Zsarolóvírus-kifizetések irányítása NIS2 és DORA szerint

2026-ban, egy hétköznap hajnali 3:17-kor Maria, egy gyorsan növekvő fintech platform CISO-ja a vezető SOC-elemző üzenete alapján csatlakozik a válságkezelési konferenciahíváshoz: a kiterjedt titkosítás megerősítve, az alapvető szolgáltatások nem működnek, és egy zsarolóvírus-csoport azt állítja, hogy 2 TB ügyféladatot lopott el.

Elsőként a vezérigazgató csatlakozik a híváshoz. Őt követi a jogi terület, majd az adatvédelmi terület, a pénzügy, a kommunikáció, a kiberbiztosító, egy forenzikus szolgáltató és a felhőüzemeltetési csapat. Egy dark webes portál 48 órás visszaszámlálást és hét számjegyű kriptovaluta-követelést mutat.

A vezérigazgató felteszi azt a kérdést, amelytől minden CISO tart.

„Fizethetünk, és ki jogosult dönteni?”

Hibás megközelítés ezt tárgyalási problémaként kezelni. Helyes megközelítés irányítási problémaként kezelni.

2026-ban a zsarolóvírus-kifizetési döntések irányítása már nem belső, technikai válságdöntés. Szabályozó hatóságok, auditorok, biztosítók, ügyfelek, bűnüldöző szervek, részvényesek és az igazgatóság is vizsgálhatják. Egy kifizetési döntés összekapcsolódik a szankciós kitettséggel, a személyesadat-sértés értékelésével, a kiberbiztosítási feltételekkel, a szerződéses kötelezettségekkel, a válságkommunikációval, a bizonyítékmegőrzéssel, a NIS2 szerinti szakaszos jelentéstétellel, a DORA szerinti incidensbesorolással, a GDPR szerinti értesítéssel és az incidens utáni fejlesztéssel.

Ezért javasolja a Clarysec ügyfeleinek, hogy a zsarolóvírus-kifizetési döntések irányítását még az incidens előtt építsék be az IBIR-be. Az ISO/IEC 27001:2022 biztosítja az irányítási rendszer struktúráját. Az ISO/IEC 27002:2022 kontrollok adják a működési modellt. A Zenith Blueprint: 30 lépéses auditori ütemterv és a Zenith Controls: keresztmegfelelési útmutató segít ezt a struktúrát gyakorlati, auditálható bizonyítékokká alakítani.

Nem elegendő egy olyan zsarolóvírus-forgatókönyv, amely csak annyit mond: „értesíteni kell a jogi területet”. A szervezetnek tudnia kell, ki engedélyezheti a tárgyalást, hogyan történik a szankcióellenőrzés, mikor szükséges a biztosító jóváhagyása, hogyan dokumentálják a GDPR, NIS2 és DORA szerinti besorolást, és hogyan védik a bizonyítékokat, miközben a helyreállítási csapatok nyomás alatt dolgoznak.

Miért vallanak kudarcot az eseti zsarolóvírus-kifizetési döntések

A zsarolóvírus-kifizetési döntést gyakran bináris döntésként írják le: fizetni vagy nem fizetni. Valójában a döntésnek legalább hat rétege van:

1. Megerősítették, elszigetelték és helyesen besorolták az eseményt?
2. Érintett-e személyes adat, szabályozott adat vagy kritikus szolgáltatásnyújtás?
3. A szervezet jogszerűen kommunikálhat-e vagy bonyolíthat-e tranzakciót a fenyegető szereplővel?
4. A kiberbiztosítás előír-e előzetes értesítést, jóváhagyott beszállítókat, hozzájárulást vagy meghatározott bizonyítékokat?
5. Csökkentené-e a kifizetés az üzleti hatást, vagy növelné a jogi, pénzügyi és reputációs kockázatot?
6. Ki rendelkezik döntési jogosultsággal, és hogyan rögzítik a döntést?

Éles incidens során az egymástól elszakadt csapatok gyakran eltérő irányba húznak. A CFO a növekvő kiesési időhöz képest üzleti költségként tekinthet a váltságdíjra. A jogi terület szankciós, pénzügyi bűnözési és szabályozói kitettséget lát. A DPO azt értékeli, hogy a titkosított vagy exfiltrált adatok bejelentésköteles személyesadat-sértést eredményeznek-e. A megfelelési terület a NIS2 és a DORA jelentéstételi határidőit figyeli. A CISO a bizonyítékok megőrzésére törekszik, miközben helyreállítja a szolgáltatásokat. A vezérigazgató ajánlást vár, mielőtt lejár a támadó visszaszámlálása.

Formális döntési folyamat nélkül a helyiség leghangosabb szereplője válhat az irányítási modellé. Pontosan ezt a helyzetet hivatott megelőzni a modern kiberbiztonsági szabályozás.

A NIS2 a kiberbiztonságot vezetői felelősséggé teszi. Az Article 20 az irányító testületek irányításával és elszámoltathatóságával foglalkozik, míg az Article 21 olyan kockázatkezelési intézkedéseket ír elő, amelyek lefedik az incidenskezelést, az üzletmenet-folytonosságot, a biztonsági mentések kezelését, a válságkezelést, az ellátási lánc biztonságát, a hozzáférés-szabályozást, az eszközkezelést, az MFA-t és az eredményesség értékelését. Az Article 23 szakaszos jelentéstételt hoz létre a jelentős incidensekre, beleértve a 24 órán belüli korai figyelmeztetést, a 72 órán belüli értesítést és adott esetben az egy hónapon belüli zárójelentést.

Pénzügyi szervezetek esetében a DORA az ágazatspecifikus operatív rezilienciára vonatkozó szabálykönyv. Az Article 5 az IKT-kockázatkezelésért való felelősséget az irányító testülethez rendeli. Az Articles 17, 18 és 19 az IKT-vonatkozású incidenskezeléssel, valamint a jelentős IKT-vonatkozású incidensek besorolásával és jelentésével foglalkozik. A DORA továbbá reagálási és helyreállítási képességeket, biztonsági mentést és helyreállítást, incidens utáni tanulást, tesztelést és IKT harmadik fél kockázatkezelést is megkövetel.

A GDPR különálló, de átfedő értékelést ad hozzá. Ha a zsarolóvírus személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy azokhoz való jogosulatlan hozzáférést okozza, az adatkezelőnek értékelnie kell, történt-e személyesadat-sértés. Ha értesítés szükséges, a felügyeleti hatóság felé irányadó határidő általában a tudomásszerzéstől számított 72 óra. Ha az érintettekre nézve magas kockázat áll fenn, az érintettek tájékoztatása is szükséges lehet.

A következtetés egyszerű: a váltságdíj kérdését nem a válsághelyiségben kell először feltenni.

A kifizetési irányítást megalapozó ISO 27001:2022 kontrollok

Az ISO/IEC 27001:2022 szerinti IBIR nem auditoroknak készült ellenőrzőlista. Olyan irányítási rendszer, amely a kockázatalapú döntéshozatalt támogatja. A zsarolóvírus-kifizetések irányítása ebbe a rendszerbe tartozik, mert egyesíti a kockázatértékelést, a kockázatkezelést, a szerepköröket, a jogi kötelezettségeket, az incidensreagálást, a folytonosságot, a beszállítókezelést és a folyamatos fejlesztést.

A legfontosabb ISO 27001:2022 Annex A kontrollok összekapcsolt kontroll-láncot alkotnak.

A Zenith Controls A.5.24-re, az információbiztonsági incidenskezelés tervezésére és előkészítésére vonatkozó szakasza a kontrollt helyesbítő kontrollként sorolja be, a bizalmassághoz, sértetlenséghez és rendelkezésre álláshoz kapcsolja, valamint a reagálási és helyreállítási koncepciókkal hozza összhangba. Az A.5.24-et összekapcsolja továbbá az A.5.25 eseményértékeléssel, az A.5.27 incidensekből való tanulással, az A.8.15 naplózással, az A.8.16 megfigyeléssel, az A.5.29 zavarhelyzeti biztonsággal, a folytonossággal és a hatóságokkal való kapcsolattartással.

Ez azért fontos, mert a zsarolóvírus-kifizetési irányítás láncfolyamat. Ha az eseményt nem lehet észlelni és besorolni, nem lehet dönteni. Ha a bizonyítékokat nem lehet megőrizni, a döntés nem védhető. Ha a jogi kötelezettségeket nem térképezték fel, a tárgyalás vagy a kifizetés jogellenes lehet. Ha a helyreállítási lehetőségeket nem tesztelték, a felső vezetőket tények helyett félelem alapján hozott döntésbe kényszeríthetik.

A Zenith Controls egyértelműen fogalmazza meg az előkészítés és a döntéshozatal kapcsolatát:

“Az 5.25 az a döntési pont, amely meghatározza, mikor lép át egy esemény a biztonsági incidens küszöbén, és ezzel mikor váltja ki az 5.26-ban meghatározott intézkedéseket. Az időben elvégzett és pontos eseményértékelés biztosítja, hogy az incidensreagálás ne késedelmes és ne téves irányú legyen.”

Ugyanez az útmutató az A.5.31-et, a jogi, törvényi, szabályozói és szerződéses követelményeket az adatvédelemhez, a nyilvántartások megőrzéséhez, a független felülvizsgálathoz és a belső szabályzatoknak való megfeleléshez kapcsolja. Zsarolóvírus esetén az A.5.31 az a pont, ahol a szankcióellenőrzés, a biztosítási kötelezettségek, a bűnüldöző szervekkel való kapcsolatfelvétel, az ügyfélszerződések, az adatvédelmi kötelezettségek és az ágazati szabályozói jelentéstétel egyetlen megfelelési nyilvántartásban jelenik meg.

A Clarysec ötkapus zsarolóvírus-kifizetési irányítási modellje

A Clarysec modellje a zsarolóvírus-kifizetési döntések irányítását öt kapura bontja. A cél nem az, hogy könnyebb legyen fizetni. A cél az, hogy bármely döntés — ideértve a fizetés megtagadását is — bizonyítékokon alapuló, jogilag felülvizsgált, engedélyezett és auditálható legyen.

Ez a modell az ISO 27001 kockázatkezelési logikáját használja. A zsarolóvírus-kifizetés nem biztonsági kontroll. Legfeljebb válsághelyzeti opció, amelyet kockázatkezelési és helyreállítási kontextusban mérlegelnek. Az incidens előtt a szervezetnek már el kellett döntenie, hogyan kezeli a zsarolóvírus-kockázatokat: kontrollokkal mérsékli, a pénzügyi kitettség egy részét biztosítással átruházza, elkerüli az elfogadhatatlan örökölt függőségeket, vagy indokolt esetben kifejezetten elfogadja a maradványkockázatot.

A kockázatkezelési fázisban, a 13. lépésben, a kockázatkezelési tervezés és az alkalmazhatósági nyilatkozat során a Zenith Blueprint arra utasítja a szervezeteket, hogy minden kockázathoz határozzák meg a kezelési opciókat, és dokumentálják azokat a kockázati nyilvántartásban. Figyelmeztet arra, hogy az átruházás, például a kiberbiztosítás, nem szünteti meg a kontrollok szükségességét, mert az átruházás gyakran a pénzügyi hatást kezeli, nem pedig a bekövetkezési valószínűséget. Azt is kimondja:

“Az elfogadásnak kifejezettnek és a vezetés által jóváhagyottnak kell lennie, különösen minden közepes kockázat esetén. A magas kockázatok ritkán fogadhatók el, kivéve, ha valóban elkerülhetetlenek, és felső szinten megállapodás született róluk.”

Ez a megállapítás közvetlenül releváns a zsarolóvírus-kifizetési irányítás szempontjából. Ha az igazgatóságtól azt kérik, hogy fogadja el a fizetés megtagadásának maradványkockázatát, vagy a tárgyalás jóváhagyásának jogi és reputációs kockázatát, az elfogadásnak kifejezettnek, rögzítettnek és a megfelelő hatáskörrel rendelkező fél által jóváhagyottnak kell lennie.

A Clarysec Kockázatkezelési szabályzat ugyanezt erősíti meg:

“A kockázatkezelési döntéseknek összhangban kell lenniük az előre meghatározott opciókkal”
Az 5.5. pontból.

A váltságdíjjal kapcsolatos döntés tehát nem kerülőút a kockázatkezelés körül. Meghatározott hatáskör alapján, formális és dokumentált kockázatkezelési döntésként kell kezelni.

Szabályzati hatáskör: ki dönthet nyomás alatt?

Sok zsarolóvírus-kudarc valójában technikai hibának álcázott irányítási hiba. Valaki az engedélyezett csatornán kívül kapcsolatba lép a támadóval. Valaki a biztosítói jóváhagyás előtt fizetést ígér. Valaki helyreállítja a rendszereket, és felülírja a forenzikus bizonyítékokat. Valaki túl korán, túl későn vagy pontatlan tényekkel tájékoztatja az ügyfeleket.

A Clarysec szabályzatai ezt a bizonytalanságot hivatottak megszüntetni.

KKV-k esetében az Irányítási szerepkörök és felelősségek szabályzata – KKV egyszerű szabályt ad:

“Minden jelentős biztonsági döntést, kivételt és eszkalációt rögzíteni kell, és visszakövethetővé kell tenni.”
Az “Irányítási követelmények” szakasz 5.5. szabályzati pontjából.

A KKV-kra vonatkozó Incidenskezelési szabályzat – KKV kijelöli az eszkalációs hatáskört:

“Az ügyvezető (GM) felelős valamennyi incidenseszkalációs döntés, szabályozói értesítés és külső kommunikáció engedélyezéséért.”
Az “Irányítási követelmények” szakasz 5.1.1. szabályzati pontjából.

A szabályzat az ügyféladatokat érintő incidenseket a szabályozási kötelezettségekkel is összekapcsolja:

“Ha ügyféladatok érintettek, az ügyvezetőnek értékelnie kell a jogi értesítési kötelezettségeket a GDPR, NIS2 vagy DORA alkalmazhatósága alapján.”
A “Kockázatkezelés és kivételek” szakasz 7.4.1. szabályzati pontjából.

Nagyobb szervezetek esetében a vállalati Irányítási szerepkörök és felelősségek szabályzata azonnali eszkalációt ír elő, ha jogi kitettség vagy bejelentésköteles adatsértés merülhet fel:

“Jogi és szabályozási eszkaláció: A potenciális jogi kitettséggel vagy bejelentésköteles adatsértéssel járó incidenseket haladéktalanul eszkalálni kell a jogi és megfelelési tisztviselő, valamint a felső vezetés felé.”
A “Szabályzat végrehajtásának követelményei” szakasz 6.4.3. szabályzati pontjából.

A vállalati Incidenskezelési szabályzat meghatározza a felsővezetői hatáskört súlyos incidensek során. A 4.6.1. pont szerint a felsővezetői csapat szerepe:

“Stratégiai döntések meghozatala magas súlyosságú incidensek során, beleértve az értesítések és a nyilvános kommunikáció jóváhagyását.”

Zsarolóvírus-környezetben a Clarysec a kifizetési egyeztetést, a tárgyalás engedélyezését, az ügyfélértesítést, a szabályozói nyilatkozatot és a nyilvános kommunikációt stratégiai döntésként, nem pedig technikai intézkedésként kezeli.

Ebből gyakorlati irányítási szabály következik: a CISO ajánlást tehet, az incidenscsapat értékelhet, a jogi terület tanácsot adhat, a pénzügy ellenőrizheti a kifizetési mechanizmust, a biztosító hozzájárulhat vagy megtagadhatja a fedezetet, de a döntés tulajdonosának az előre meghatározott hatáskör alapján a felső vezetésnek vagy az igazgatóságnak kell lennie.

Szankciós kockázat szempontjából biztonságos eszkaláció minden tárgyalás előtt

A szankciós kockázat szempontjából biztonságos zsarolóvírus-folyamat tilalommal kezdődik: jóváhagyott jogi felülvizsgálat nélkül egyetlen munkavállaló, vállalkozó, beszállító, közvetítő, tárgyaló vagy incidenskezelő sem tárgyalhat, nem ígérhet, nem segíthet elő, és nem adhat át értéket fenyegető szereplőnek.

A jogi ellenőrzési pontnak a támadóval folytatott bármilyen aktív kapcsolatfelvétel előtt kell megtörténnie, nem azután, hogy megjelenik egy kriptotárca-cím. A folyamatnak tartalmaznia kell:

• Jogi tanácsadó bevonása minden olyan kommunikáció előtt, amely túlmutat a passzív bizonyítékrögzítésen.
• A fenyegető szereplő azonosítása forenzikus, hírszerzési és bűnüldözési bemenetek alapján, ahol ezek rendelkezésre állnak.
• Szankciós és korlátozott felekre vonatkozó ellenőrzés csoportnevekre, álnevekre, kriptotárca-címekre, infrastruktúrára, közvetítőkre és fizetési csatornákra.
• A bűnüldöző szervekkel való egyeztetés mérlegelése és rögzítése.
• A kiberbiztosító értesítése a kötvényfeltételek szerint, még a beszállítók kijelölése vagy tárgyalások megkezdése előtt.
• A DPO vagy adatvédelmi felelős bevonása, ha személyes adatok érintettek lehetnek.
• A CFO vagy pénzügyi vezető megerősíti a kifizetési kontrollokat, a feladatkörök szétválasztását, a csalás elleni ellenőrzéseket és az igazgatósági jóváhagyási követelményeket.
• A felsővezetői döntés rögzítése a mérlegelt alternatívákkal együtt, beleértve a helyreállítást, az elszigetelést, a szolgáltatás felfüggesztését, az ügyfélkommunikációt és a fizetés megtagadását.
• Bizonyítékok megőrzése a támadói kommunikációról, indikátorokról, kriptotárca-adatokról, döntési értekezletekről, jóváhagyásokról és külső tanácsadásról.

Zsarolóvírus esetén a jogi nyilvántartásnak legalább az alábbi kötelezettségforrásokat kell tartalmaznia.

A szervezeteknek azt is meg kell határozniuk, ki állíthatja le a kifizetési döntést. A jogi területnek, a megfelelési területnek, a DPO-nak, a szankciós jogi tanácsadónak vagy az igazgatóságnak kifejezett hatáskörrel kell rendelkeznie a tárgyalás vagy kifizetés szüneteltetésére, ha az ellenőrzés hiányos, a bizonyítékok megbízhatatlanok, a biztosítói feltételek nem teljesülnek, vagy az intézkedés jogszabályt vagy szerződést sérthet.

Bizonyítékmegőrzés: ne semmisítse meg a bizonyítékot a szolgáltatás helyreállítása közben

A zsarolóvírus-csapatok természetes módon sietnek a működés helyreállításával. Ha azonban a helyreállítás megsemmisíti a naplókat, pillanatképeket, váltságdíj-követeléseket, malware-mintákat, memóriaképeket vagy támadói üzeneteket, a szervezet elveszítheti annak bizonyítási képességét, hogy mi történt.

A „Kontrollok működésben” fázis 23. lépésében, a szervezeti kontrolloknál a Zenith Blueprint arra utasítja a szervezeteket, hogy a bejelentésköteles biztonsági események meghatározásával, a döntéshozatal dokumentálásával és a forenzikus bizonyítékok megőrzésével ellenőrizzék és teszteljék az incidenskezelési képességeket. A csapatok számára előírja:

“Rögzítsék és naplózzák valamennyi döntést, szerepkört és kommunikációt (5.26), és frissítsék a tervet a tanulságokkal (5.27). Erősítsék meg, hogy léteznek eljárások a forenzikus bizonyítékok megőrzésére (5.28), beleértve a napló-pillanatképeket, a biztonsági mentéseket és az érintett rendszerek biztonságos elkülönítését.”

Ugyanez a lépés az A.5.28-at olyan nyelven magyarázza el, amelyet minden igazgatóság megért:

“amit bizonyítani tud, legalább annyira számít, mint ami ténylegesen történt”

A Clarysec vállalati Bizonyítékgyűjtési és forenzikai szabályzat megerősíti, hogy a bizonyítékoknak visszakövethetőnek kell maradniuk:

“A bizonyítéklánc-naplónak minden fizikai vagy digitális bizonyítékot kísérnie kell a megszerzés időpontjától az archiválásig vagy átadásig, és dokumentálnia kell:”
Az “Irányítási követelmények” szakasz 5.6. szabályzati pontjából.

KKV-k számára a Bizonyítékgyűjtési és forenzikai szabályzat – KKV szándékosan gyakorlati megközelítésű:

“Mindig forenzikus másolatot vagy exportot kell készíteni; az eredeti bizonyítékot soha nem szabad közvetlenül szerkeszteni.”
A “Szabályzat végrehajtásának követelményei” szakasz 6.1.1. szabályzati pontjából.

Jogi konzultációt is előír, ha HR-, jogi vagy ügyfélhatás merülhet fel:

“Ha az incidens potenciális emberi erőforrás (HR), jogi vagy ügyfélhatással jár, a GM köteles jogi tanácsadóval konzultálni a végrehajtás vagy eszkaláció megkezdése előtt.”
Az “Irányítási követelmények” szakasz 5.4.2. szabályzati pontjából.

Gyakorlati bizonyítékcsomagot a 2. kapu során kell megnyitni. Hozzon létre korlátozott hozzáférésű incidensbizonyíték-mappát. Exportálja a SIEM-idővonalakat, EDR-észleléseket, felhőalapú auditnaplókat, identitásszolgáltatói bejelentkezési naplókat, biztonsági mentési feladatok állapotát, váltságdíj-követeléseket, képernyőképeket, támadói üzeneteket, kriptotárca-címeket, fájlmintákat, jogi tanácsadásra vonatkozó hivatkozásokat, biztosítói levelezést és értekezleti döntéseket. Jelöljön ki gondnokot. Ahol indokolt, rögzítse a hash-értékeket. Ne engedje, hogy a rendszergazdák forenzikus mentés előtt kitakarítsák az érintett rendszereket, kivéve, ha ezt életvédelem, kritikus szolgáltatás védelme vagy felsővezetői jóváhagyással végzett elszigetelés teszi szükségessé.

Besorolási munkalap NIS2, DORA és GDPR célokra

Egy zsarolóvírus-incidens több határidőt is elindíthat. A kihívás nem csak a határidők ismerete. Azt is tudni kell, mikor szerzett tudomást a szervezet, mit tudott akkor, és hogyan születtek a besorolási döntések.

A NIS2 Article 23 előírja, hogy az alapvető és fontos szervezetek indokolatlan késedelem nélkül értesítsék a CSIRT-et vagy az illetékes hatóságot a jelentős incidensekről. A jelentőség súlyos működési zavarral, pénzügyi veszteséggel vagy másoknak okozott jelentős vagyoni vagy nem vagyoni kárral kapcsolódik össze. A szakaszos modell 24 órán belüli korai figyelmeztetést, 72 órán belüli értesítést, kérés esetén köztes frissítéseket, valamint adott esetben az incidensbejelentéstől számított egy hónapon belüli zárójelentést tartalmaz.

A DORA előírja a pénzügyi szervezetek számára, hogy határozzák meg és vezessék be az IKT-vonatkozású incidenskezelést, rögzítsék az incidenseket és a jelentős kiberfenyegetéseket, sorolják be az incidenseket olyan szempontok alapján, mint az érintett ügyfelek, az időtartam, a földrajzi kiterjedés, az adatvesztés, a kritikusság és a gazdasági hatás, valamint jelentsék a jelentős IKT-vonatkozású incidenseket az illetékes hatóságoknak kezdeti, köztes és zárójelentések útján.

A GDPR más, de átfedő kérdést tesz fel: okozott-e az incidens személyesadat-sértést? Ha igen, valószínűsíthető-e, hogy kockázattal jár az érintettekre nézve? Ha teljesül az értesítési küszöb, a felügyeleti hatóság értesítését a 72 órás határidőhöz képest kell értékelni. Magas kockázat esetén az érintettek tájékoztatása is szükséges lehet.

A Clarysec egyetlen zsarolóvírus-besorolási munkalap működtetését javasolja, külön szakaszokkal minden szabályozási rezsimhez.

Ez a megközelítés illeszkedik az ISO 27001 kockázatértékelésre, kockázatkezelésre és dokumentált információkra vonatkozó pontjaihoz. Összhangban áll a NIST CSF 2.0-val is. A NIST CSF 2.0 GOVERN funkciója elvárja, hogy a szervezetek értsék az érdekelt feleket, a jogi és szabályozási kötelezettségeket, a kockázatvállalási hajlandóságot, a szerepköröket, a szabályzatokat, a felügyeletet és a harmadik fél kockázatot. Észlelési, reagálási és helyreállítási eredményei támogatják az incidens bejelentését, az elemzést, a reagálás koordinációját, az érdekelt felek értesítését, a helyreállítás végrehajtását és a helyreállítás ellenőrzését.

Pénzügyi szervezetek esetében a DORA ágazatspecifikus kiberbiztonsági rezsimként működhet az átfedő NIS2-kötelezettségek tekintetében, de ez nem szünteti meg annak szükségességét, hogy a szervezet megértse a NIS2 alkalmazhatóságát csoporttagokra, IKT-szolgáltatókra, menedzselt szolgáltatásokra vagy felhőfüggőségekre. A gyakorlati válasz nem külön forgatókönyvek fenntartása. Egyetlen IBIR bizonyítékmodellt kell működtetni, amelyet valamennyi releváns kötelezettséghez hozzárendelnek.

A kiberbiztosítás és a beszállítói koordináció irányítási kontroll

A kiberbiztosítás értékes lehet, de nem zsarolóvírus-stratégia. Feltételekhez kötött kockázatátruházási mechanizmus. Zsarolóvírus-esemény során a biztosító azonnali értesítést, panelcégek használatát, tárgyalás előtti előzetes jóváhagyást, bizonyítékmegőrzést, a biztonsági mentés sikertelenségének bizonyítását, észszerű kontrollok bizonyítását és bármely kifizetési megfontolás előtt jogi felülvizsgálatot követelhet meg.

A DORA az IKT harmadik fél kockázatot elsőrendű megfelelési területté teszi. A NIS2 Article 21 szintén előírja az ellátási lánc biztonságát, valamint a beszállítói sérülékenységek és kiberbiztonsági gyakorlatok figyelembevételét. Az ISO 27001 ugyanezt a logikát támogatja beszállítói és felhőkontrollokon keresztül, például A.5.19–A.5.23, valamint incidens-, folytonossági és jogi kontrollokkal.

A Zenith Controls az incidensre való felkészülést külső partnerekhez kapcsolja, beleértve a forenzikus cégeket, a jogi területet, a PR-t és a hatóságokkal való kapcsolattartást. Audit szempontból az előre azonosított külső partnerek hiánya felkészültségi hiányosságnak minősülhet, mert valós incidens során késleltetheti a reagálást.

A zsarolóvírus-kifizetési irányítás érdekében a Clarysec az alábbiak előzetes egyeztetését javasolja:

• Forenzikus készenléti megállapodás vagy gyorsreagálási feltételek.
• Külső jogi képviselők rendelkezésre állása adatsértési, szankciós és ügyvédi titokkal kapcsolatos stratégia céljából.
• Kiberbiztosítói értesítési útvonal és jóváhagyott beszállítói lista.
• Felhőszolgáltatói eszkalációs útvonal pillanatképekhez, naplókhoz, elkülönítéshez és helyreállításhoz.
• MSSP vagy MDR incidensegyüttműködési eljárások.
• PR- és válságkommunikációs felülvizsgálati folyamat.
• Banki vagy pénzügyi jóváhagyási kontrollok bármely rendkívüli kifizetéshez.
• Bűnüldöző szervekkel való kapcsolattartási protokoll.

Ez jól leképezhető a NIST CSF 2.0 ellátási láncra vonatkozó eredményeire, beleértve a beszállítói szerepköröket és felelősségeket, a kellő gondosságot, a szerződéses kiberbiztonsági követelményeket, a beszállítói incidenskoordinációt és a kapcsolat megszűnése utáni tevékenységeket.

Gyakorlati zsarolóvírus-kifizetési eszkalációs forgatókönyv

Az öt kapu operatív forgatókönyvvé alakítható. Minden lépést dokumentálni kell, felelőshöz kell rendelni és gyakorolni kell.

A cél nem a kényelmes döntés garantálása. Lehet, hogy nincs kényelmes döntés. A cél annak biztosítása, hogy a döntés engedélyezett, bizonyítékokon alapuló, jogilag megalapozott és védhető legyen.

A 90 perces asztali gyakorlat, amely bizonyítja a felkészültséget

A zsarolóvírus-kifizetési irányítás tesztelésének legegyszerűbb módja nem technikai red team gyakorlat, hanem döntési asztali gyakorlat.

Használja a Zenith Blueprint „Kontrollok működésben” fázisának 23. lépését az incidenskezelési képesség ellenőrzésére. Válasszon zsarolóvírus-forgatókönyvet, és futtasson időzített gyakorlatot. A cél nem annak előzetes eldöntése, hogy a szervezet fizetne vagy soha nem fizetne. A cél annak bizonyítása, hogy a szervezet képes irányított döntésre jutni.

Forgatókönyv: egy felhőben üzemeltetett ügyféladatbázist titkosítottak, a támadó exfiltrációt állít, biztonsági mentések léteznek, de sértetlenségüket még nem tesztelték, a biztosítót még nem értesítették, és a támadó 48 órás határidővel kriptotárca-címet ad meg.

Gyakorlati ellenőrzőlista:

• Jelentse be az incidenst, és jelölje ki az incidensparancsnokot.
• Nyissa meg a zsarolóvírus-döntési naplót.
• Sorolja be az eseményt az A.5.25 kritériumai alapján.
• Azonosítsa az érintett eszközöket és üzleti szolgáltatásokat.
• Határozza meg, hogy érintettek-e személyes adatok.
• Indítsa el a GDPR, NIS2, DORA és szerződéses értékelési munkafolyamatokat.
• Értesítse a jogi területet, a DPO-t, a felső vezetést, a biztosítót és a forenzikus szolgáltatót.
• Őrizze meg a bizonyítékokat a romboló helyreállítási műveletek előtt.
• Ellenőrizze a biztonsági mentések sértetlenségét és a helyreállítási lehetőségeket.
• Végezzen szankcióellenőrzést minden tárgyalás előtt.
• Rögzítse, szükséges-e bűnüldöző szervvel való egyeztetés.
• Készítsen ügyfél- és szabályozói nyilatkozatmintákat.
• Mutassa be a döntési opciókat a felsővezetői hatáskörrel rendelkező döntéshozónak.
• Rögzítse a döntést, az indokolást, az eltérő véleményeket, a jóváhagyásokat és a következő intézkedéseket.
• Ütemezze az incidens utáni felülvizsgálatot és a kontrollfejlesztési intézkedéseket.

A kimenetnek teljes bizonyítékcsomagnak kell lennie: jelenléti lista, idővonal, besorolási munkalap, döntési napló, kommunikációs tervezetek, jogi intézkedési pontok, biztosítói intézkedési pontok, biztonsági mentési megállapítások és tanulságok. Ez a csomag audit szempontból különösen értékes, mert megmutatja, hogy az irányítás valós válság előtt is működik.

Hogyan tesztelik a folyamatot az auditorok és a szabályozók

A különböző hátterű auditorok ugyanazt a zsarolóvírus-folyamatot eltérő nézőpontokból vizsgálják.

A Zenith Controls részletes auditmódszertant biztosít az A.5.24, A.5.25 és A.5.31 számára. Az A.5.24 esetében az auditorok az incidensreagálási tervet, a súlyossági besorolásokat, a szerepköröket, a kapcsolattartási listákat, a szabályozói jelentéstételi utasításokat, a gyakorlatokat és a külső partneri megállapodásokat vizsgálják. Az A.5.25 esetében azt tekintik át, hogy léteznek-e eseménybesorolási kritériumok, a riasztáskezelési nyilvántartások mutatnak-e kivizsgálási és eszkalációs döntéseket, használnak-e SIEM-et és fenyegetettségi információkat, és bevonják-e a DPO-t vagy a jogi csapatokat, ha személyes adatok érintettek lehetnek. Az A.5.31 esetében az auditorok jogi nyilvántartásokat, megfelelőségi megfeleltetést, felülvizsgálati bizonyítékokat, belső audit lefedettséget és felsővezetői jelentéstételt keresnek.

Az auditkockázat nem csupán az, hogy a szervezet fizetett vagy megtagadta a fizetést. Az auditkockázat az, ha senki sem tudja bizonyítani, hogyan született a döntés.

A zsarolástól a kontrollfejlesztésig

A zsarolóvírus-irányítás nem ér véget a rendszerek helyreállításával. Az ISO 27001 folyamatos fejlesztést vár el. Az A.5.27 információbiztonsági incidensekből való tanulás ennek központi eleme. A DORA gyökérok-elemzést és további kontrollokat követel meg. A NIS2 zárójelentés adott esetben kockázatcsökkentő intézkedéseket és valószínű gyökérokot vár el. A GDPR szerinti elszámoltathatóság a döntések és védelmi intézkedések dokumentálását igényli.

Minden zsarolóvírus utáni incidens utáni felülvizsgálatnak választ kell adnia:

• Helyesen azonosították-e a jelentéstételi határidőket?
• A döntési hatáskör a tervezett módon működött-e?
• Elég korán megtörtént-e a jogi és szankciós felülvizsgálat?
• A biztosítói koordináció segítette vagy késleltette a reagálást?
• Teljesek, elkülönítettek, helyreállíthatók és teszteltek voltak-e a biztonsági mentések?
• Elegendők voltak-e a naplók a hozzáférés és az exfiltráció értékeléséhez?
• A beszállítók a szerződés szerint reagáltak-e?
• Az ügyfélkommunikáció pontos és időszerű volt-e?
• A felsővezetők a megfelelő információkat a megfelelő időben kapták-e meg?
• Mely kontrolloknak, szabályzatoknak, szerződéseknek vagy képzéseknek kell változniuk?

Ezeknek a válaszoknak frissíteniük kell a kockázati nyilvántartást, az alkalmazhatósági nyilatkozatot, az incidensreagálási tervet, a biztonsági mentési stratégiát, a beszállítói szerződéseket, a kommunikációs tervet és a képzési programot.

Az IBIR Foundation and Leadership fázis 5. lépésében a Zenith Blueprint hangsúlyozza a külső kommunikáció tervezését, beleértve az ügyfelek, szabályozók, partnerek és a nyilvánosság azonosítását, annak meghatározását, hogy mit és mikor kell kommunikálni, valamint annak kijelölését, hogy ki kommunikál. Zsarolóvírus esetén ez a lépés hidat képez a technikai reagálás és a bizalom megőrzése között.

A döntési nyilvántartást a váltságdíj-követelés előtt kell felépíteni

A váltságdíjjal kapcsolatos döntés irányításának legjobb ideje azelőtt van, hogy a támadó határidőt szab.

Ha a zsarolóvírus-forgatókönyv nem határozza meg a döntési hatáskört, a jogi felülvizsgálatot, a szankcióellenőrzést, a biztosítói jóváhagyást, a bizonyítékmegőrzést, a NIS2 és DORA szerinti besorolást, a GDPR szerinti személyesadat-sértés értékelését és az igazgatósági szintű dokumentálást, akkor a szervezetnek olyan irányítási hiányossága van, amely csak válságra vár.

A Clarysec az alábbiakkal segíti a szervezeteket e képesség IBIR-be építésében:

• Zenith Blueprint: 30 lépéses auditori ütemterv a szakaszos ISO 27001 bevezetéshez, kockázatkezeléshez, kommunikációtervezéshez és incidenskezelési képesség ellenőrzéséhez.
• Zenith Controls: keresztmegfelelési útmutató az ISO 27001 kontrollok NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 és auditbizonyítékok szerinti megfeleltetéséhez.
• Clarysec vállalati és KKV-szabályzatok, beleértve az Incidenskezelési szabályzat, Incidenskezelési szabályzat – KKV, Bizonyítékgyűjtési és forenzikai szabályzat, Bizonyítékgyűjtési és forenzikai szabályzat – KKV, Irányítási szerepkörök és felelősségek szabályzata, Irányítási szerepkörök és felelősségek szabályzata – KKV és Kockázatkezelési szabályzat című dokumentumokat.
• Gyakorlati zsarolóvírus asztali gyakorlat sablonok, döntési naplók, jogi eszkalációs mátrixok, bizonyítékcsomagok és keresztmegfelelési jelentéstételi munkalapok.

Ne várja meg a hajnali 3 órás hívást annak kiderítésére, hogy ki dönthet. Vizsgálja felül incidensreagálási tervét a Clarysec öt kapuja alapján, futtasson le egy 90 perces zsarolóvírus-kifizetési asztali gyakorlatot, és építsen ki szankciós kockázat szempontjából biztonságos, auditra felkészített döntési nyilvántartást, amely megállja a helyét a szabályozók, a biztosítók és a saját igazgatósága előtt.