjom revizijom, preispitivanjem od strane uprave i kontinuiranim poboljšanjem.
Točke 4.1 do 4.4 zahtijevaju da organizacije razumiju unutarnja i vanjska pitanja, identificiraju zainteresirane strane i njihove zahtjeve, definiraju opseg ISMS-a i održavaju sustav upravljanja. Za organizaciju obuhvaćenu DORA ili NIS2, zainteresirane strane mogu uključivati nadležna tijela, CSIRT-ove, klijente, pružatelje IKT usluga, ISAC-ove, sektorske skupine, izvršitelje obrade, voditelje obrade, osiguratelje, internu reviziju i upravni odbor.
Točke 5.1 do 5.3 zahtijevaju predanost vodstva, smjer politike, odgovornost, resurse i dodijeljene odgovornosti. To je važno jer dijeljenje obavještajnih podataka o prijetnjama ne uspijeva kada se prepusti neformalnoj tehničkoj prosudbi. Ako SOC analitičar, pravni savjetnik, DPO, CISO, voditelj odnosa s javnošću i vlasnik poslovnog procesa primjenjuju različite pretpostavke, organizacija će ili podijeliti previše, zakočiti se ili odgovoriti prekasno.
Točke 6.1.1 do 6.1.3 regulatorno pitanje pretvaraju u procjenu rizika, obradu rizika, odabir kontrola, odluke u Izjavi o primjenjivosti, planove obrade rizika i prihvaćanje preostalog rizika. Tipični rizici dijeljenja obavještajnih podataka o prijetnjama uključuju:
- Osobne podatke podijeljene bez pravne osnove ili minimizacije.
- Povjerljive informacije klijenata otkrivene forumu.
- Pojedinosti o ranjivosti objavljene prije nego što je dostupna mjera ublažavanja.
- Pokazatelje koji su zaprimljeni, ali nikada nisu provedeni u operativne kontrole.
- Sudjelovanje u ISAC-u koje nije odraženo u odgovoru na incidente, zapisivanju događaja, upravljanju ranjivostima ili riziku dobavljača.
- Nedostatak dokaza o tome tko je odobrio otkrivanje i zašto.
- Rizik povrede prava tržišnog natjecanja zbog dijeljenja komercijalno osjetljivih tržišnih informacija.
- Nedosljedne regulatorne i klijentske komunikacije tijekom značajnog incidenta.
Točka 8.1 zatim zahtijeva implementaciju i kontrolu planiranih procesa, uz dokumentirane informacije dostatne za dokazivanje da su procesi provedeni kako je planirano. Točke 9 i 10 zahtijevaju praćenje, mjerenje, unutarnju reviziju, preispitivanje od strane uprave, postupanje s nesukladnostima, korektivne radnje i kontinuirano poboljšanje. Ukratko, ISO/IEC 27001:2022 pretvara dijeljenje obavještajnih podataka o kibernetičkim prijetnjama u operativni model koji se može revidirati.
Dvije ISO kontrole koje omogućuju učinkovito dijeljenje
Clarysecov Zenith Blueprint: revizorov plan u 30 koraka Zenith Blueprint obrađuje ovu temu u fazi Kontrole u praksi, Step 22: Organizational controls. Dvije kontrole ISO/IEC 27002:2022 ključne su: 5.6, Kontakt s posebnim interesnim skupinama, i 5.7, Obavještajni podaci o prijetnjama.
Zenith Blueprint jasno navodi da sudjelovanje u ISAC-u nije simbolično umrežavanje:
Sudjelovanje u takvim skupinama nije simbolična gesta. To je strateško ulaganje u obavještajne podatke, suradnju i zajedničku otpornost.
Za kontrolu 5.6, posebne interesne skupine mogu uključivati nacionalne ili sektorske mreže za obavještajne podatke o kibernetičkim prijetnjama, ISAC-ove, regulatorne forume, sigurnosne savjetodavne skupine dobavljača, zajednice otvorenog koda i akademske radne skupine. Međutim, vanjsko dijeljenje mora biti namjerno, zakonito i odobreno. Zenith Blueprint dodaje očekivanje zrelosti:
Zrele implementacije ISMS-a tretiraju sudjelovanje u SIG-u kao upravljanu aktivnost, a ne kao neformalnu korist.
To znači vođenje registra skupina i foruma kojima se organizacija pridružila, imenovanje službenih sudionika, bilježenje zapisnika ili sažetaka te integraciju uvida u interne preglede ili ažuriranja kontrola.
Kontrola 5.7 pretvara vanjske informacije u djelovanje. Zenith Blueprint navodi:
Organizacija se ne može obraniti od onoga što ne razumije.
Također upozorava na pogrešno poistovjećivanje feedova zakrpa s obavještajnim podacima o prijetnjama. Stvarni obavještajni podaci uključuju profiliranje aktera prijetnje, taktike, tehnike i postupke, pokazatelje kompromitacije, sektorska upozorenja, kontekst ranjivosti i strateški poslovni utjecaj. Korisni obavještajni podaci povezuju interno praćenje, vanjska partnerstva, odnose s CERT-om ili ISAC-om, komercijalne feedove i otvorene izvore, ali samo kada ih netko pregledava, prioritizira i prevodi u djelovanje.
Clarysecov Zenith Controls: vodič za višestruku usklađenost Zenith Controls dodatno potvrđuje vrijednost za višestruku usklađenost. Mapira kontrolu 5.6 kao preventivnu i korektivnu, koja podržava povjerljivost, cjelovitost i dostupnost, pri čemu je upravljanje primarna operativna sposobnost. Povezuje 5.6 s 5.7 Obavještajni podaci o prijetnjama, 5.5 Kontakt s tijelima, 5.31 Pravni, zakonski, regulatorni i ugovorni zahtjevi i 8.8 Upravljanje tehničkim ranjivostima. Kontrolu 5.7 mapira kao preventivnu, detektivnu i korektivnu, povezanu s Identify, Detect i Respond, uz operativnu sposobnost upravljanja prijetnjama i ranjivostima.
Poruka je jednostavna: zreo program dijeljenja obavještajnih podataka o kibernetičkim prijetnjama ima dvije polovice. Prvo, kontrolirane odnose. Drugo, kontroliranu uporabu onoga što je primljeno i podijeljeno.
Praktičan operativni model za upravljano dijeljenje
Dokaziv operativni model za 2026. treba odgovoriti na šest pitanja prije nego što se podijeli prvi pokazatelj.
| Upravljačko pitanje | Praktičan odgovor | Dokazi koje revizori očekuju |
|---|---|---|
| Tko smije sudjelovati? | Imenovane uloge, odobreni forumi, zamjenski kontakti, ograničenja ovlasti | Registar SIG-a i ISAC-a, zapisi o imenovanju, opisi uloga |
| Što se smije primati? | Izvješća o prijetnjama, IOC-ovi, TTP-ovi, obavijesti o ranjivostima, sektorska upozorenja | Dnevnik zaprimanja, klasifikacija izvora, pravila postupanja |
| Što se smije dijeliti? | Sanitizirani pokazatelji, neatributivni obrasci, odobrene sigurnosne obavijesti, činjenice prikladne za regulatora | Zapis odobrenja otkrivanja, pregled minimizacije, odobrenje pravne službe ili DPO-a |
| Kako se obavještajni podaci koriste? | SIEM pravila, EDR blokade, prioritizacija ranjivosti, ažuriranja registra rizika, izmjene operativnih uputa | Zahtjevi za promjene, detekcijska pravila, ažuriranja rizika, zapisnici sastanaka |
| Kako se štiti privatnost? | Minimizacija podataka, pseudonimizacija, redigiranje, provjera pravne osnove, ograničenja zadržavanja | DPIA ili pregled privatnosti, predložak za dijeljenje, evidencija zadržavanja |
| Kako se pregledava učinkovitost? | Metrike, stolne vježbe, nalazi revizije, preispitivanje od strane uprave | KPI-jevi, naučene lekcije iz incidenata, izvješće unutarnje revizije, korektivne radnje |
Clarysec to obično implementira kao jednostavan, ali formalan radni tok:
- Zaprimiti i klasificirati obavještajne podatke.
- Provjeriti relevantnost za imovinu, dobavljače, usluge, geografska područja i klijente.
- Pretvoriti obavještajne podatke u radnje, kao što su pravila praćenja, prijave ranjivosti, upozorenja korisnicima, upiti dobavljačima ili ažuriranja rizika.
- Odlučiti je li izlazno dijeljenje potrebno, zakonito, sigurno i dopušteno pravilima članstva.
- Primijeniti redigiranje, agregaciju, pseudonimizaciju ili anonimizaciju.
- Ishoditi potrebna odobrenja.
- Podijeliti putem odobrenog kanala.
- Evidentirati što je podijeljeno, s kime, zašto, kada i na temelju čije ovlasti.
- Pregledati ishode i ažurirati kontrole.
Time se sprječavaju dvije klasične pogreške: sigurnosni tim prima korisne obavještajne podatke, ali se ništa ne mijenja, ili sigurnosni tim dijeli korisne obavještajne podatke, ali stvara pravnu, ugovornu ili privatnosnu izloženost.
DORA Article 45: kontrolirano dijeljenje bez gubitka povjerljivosti
Za financijske subjekte DORA Article 45 treba pretočiti u interni standard za dijeljenje obavještajnih podataka o kibernetičkim prijetnjama. Praktično tumačenje uključuje pet uvjeta.
Prvo, svrha mora biti otpornost. Dijeljenje treba pomoći u sprječavanju, otkrivanju, odgovoru na kibernetičke prijetnje ili oporavku od njih. Ne smije skrenuti u cijene, popise klijenata, tržišnu strategiju ili komercijalno osjetljive informacije.
Drugo, zajednica mora biti pouzdana. To znači jasna pravila članstva, obveze povjerljivosti, sigurne kanale, kontrole pristupa i ograničenja daljnjeg otkrivanja. ISO/IEC 27010:2015 podržava sigurnu razmjenu informacija u zajednicama povjerenja, uključujući pravila povjerljivosti, uzajamnost i pouzdane komunikacijske kanale. ISO/IEC 27032:2023 podržava dijeljenje informacija o kibernetičkoj sigurnosti i situacijsku svijest. ISO/IEC 27035-2:2023 povezuje dijeljenje informacija s planiranjem odgovora na incidente, uključujući sudjelovanje u CERT-ovima i industrijskim skupinama.
Treće, osjetljive informacije moraju biti zaštićene. To uključuje poslovne tajne, arhitekturne dijagrame, pojedinosti o ranjivostima, vjerodajnice, identifikatore klijenata i osobne podatke. Clarysecova SME Politika klasifikacije i označavanja podataka Politika klasifikacije podataka i označavanja - SME navodi:
Vanjsko dijeljenje mora biti izričito ovlašteno i evidentirano u zapisima dnevnika.
Ta je rečenica kontrolno načelo iza radnog toka prema DORA Article 45. Organizacija mora znati koja se klasifikacija primjenjuje, tko je odobrio objavu i gdje se čuva zapis.
Četvrto, osobni podaci moraju biti minimizirani. Korporativna Politika zaštite podataka i privatnosti Politika zaštite podataka i privatnosti navodi:
Smiju se prikupljati i obrađivati samo podaci potrebni za određenu, legitimnu poslovnu svrhu.
SME ekvivalent, Politika zaštite podataka i privatnosti - SME Politika zaštite podataka i privatnosti - SME, navodi:
Moraju se prikupljati i zadržavati samo minimalni potrebni osobni podaci
To je važno jer obavještajni podaci o prijetnjama često navode timove da kopiraju sirove zapisnike u vanjske kanale. Umjesto toga, trebaju dijeliti samo ono što primatelju treba, primjerice zlonamjernu domenu, hash vrijednost, raspon vremenskih oznaka, opći obrazac ili pseudonimiziranu referencu predmeta.
Peto, organizacija mora čuvati dokaze. DORA se temelji na dokumentiranom upravljanju IKT rizicima, klasifikaciji incidenata, izvješćivanju, testiranju, upravljanju trećim stranama i odgovornosti rukovodstva. Ako dijeljenje utječe na odgovor na incidente, scenarij testa otpornosti ili odluku o riziku dobavljača, to mora biti vidljivo u zapisima ISMS-a.
Suradnja prema NIS2: od pravnog opsega do operativnih odnosa
NIS2 širi raspravu izvan financijskih subjekata. Primjenjuje se na temelju sektora, veličine i kritičnosti, a na određene subjekte može se primjenjivati i neovisno o veličini, kao što su pružatelji usluga povjerenja, pružatelji DNS usluga, registri TLD-a, kritični subjekti i usluge registracije naziva domena.
Za dijeljenje obavještajnih podataka o prijetnjama ključna je lekcija upravljanje. Article 20 upravljačka tijela čini odgovornima za odobravanje i nadzor mjera upravljanja rizicima kibernetičke sigurnosti. Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere. Article 23 zahtijeva fazno izvješćivanje za značajne incidente.
Dijeljenje obavještajnih podataka o prijetnjama presijeca se sa svime navedenim. Ako sigurnosna obavijest ISAC-a pokaže da se iskorištava upravljana usluga dobavljača, očekivanja iz Article 21 u vezi s opskrbnim lancem postaju relevantna. Ako obavještajni podaci ukazuju na značajan incident u tijeku, mogu se aktivirati radni tokovi izvješćivanja prema Article 23 i komunikacije s klijentima. Ako značajna kibernetička prijetnja može utjecati na primatelje usluga, organizaciji je potreban kontrolirani postupak upozoravanja.
Zenith Blueprint obrađuje to u fazi ISMS Foundation and Leadership, Step 5, Communication, Awareness, and Competence. Preporučuje planiranje vanjske komunikacije koje identificira klijente, regulatore, partnere i javnost, a zatim definira što se komunicira, kada, tko komunicira i uz koje odobrenje. Navodi praktičan primjer postupka komunikacije o incidentu u kojem CISO izrađuje obavijest, pravna služba je pregledava, a CEO odobrava prije slanja.
SME Politika odgovora na incidente Politika odgovora na incidente - SME navodi:
Glavni direktor (GM) odgovoran je za odobravanje svih odluka o eskalaciji incidenta, regulatornih obavijesti i vanjskih komunikacija.
Za veće organizacije korporativna Politika odgovora na incidente Politika odgovora na incidente uspostavlja dokaznu osnovu:
Svi incidenti moraju se evidentirati u sustavu za upravljanje sigurnosnim incidentima (SIMS), uključujući:
Kada obavještajni podaci o prijetnjama postanu incident, upozorenje klijentima, obavijest regulatoru ili vanjska sigurnosna obavijest, ne smiju ostati samo u pretincima e-pošte i chat nitima. Pripadaju u sustav upravljanja incidentima s klasifikacijom, radnjama, odobrenjima, dokazima i naučenim lekcijama.
Otkrivanje usklađeno s GDPR-om: dijeljenje obavještajnih podataka, a ne nepotrebnih osobnih podataka
GDPR dopušta sigurnosne operacije, ali ne stvara slobodnu zonu za nekontrolirano dijeljenje telemetrije. Mnogi artefakti obavještajnih podataka o prijetnjama mogu sadržavati osobne podatke:
- IP adrese povezane s korisničkom aktivnošću.
- Adrese e-pošte korištene u pokušajima phishinga.
- Korisnička imena, nazivi uređaja, identifikatori krajnjih uređaja ili identifikatori tenant-a klijenata.
- Zapisnici autentifikacije.
- Prijave podršci.
- Snimke zaslona.
- Bilješke istrage prijevara.
- Uzorci zlonamjernog softvera koji sadržavaju dokumente ili osobne datoteke.
- Izvješća o ranjivostima koja uključuju izloženost podataka klijenata.
U Clarysecovu modelu svaka odluka o izlaznom dijeljenju prolazi kroz filtar privatnosti i povjerljivosti.
| Filtar | Pitanje za odluku | Tipična kontrolna radnja |
|---|---|---|
| Svrha | Je li dijeljenje potrebno za kibernetičku obranu, pravno izvješćivanje ili koordinirano ublažavanje? | Zabilježiti svrhu u dnevnik dijeljenja |
| Pravna osnova | Postoji li dokumentirana pravna osnova ili pravna obveza? | Dodati pregled pravne službe ili DPO-a za osobne podatke |
| Minimizacija | Može li se isti rezultat postići s manje polja? | Ukloniti korisnička imena, e-poštu, bilješke u prijavama, nazive klijenata |
| Pseudonimizacija | Mogu li se identifikatori zamijeniti ID-jevima predmeta ili tokenima? | Interno čuvati mapiranje s ograničenim pristupom |
| Povjerljivost | Otkriva li sadržaj arhitekturu, pojedinosti o ranjivostima ili klijentske tajne? | Klasificirati kao povjerljivo ili visoko povjerljivo i ograničiti dijeljenje |
| Zadržavanje | Koliko dugo treba zadržati podijeljeni zapis i dokaz odobrenja? | Primijeniti pravilo zadržavanja i pregled brisanja |
U Zenith Controls, kontrola ISO/IEC 27002:2022 5.34, Privatnost i zaštita PII, mapirana je kao preventivna i povezana s klasifikacijom, popisom imovine, maskiranjem podataka, sigurnošću oblaka, prijenosom informacija, kontrolom pristupa, upravljanjem identitetom i pregledom projekta ili promjene. Također se mapira na GDPR Articles 25 i 32 kroz ugrađenu zaštitu privatnosti, sigurnost obrade, šifriranje, pseudonimizaciju, kontrolu pristupa i dokazivo upravljanje. Potporni standardi uključuju ISO/IEC 27701:2021 za upravljanje informacijama o privatnosti, ISO/IEC 27018:2019 za zaštitu osobnih podataka (PII) u okruženjima javnog oblaka kod izvršitelja obrade i ISO/IEC 29100:2011 za načela privatnosti.
Za dijeljenje obavještajnih podataka o prijetnjama DPO i sigurnosni tim ne bi se trebali prvi put susresti tijekom krize. Trebaju unaprijed odobriti obrasce, predloške, pravila redigiranja i pragove eskalacije.
Praktičan primjer: ISAC upozorenje postaje otpornost temeljena na dokazima
Vratimo se na Marijinu platnu platformu. Sigurnosna obavijest ISAC-a uključuje zlonamjerne domene, sumnjive nazive OAuth aplikacija, nizove user-agent i napomenu da je nekoliko članova uočilo pokušaje preuzimanja računa usmjerene na korisnike u financijskim operacijama. Društvo u vlastitim zapisnicima pronalazi i tri sumnjiva pokušaja prijave.
Ovo je način na koji bi Clarysec operacionalizirao odgovor koristeći ISO/IEC 27001:2022, Zenith Blueprint, Zenith Controls i paket politika.
| Korak | Radnja | Vlasnik | Dokaz ili poveznica s kontrolom |
|---|---|---|---|
| 1. Evidentirati zaprimanje | Zabilježiti izvor, datum, razinu pouzdanosti, imovinu, pogođenu tehnologiju i ograničenja postupanja | SOC analitičar | Dnevnik zaprimanja obavještajnih podataka o prijetnjama, kontrola ISO/IEC 27002:2022 5.7 |
| 2. Klasificirati | Označiti sigurnosnu obavijest kao Povjerljivo ili Visoko povjerljivo ako uključuje osjetljive pojedinosti članova | Voditelj sigurnosti | Zapis klasifikacije podataka, pravilo ovlaštenja za vanjsko dijeljenje |
| 3. Provjeriti relevantnost | Provjeriti produkcijsku uporabu integracije identiteta, izložene korisnike, OAuth dodjele, DNS, proxy, EDR i SIEM zapisnike | SOC i platformski tim | Bilješke trijaže, dokazi praćenja, pregled ranjivosti |
| 4. Pretvoriti u radnje | Dodati detekcije, pregledati dodjele, periodički promijeniti tajne po potrebi, poslati upit dobavljaču, ažurirati registar rizika | SOC, inženjering, vlasnik rizika | Zahtjevi za SIEM pravila, zapisi promjena, eskalacija dobavljaču |
| 5. Pregledati izlazno dijeljenje | Sirove nalaze svesti na vremenski prozor, obrazac, zlonamjernu domenu i vrstu pogođene uloge | CISO, pravna služba, DPO | Odobrenje otkrivanja, procjena minimizacije |
| 6. Dijeliti sigurno | Poslati samo odobrene obavještajne podatke putem šifriranog kanala ISAC-a | CISO ili delegirana osoba | Dnevnik dijeljenja, zapis kanala, vremenska oznaka odobrenja |
| 7. Poboljšati | Izvijestiti o metrikama i naučenim lekcijama na pregledu ISMS-a | CISO i GRC | Zapisnik preispitivanja uprave, korektivne radnje |
Izlazna poruka izvorno uključuje vremenske oznake, izvorišne IP adrese, ciljana korisnička imena, identifikatore tenant-a klijenata i snimke zaslona. Nakon pregleda DPO-a i pravne službe svodi se na:
- Vremenski prozor u UTC-u.
- Obrazac napada.
- Uočenu zlonamjernu domenu.
- Opću vrstu pogođene uloge, primjerice korisnici u financijskim operacijama.
- Bez korisničkih imena.
- Bez identifikatora tenant-a klijenata.
- Bez snimki zaslona.
- Bez naziva klijenata.
- Bez sirovih zapisnika, osim ako se zatraže putem kontroliranog kanala.
Ako aktivnost postane incident, preuzimaju kontrole iz Politike odgovora na incidente. Ako se prikupljaju forenzički artefakti, primjenjuje se Politika prikupljanja dokaza i forenzike - SME Politika prikupljanja dokaza i forenzike - SME:
Svaka stavka digitalnih dokaza mora se evidentirati s:
Politika se interno nastavlja na zahtjeve za metapodatke dokaza, ali revizijsko načelo je jasno: svaki artefakt koji se koristi za istragu, dijeljenje, izvješćivanje regulatoru ili komunikaciju s klijentima mora imati sljedivost.
Objava ranjivosti nije isto što i dijeljenje obavještajnih podataka o prijetnjama
Česta je pogreška tretirati objavu ranjivosti, obavijest o incidentu i dijeljenje obavještajnih podataka o prijetnjama kao isti proces. Preklapaju se, ali nisu istovjetni.
Dijeljenje obavještajnih podataka o prijetnjama može uključivati pokazatelje, taktike, sektorska upozorenja, ponašanje protivnika, mjere ublažavanja ili uočene pokušaje. Koordinirana objava ranjivosti uključuje konkretnu slabost u proizvodu ili usluzi, često s prijaviteljem, rokom ispravka, sigurnosnom obavijesti i odlukom o javnoj objavi. Obavijest o incidentu uključuje regulatorno ili ugovorno izvješćivanje o događaju koji utječe na usluge, podatke ili klijente.
Clarysec razdvaja te radne tokove, ali ih povezuje kroz ISMS. Korporativna Politika koordinirane objave ranjivosti Politika koordinirane objave ranjivosti navodi:
Koordinacija i otkrivanje: Organizacija mora koordinirati javnu objavu s prijaviteljem. Prema zadanim postavkama, nikakve pojedinosti o ranjivosti ne smiju se javno objaviti dok ispravak ili mjera ublažavanja nije dostupna ili barem u tijeku. Za kritične probleme kod kojih se ispravak ne može brzo isporučiti, organizacija može izdati sigurnosnu obavijest sa smjernicama za zaobilazno rješenje kako bi upozorila korisnike, uz savjetovanje s relevantnim tijelima kada je to potrebno. Od prijavitelja se očekuje da se suzdrži od javne objave dok organizacija ne da odobrenje ili ne objavi sigurnosnu obavijest. Kao opće pravilo, organizacija nastoji objaviti sigurnosnu obavijest u roku od 90 dana od zaprimanja izvješća ili u drugom međusobno dogovorenom roku, u skladu s industrijskom praksom, uključujući navođenje zasluga prijavitelja kada je dana privola.
Ista politika također navodi:
Povjerljivost: Do javne objave, sve informacije koje se odnose na prijavljenu ranjivost moraju se tretirati kao Visoko povjerljivo. Pojedinosti se interno smiju dijeliti samo prema načelu nužnog poznavanja s osobljem koje mora validirati ili otkloniti problem. Identitet prijavitelja mora ostati povjerljiv kada se to zatraži. Sve komunikacije s prijaviteljem trebaju biti šifrirane, uključujući uporabu PGP ključa organizacije, radi zaštite osjetljivih pojedinosti o ranjivosti.
To je ključno za DORA Article 45 i suradnju prema NIS2. Pouzdana zajednica može biti pravo mjesto za dijeljenje mjera ublažavanja ili visokorazinskih pokazatelja, ali ne nužno i pojedinosti o iskorištavanju, podataka specifičnih za klijenta ili informacija o nezakrpanim ranjivostima.
Vanjske komunikacije zahtijevaju istu disciplinu. Korporativna Politika društvenih mreža i vanjske komunikacije Politika društvenih mreža i vanjske komunikacije dodjeljuje odgovornost za pregled sadržaja kako bi se osigurala usklađenost sa zakonima koji uređuju povjerljivost, insajderska otkrivanja, intelektualno vlasništvo i klevetu. To je važno kada tehnička sigurnosna obavijest postane javna izjava, obavijest klijentima, ažuriranje internetske stranice ili poruka prema regulatoru.
Mapiranje višestruke usklađenosti: jedan radni tok, mnogo obveza
Snažan radni tok dijeljenja obavještajnih podataka o kibernetičkim prijetnjama treba zadovoljiti više okvira bez stvaranja dupliciranih procesa.
| Okvir | Što očekuje | Kako ga Clarysec mapira |
|---|---|---|
| ISO/IEC 27001:2022 | Kontekst, vodstvo, obrada rizika, operativna kontrola, dokumentirani dokazi, praćenje, revizija, kontinuirano poboljšanje | Opseg ISMS-a, registar rizika, Izjava o primjenjivosti, komunikacijski plan, unutarnja revizija, preispitivanje od strane uprave |
| Kontrole ISO/IEC 27002:2022 5.6 i 5.7 | Upravljani kontakt s posebnim interesnim skupinama i obavještajni podaci o prijetnjama koji se mogu pretvoriti u radnje | Registar SIG-a, zaprimanje obavještajnih podataka o prijetnjama, radni tok analize, ažuriranja detekcije, odobrenja dijeljenja |
| DORA Article 45 | Pouzdano dijeljenje obavještajnih podataka o kibernetičkim prijetnjama koje štiti povjerljivost, osobne podatke, poslovne tajne, IP i granice tržišnog natjecanja | Odobrene zajednice, uvjeti otkrivanja, pravni pregled i pregled DPO-a, sigurni kanali, zapisnici dokaza |
| NIS2 Articles 20, 21 i 23 | Nadzor upravnog odbora, mjere upravljanja rizicima kibernetičke sigurnosti, suradnja, upravljanje incidentima, sigurnost opskrbnog lanca, upravljanje ranjivostima, fazno izvješćivanje | Izvješćivanje upravnom odboru, komunikacije o incidentima, eskalacija dobavljaču, popis kontakata CSIRT-a, ažuriranja rizika vođena prijetnjama |
| GDPR Articles 5, 6, 25 i 32 | Zakonita, minimizirana, svrhovito ograničena, sigurna i odgovorna obrada osobnih podataka | Filtar privatnosti, redigiranje, pseudonimizacija, pravila zadržavanja, pregled DPO-a, dnevnik dijeljenja |
| NIST CSF 2.0 | Ishodi GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND i RECOVER uz pravne obveze i komunikacijske kanale | Organizational Profile, trenutačno i ciljno stanje, poboljšanja detekcije i odgovora, komunikacija s vanjskim dionicima |
| COBIT 2019 | Praćenje vanjskih zahtjeva, upravljanje sigurnosnim prijetnjama, vrednovanje djelotvornosti kontrola, upravljanje privatnošću | Praćenje usklađenosti, metrike prijetnji, izvješćivanje o upravljanju, usklađivanje programa privatnosti |
NIST CSF 2.0 koristan je kao neutralan organizacijski sloj jer njegova funkcija GOVERN obuhvaća dionike, pravne obveze, ovisnosti, apetit za rizik, uloge, politike i nadzor. Njegove funkcije DETECT i RESPOND očekuju praćenje, integraciju obavještajnih podataka o prijetnjama, proglašenje incidenta, očuvanje dokaza, obavješćivanje i vanjsku komunikaciju.
COBIT 2019 dodaje odgovornost rukovodstva. Prakse kao što su DSS05.04 Manage security threats, APO12 Manage risk, MEA03 Managed compliance with external requirements i APO13 Managed security pomažu revizorima provjeriti poboljšavaju li obavještajni podaci učinkovitost kontrola i izvješćivanje o upravljanju.
Kako će revizori testirati vaš program dijeljenja
Revizor ISO/IEC 27001:2022 počet će od sustava upravljanja. Pitat će kako su prema točkama 4.1 i 4.2 identificirani pravni, regulatorni i ugovorni zahtjevi te zahtjevi zainteresiranih strana. Provjerit će je li dijeljenje obavještajnih podataka o prijetnjama u opsegu, jesu li rizici procijenjeni, jesu li kontrole 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15 i 8.16 uključene ili opravdane u Izjavi o primjenjivosti te pokazuju li dokazi da je proces proveden kako je planirano.
Revizor ili nadzorno tijelo usmjereno na DORA tražit će upravljanje, odgovornost upravnog odbora, integraciju IKT rizika, klasifikaciju incidenata, testiranje otpornosti, implikacije za treće strane i uvjete iz Article 45. Pitat će je li sudjelovanje u aranžmanima za dijeljenje informacija dokumentirano, jesu li osjetljivi i osobni podaci zaštićeni, ažuriraju li obavještajni podaci okvir upravljanja IKT rizicima i utječu li na scenarije testiranja.
Pregledavatelj usmjeren na NIS2 fokusirat će se na nadzor upravnog odbora, mjere iz Article 21, upravljanje incidentima, ovisnosti o dobavljačima, upravljanje ranjivostima, komunikacije s klijentima ili primateljima usluga te suradnju s CSIRT-ovima ili nadležnim tijelima. Provjerit će je li threat intelligence povezan s procjenom značajnog incidenta i faznim izvješćivanjem.
Revizor privatnosti fokusirat će se na načela GDPR-a. Pitat će jesu li podijeljeni podaci bili osobni podaci, koja je pravna osnova primijenjena, je li provedena minimizacija, je li bila moguća pseudonimizacija ili redigiranje, je li zadržavanje bilo kontrolirano i može li organizacija dokazati odgovornost.
Dobri dokazi uključuju:
- Odobreni registar ISAC-a ili SIG-a.
- Imenovane sudionike i zamjenike.
- Uvjete članstva i obveze povjerljivosti.
- Dnevnik zaprimanja obavještajnih podataka o prijetnjama.
- Procjene trijaže i relevantnosti.
- Zahtjeve za inženjering detekcije.
- Promjene prioritizacije ranjivosti.
- Eskalacije rizika dobavljača.
- Zapise odobrenja otkrivanja.
- Bilješke DPO-a ili pregleda privatnosti.
- Redigirane izlazne poruke.
- Zapise o incidentima u SIMS-u.
- Evidencije lanca nadzora dokaza.
- Zapisnike preispitivanja uprave.
- Nalaze unutarnje revizije i korektivne radnje.
Uobičajene zamke koje Clarysec vidi u praksi
Najčešći je neuspjeh neformalno sudjelovanje. Sigurnosni inženjer pridruži se privatnom forumu, primi korisne obavještajne podatke i podijeli interna opažanja bez formalnog ovlaštenja. Namjera je dobra, ali revizijski trag je slab, a rizik povjerljivosti visok.
Drugi je neuspjeh pasivna potrošnja. Organizacija se pretplaćuje na feedove, sudjeluje u ISAC pozivima i prosljeđuje sigurnosne obavijesti, ali nitko ne može pokazati kako su obavještajni podaci promijenili kontrole. Obavještajni podaci o prijetnjama moraju ažurirati logiku detekcije, prioritete zakrpa, operativne upute, registre rizika, preglede dobavljača, kampanje podizanja svijesti ili testove otpornosti.
Treći je neuspjeh dijeljenje sirovih zapisnika. Timovi šalju snimke zaslona, SIEM izvoze, zaglavlja e-pošte ili paketne snimke prema van bez minimizacije. Time se mogu izložiti osobni podaci, identifikatori klijenata, interna imena hostova, tokeni ili povjerljiva arhitektura.
Četvrti je neuspjeh miješanje odnosa s javnošću s reguliranom komunikacijom. Objava na LinkedInu o trendu napada nije isto što i upozorenje klijentima, obavijest regulatoru, ažuriranje CSIRT-u ili koordinirana sigurnosna obavijest. Clarysec razdvaja te kanale, dodjeljuje vlasnike odobrenja i zahtijeva zapise.
Peti je neuspjeh zanemarivanje dobavljača. Mnoga upozorenja iz obavještajnih podataka odnose se na softver trećih strana, platforme u oblaku, pružatelje upravljanih usluga ili integracije identiteta. Prema DORA, NIS2, NIST CSF, COBIT 2019 i kontrolama dobavljača iz ISO/IEC 27002:2022, obavještajni podaci o prijetnjama moraju se ulijevati u upravljanje rizicima dobavljača.
Izgradite svoj paket za dijeljenje obavještajnih podataka o prijetnjama za 2026.
Većini organizacija nije potrebna teška samostalna birokracija. Potreban im je kompaktan upravljački paket koji funkcionira tijekom stvarnog incidenta. Clarysec preporučuje:
- Postupak dijeljenja obavještajnih podataka o prijetnjama.
- Registar odobrenih zajednica za dijeljenje.
- Obrazac zaprimanja i trijaže obavještajnih podataka o prijetnjama.
- Obrazac odobrenja izlaznog otkrivanja.
- Kontrolni popis za pregled privatnosti i povjerljivosti.
- Matricu vanjske komunikacije.
- Predložak sažetka ISAC sastanka.
- Pravila povezivanja dokaza i incidenata.
- Nadzornu ploču metrika.
- Plan testiranja unutarnje revizije.
Postupak treba upućivati na točke ISO/IEC 27001:2022 o upravljanju rizicima, komunikacijama, operativnoj kontroli, vrednovanju učinkovitosti, unutarnjoj reviziji i kontinuiranom poboljšanju. Treba se mapirati na kontrole ISO/IEC 27002:2022 5.6, 5.7, 5.31, 5.34, 5.24, 5.28, 8.8, 8.15, 8.16 i relevantne kontrole dobavljača. Također treba upućivati na DORA Article 45, obveze suradnje i komunikacije o incidentima prema NIS2 te načela GDPR-a.
Najvažnije je da mora biti upotrebljiv pod pritiskom. Ako proces zahtijeva sastanak 12 osoba prije dijeljenja zlonamjerne domene s pouzdanim ISAC-om, neće funkcionirati. Ako dopušta lijepljenje sirovih zapisnika klijenata u portal zajednice, također neće funkcionirati. Cilj je kontrolirana brzina.
Pretvorite dijeljenje obavještajnih podataka o prijetnjama u otpornost temeljenu na dokazima
Dijeljenje obavještajnih podataka o kibernetičkim prijetnjama u 2026. nije samo oznaka sigurnosne zrelosti. Za financijske subjekte povezano je s DORA Article 45 i digitalnom operativnom otpornošću. Za bitne i važne subjekte podržava suradnju prema NIS2, upravljanje incidentima, odgovor na ranjivosti, sigurnost dobavljača i upozoravanje primatelja usluga. Za svaku organizaciju koja obrađuje osobne podatke iz EU mora biti usklađeno s GDPR-om po dizajnu.
Clarysec pomaže organizacijama izgraditi taj operativni model bez usporavanja obrane. Povezujemo Zenith Blueprint Zenith Blueprint, paket politika i Zenith Controls Zenith Controls u funkcionalan ISMS proces: odobrene zajednice, jasne uloge, otkrivanje sigurno za privatnost, povezivanje s incidentima, zapisi dokaza, spremnost za reviziju i mapiranje preko više okvira.
Ako vaša organizacija sudjeluje u ISAC-u, prima kibernetičke sigurnosne obavijesti, dijeli pokazatelje s drugim organizacijama, izvješćuje nadležna tijela ili obrađuje objave ranjivosti, sada je vrijeme za formalizaciju radnog toka. Započnite jednosatnim pregledom trenutačnih aranžmana dijeljenja, a zatim ih mapirajte na ISO/IEC 27001:2022, DORA Article 45, NIS2 i GDPR.
Clarysec vam može pomoći izgraditi registar, točke politike, predloške odobrenja, model revizijskih dokaza i paket izvješćivanja upravi potreban da dijeljenje obavještajnih podataka o kibernetičkim prijetnjama bude brzo, zakonito i dokazivo.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


