NIS2 24 valandų testas: kaip sukurti reagavimo į incidentus planą, atsparų pažeidimams ir auditams

CISO 2:13 val. nakties košmaras: kai pradeda tiksėti NIS2 laikrodis

2:13 val. nakties jūsų Europos saugumo operacijų centre. Suskamba telefonas, nutraukdamas neramią tylą. Automatizuota sistema pažymėjo neįprastą srautą, išeinantį iš kritinės duomenų bazės. Po kelių akimirkų IT pagalbos tarnybos valdymo skydelį užlieja virtinė pranešimų „paskyra užrakinta“. Marijai, CISO, šalta NIS2 direktyvos realybė tampa akivaizdi. Laikrodis pradėjo tiksėti. Ji turi 24 valandas pateikti ankstyvojo įspėjimo pranešimą nacionalinei CSIRT.

Jos budintis vadovas skubiai peržiūri reagavimo į incidentus procedūrą ir aptinka nesuderintus eskalavimo kelius tarp IT ir verslo padalinių. Panika yra prabanga, kurios ji negali sau leisti. Kas turi dalyvauti skubiame pasitarime? Ar tai yra „reikšmingas“ incidentas pagal direktyvos apibrėžtį? Kur yra reagavimo veiksmų planas duomenų eksfiltracijai lokalizuoti? Komunikacija vėluoja, reagavimo veiksmai stringa dėl neaiškumo, o kritinis 24 valandų pranešimo laikotarpis negailestingai trumpėja.

Šis scenarijus nėra pavienė istorija — tai organizacijų, kurios reagavimą į incidentus laiko tik dokumentų tvarkymo pratimu, kasdienė realybė. NIS2 įsigaliojant visa apimtimi, rizika smarkiai išauga: didelė reguliacinė atsakomybė, reikšminga reputacijos žala ir valdybos klausimas: „Kaip tai galėjo įvykti?“ Dulkėtas planas lentynoje nebėra pakankamas. Reikalingas gyvas, praktiškai veikiantis pajėgumas, kuris yra išbandytas ir suprantamas visiems — nuo pagalbos tarnybos iki valdybos.

Clarysec padėjo dešimtims organizacijų paversti savo reagavimo į incidentus planus (IRP) iš statinių dokumentų į gyvas, audituojamas sistemas, kurios atlaiko tiek saugumo pažeidimo, tiek valdybos spaudimo testą. Šiame vadove peržengiame teorijos ribas ir parodome, kaip sukurti, audituoti ir brandinti NIS2 reikalavimus atitinkantį IRP, kiekvieną veiksmą susiejant su ISO/IEC 27001:2022, DORA, GDPR ir kitomis kritinėmis sistemomis.

Ko reikalauja NIS2: tikslumo, greičio ir operacinio aiškumo

NIS2 direktyva keičia reagavimo į incidentus reglamentavimo aplinką ir reikalauja įrodymų, kad taikomas brandus, struktūruotas požiūris. Jai nepakanka neapibrėžtų politikų ar paprastų pranešimo šablonų. Štai ko NIS2 tikisi iš jūsų organizacijos:

• Dokumentuotos ir praktiškai vykdomos procedūros: jūsų IRP turi aiškiai parodyti pakartojamus lokalizavimo, pašalinimo ir atkūrimo veiksmus. Bendro pobūdžio politikų nepakanka. Veiksmai turi būti registruojami, testuojami suplanuotais intervalais, o visi įrodymai — fiksuojami.
• Daugiapakopis pranešimo procesas: Article 23 yra vienareikšmis. Apie reikšmingą incidentą reguliuotojams turite pateikti „ankstyvąjį įspėjimą“ per 24 valandas nuo sužinojimo, vėliau — išsamesnį pranešimą per 72 valandas, o galutinę ataskaitą — per vieną mėnesį. Klaidos šiame etape yra tiesioginis atitikties nesėkmės požymis.
• Integracija su veiklos tęstinumu: incidentų valdymas nėra izoliuota IT funkcija. Jis turi būti suderintas su platesniais veiklos tęstinumo ir atkūrimo po katastrofos planais, užtikrinant vaidmenų, komunikacijos ir atkūrimo tikslų darną.
• Iš anksto nustatyti incidentų analizės kriterijai: kiekvienas praneštas įvykis turi būti įvertintas pagal nustatytus poveikio, apimties ir sunkumo slenksčius. Taip išvengiama tiek perteklinės reakcijos, tiek pavojingo nuvertinimo, o sprendimas, kada pradėti skaičiuoti 24 valandų terminą, grindžiamas dokumentuotais įrodymais.
• Nuolatinio tobulinimo ciklas: po incidento subjektai turi atlikti peržiūras po incidento, nustatyti pagrindines priežastis, dokumentuoti įgytą patirtį ir gerinti būsimus incidentų valdymo pajėgumus. Tikrasis NIS2 palikimas — nuosekli atskaitomybė.

Clarysec tai vertina ne kaip naštą, o kaip galimybę kurti tikrą kibernetinį atsparumą. Mūsų Reagavimo į incidentus politika (Reagavimo į incidentus politika) tai formalizuoja taip:

Organizacija turi palaikyti centralizuotą ir suderintą reagavimo į incidentus sistemą, suderintą su ISO/IEC 27035 ir sudarytą iš apibrėžtų reagavimo etapų.

Ši sistema yra reikalavimus atitinkančios ir veiksmingos programos pagrindas, perkeliantis komandą nuo reaktyvaus „gaisrų gesinimo“ prie koordinuoto ir prognozuojamo reagavimo.

Lemiamas momentas: kaip įvykiai tampa incidentais

Marijos krizėje pirmasis kritinis klausimas buvo: „Ar tai praneštinas incidentas?“ Šiuolaikinio saugumo priemonių rinkinio generuojamų įspėjimų srautas gali būti pribloškiantis. Neturėdamos aiškaus metodo atskirti įprastus įvykius nuo tikrų incidentų, komandos arba į viską reaguoja per stipriai, arba praleidžia kritinius signalus. Čia esminę reikšmę įgyja analitinė disciplina, apibrėžta ISO/IEC 27002:2022 kontrolės priemonėje 5.25 – Informacijos saugumo įvykių vertinimas ir sprendimų priėmimas.

Ši kontrolės priemonė užtikrina, kad organizacija ne tik vykdytų stebėseną, bet ir suprastų situaciją bei priimtų pagrįstus sprendimus. Tai sprendimo taškas, kuriame nustatoma, kada įvykis peržengia slenkstį ir tampa saugumo incidentu, aktyvuojančiu formalias reagavimo procedūras. Zenith Blueprint: 30 žingsnių auditoriaus veiksmų planas (Zenith Blueprint) tai pabrėžia pažymėdamas, kad veiksmingas procesas „turi atsižvelgti į organizacijos klasifikavimo modelį, rizikos toleranciją ir reglamentavimo aplinką“.

Intuityvus sprendimas nėra apginama pozicija auditoriams ar reguliuotojams. Praktikoje tai reiškia:

1. Kriterijų nustatymą: apibrėžti, kas laikoma reikšmingu incidentu, remiantis poveikiu paslaugos teikimui, duomenų jautrumu, sistemos kritiškumu ir konkrečiais NIS2 slenksčiais.
2. Pirminį įvertinimą ir analizę: taikyti kriterijus gaunamiems įvykiams vertinti, koreliuojant duomenis iš kelių šaltinių, pvz., žurnalų, galinių įrenginių aptikimo ir grėsmių žvalgybos.
3. Sprendimo dokumentavimą: fiksuoti, kas įvertino įvykį, kokie kriterijai buvo taikyti ir kodėl pasirinkta konkreti veiksmų kryptis. Toks atsekamumas auditui yra privalomas.

Mūsų Zenith Controls: kelių atitikties sričių vadovas (Zenith Controls) išsamiai paaiškina, kaip kontrolės priemonė 5.25 yra jungiamoji grandis tarp stebėsenos veiklų ir formalaus reagavimo į incidentus. Ji paverčia pasirengimą praktiniu pajėgumu ir užtikrina, kad tinkami pavojaus signalai būtų aktyvuojami dėl tinkamų priežasčių. Be struktūruoto vertinimo proceso Marijos komanda prarastų brangias valandas ginčydamasi dėl sunkumo. Turėdama tokį procesą, komanda gali greitai klasifikuoti įvykį, aktyvuoti tinkamą reagavimo veiksmų planą ir užtikrintai pradėti formalų pranešimo procesą.

Reagavimo mechanizmas: žingsnis po žingsnio parengtas veiksmų planas

Aukščiausio lygio reagavimo į incidentus planas praktiškai apima kiekvieną krizės etapą — nuo pirmojo įspėjimo iki galutinės įgytos patirties. Ši seka tiesiogiai siejasi su ISO/IEC 27001:2022 ir NIS2 reguliuotojų lūkesčiais.

1. Pranešimas ir pirminis įvertinimas

Tvirtas IRP prasideda nuo aiškių, lengvai pasiekiamų pranešimo kanalų tiek žmonėms, tiek sistemoms.

„Darbuotojai privalo pranešti apie bet kokią įtartiną veiklą arba patvirtintą incidentą adresu incident@[company] arba žodžiu generaliniam vadovui ar IT paslaugų teikėjui.“
Reagavimo į incidentus politika MVĮ, politikos įgyvendinimo reikalavimai, punktas 6.2.1. (Reagavimo į incidentus politika MVĮ)

Didesnėse įmonėse tai papildoma automatizuotais SIEM įspėjimais ir aiškiai apibrėžtais eskalavimo keliais. Reagavimo į incidentus politika tai nustato kaip privalomą reikalavimą:

„Reagavimo į incidentus vaidmenys ir eskalavimo keliai turi būti dokumentuoti reagavimo į incidentus plane (IRP) ir tikrinami periodinėmis stalo bei praktinėmis pratybomis.“
Valdysenos reikalavimai, punktas 5.4.

2. Vertinimas ir paskelbimas

Čia kontrolės priemonė 5.25 tampa praktika. Reagavimo komanda vertina įvykį pagal iš anksto nustatytą matricą. Ar susiję klientų duomenys? Ar paveikta kritinė paslauga? Ar įvykis atitinka NIS2 „reikšmingo“ incidento apibrėžtį? Peržengus slenkstį, incidentas formaliai paskelbiamas, o išorinio pranešimo laikrodis oficialiai pradedamas skaičiuoti. Šis sprendimas turi būti užregistruotas su laiko žyma ir pagrindimu.

3. Koordinavimas ir komunikacija

Paskelbus incidentą, chaosas tampa didžiausiu priešu. Iš anksto apibrėžtas komunikacijos planas mažina neaiškumą ir užtikrina, kad suinteresuotosios šalys veiktų vieningai.

„Visa su incidentu susijusi komunikacija turi vykti pagal komunikacijos ir eskalavimo matricą…“
Valdysenos reikalavimai, punktas 5.5. (Reagavimo į incidentus politika)

Jūsų plane turi būti aiškiai apibrėžta:

• Vidiniai vaidmenys: pagrindinė reagavimo į incidentus komanda, vadovybės atstovai, teisinė funkcija ir personalo valdymo funkcija.
• Išoriniai kontaktai: nacionalinė CSIRT, priežiūros institucijos, svarbiausi klientai ir viešųjų ryšių arba krizių komunikacijos įmonės.
• Pranešimų terminai: aiškiai nurodyti 24 valandų NIS2 ankstyvąjį įspėjimą, 72 valandų GDPR pranešimą ir visus kitus sutartinius ar reglamentavimo terminus.

4. Lokalizavimas, pašalinimas ir atkūrimas

Tai techniniai reagavimo etapai, grindžiami ISO/IEC 27002:2022 kontrolės priemone 5.26 – Reagavimas į informacijos saugumo incidentus. Veiksmai turi būti atliekami laiku, registruojami žurnaluose ir suplanuoti taip, kad būtų išsaugomi įrodymai. Tai gali apimti paveiktų sistemų izoliavimą, kompromituotų paskyrų išjungimą, kenkėjiškų IP adresų blokavimą, kenkėjiškos programinės įrangos pašalinimą ir švarių duomenų atkūrimą iš atsarginių kopijų. Kiekvienas veiksmas turi būti dokumentuotas, kad auditoriams ir reguliuotojams būtų pateikta aiški laiko juosta.

5. Įrodymų išsaugojimas ir skaitmeninė kriminalistika

Reguliuotojai ir auditoriai čia sutelkia ypatingą dėmesį. Ar galite pagrįsti žurnalų ir įrašų vientisumą? Tai yra ISO/IEC 27002:2022 kontrolės priemonės 5.28 – Įrodymų rinkimas sritis. Zenith Blueprint tai paverčia aiškiu audito kontroliniu tašku:

„Patvirtinkite, kad įdiegtos procedūros kriminalistiniams įrodymams (5.28) išsaugoti, įskaitant žurnalų momentines kopijas, atsargines kopijas ir saugų paveiktų sistemų izoliavimą.“
Iš etapo „Auditas ir tobulinimas“, 24 žingsnis.

Procedūros turi užtikrinti aiškią visų skaitmeninių įrodymų saugojimo ir perdavimo grandinę, kuri yra kritiškai svarbi pagrindinės priežasties analizei ir galimiems teisiniams veiksmams.

6. Po incidento atliekama peržiūra ir įgyta patirtis

NIS2 reikalauja tobulėjimo, o ne nesėkmių kartojimo. Tai įtvirtina ISO/IEC 27002:2022 kontrolės priemonė 5.27 – Mokymasis iš informacijos saugumo incidentų. Išsprendus incidentą, turi būti atlikta formali peržiūra, siekiant įvertinti, kas pavyko, kas nepavyko ir ką reikia keisti.

Zenith Blueprint tai sustiprina:

„Užfiksuokite ir registruokite visus sprendimus, vaidmenis ir komunikaciją, o planą atnaujinkite pagal įgytą patirtį (5.27).“

Taip sukuriamas grįžtamojo ryšio ciklas, stiprinantis politikas, reagavimo veiksmų planus ir technines kontrolės priemones, o kiekvieną krizę paverčiantis strateginiu pajėgumo gerinimu.

Nepastebimas iššūkis: saugumo palaikymas trikdžių metu

Vienas dažniausiai nepastebimų reagavimo į incidentus aspektų yra saugumo palaikymas, kai organizacija veikia pablogėjusiomis sąlygomis. Užpuolikai dažnai smogia tada, kai esate pažeidžiamiausi — atkūrimo metu. Tam skirta ISO/IEC 27002:2022 kontrolės priemonė 5.29 – Informacijos saugumas trikdžių metu. Ji sujungia veiklos tęstinumą ir informacijos saugumą, užtikrindama, kad atkūrimo veiksmai neapeitų būtinų apsaugos priemonių.

Kaip paaiškinama Zenith Controls vadove, ši kontrolės priemonė veikia kartu su reagavimo į incidentus planavimu ir užtikrina, kad reaguojant į incidentus saugumas nebūtų pažeistas. Pavyzdžiui, aktyvavus atkūrimo po katastrofos vietą, kontrolės priemonė 5.29 užtikrina, kad jos saugumo konfigūracijos būtų aktualios. Jei pereinama prie rankinių procesų, ji užtikrina, kad jautrūs duomenys vis tiek būtų tvarkomi saugiai. Tai tiesiogiai susiję su NIS2 atitiktimi, nes NIS2 reikalauja priemonių „veiklos tęstinumui, pvz., atsarginių kopijų valdymui ir atkūrimui po katastrofos, taip pat krizių valdymui“.

Auditorius tai tikrins klausdamas:

• Kaip patikrinate, kad atsarginės kopijos prieš atkūrimą nėra užkrėstos kenkėjiška programine įranga?
• Ar jūsų atkūrimo aplinka yra saugiai sukonfigūruota ir stebima?
• Kaip kontroliuojama ir registruojama avarinė prieiga?

Saugumo integravimas į tęstinumo planus neleidžia komandai dar labiau pabloginti jau sudėtingos situacijos.

Auditoriaus požiūris: jūsų planas po didinamuoju stiklu

Auditoriai atmeta žargoną ir ieško faktų. Jie ne tik paprašys parodyti planą; jie paklaus: „Kas įvyko paskutinį kartą, kai kažkas sutriko?“ Jie tikisi nuoseklios istorijos, pagrįstos įrodymais. Brandži programa pateikia nuoseklius atsakymus, nepriklausomai nuo auditoriaus taikomos sistemos.

Štai kaip skirtingi auditoriai tikrins jūsų NIS2 reagavimo į incidentus pajėgumus:

Naudodami Zenith Controls galite skaidriai susieti šiuos reikalavimus ir užtikrinti vieną pagrįstą naratyvą kiekvienam audito tipui.

Kelių atitikties sričių suderinimas: NIS2 susiejimas su DORA, GDPR ir daugiau

NIS2 retai veikia atskirai. Ji susikerta su privatumo, finansiniais ir operaciniais reikalavimais. Vieningas požiūris yra ne tik efektyvus — jis būtinas, kad krizės metu nebūtų prieštaringų procesų.

Zenith Blueprint pažymi:

„NIS2 reikalauja įvairių saugumo priemonių ir rizika grindžiamo požiūrio. Vykdydami… ISO 27001 rizikos valdymą, iš esmės tenkinate NIS2 lūkestį… NIS2 taip pat įpareigoja pranešti apie incidentus per nustatytus terminus, todėl turite užtikrinti reagavimo į incidentus planą… šiam atitikties aspektui padengti.“

Zenith Controls jums sujungia taškus:

• NIS2: Article 23 (pranešimas apie incidentą) tiesiogiai apimamas kontrolės priemonės 5.25 sprendimo taškais ir jūsų IRP komunikacijos matrica.
• GDPR: pranešimo apie pažeidimą darbo eiga (Art. 33/34) susiejama su tuo pačiu vertinimo ir eskalavimo procesu, užtikrinant, kad duomenų apsaugos pareigūnas būtų įtrauktas nedelsiant, jei paveikiami asmens duomenys.
• DORA: finansų sektoriui taikomas reikšmingų su IRT susijusių incidentų klasifikavimas ir pranešimas (Article 18) sutampa su NIS2 sukurtomis struktūromis, naudojant suderintą sunkumo matricą.

Kurdami IRP ant ISO/IEC 27001:2022 pagrindo, sukuriate vieną tvirtą sistemą, kuri vienu metu gali tenkinti kelių reguliuotojų reikalavimus.

Kiti žingsniai siekiant praktiškai išbandyto, NIS2 pasirengusio IRP

24 valandų testas artėja. Laukti incidento, kad paaiškėtų plano spragos, yra rizika, kurios organizacija negali sau leisti. Imkitės šių veiksmų dabar, kad sustiprintumėte atsparumą ir pasitikėjimą.

1. Įvertinkite dabartinį planą: naudokite aukščiau lentelėje pateiktus auditoriaus klausimus kaip savęs vertinimo kontrolinį sąrašą. Ar jūsų planas praktiškas ir suprantamas tiems, kurie turi jį vykdyti? Akląsias zonas nustatykite dabar.
2. Formalizuokite savo sistemą: jei jos neturite, sukurkite formalią reagavimo į incidentus sistemą, remdamiesi patikrintu pagrindu. Mūsų politikų šablonai, įskaitant Reagavimo į incidentus politiką ir Reagavimo į incidentus politiką MVĮ, suteikia pradinį tašką, suderintą su ISO standartais ir reglamentavimo reikalavimais.
3. Susiekite savo atitikties įpareigojimus: naudokite tokią priemonę kaip Zenith Controls, kad suprastumėte, kaip tokios kontrolės priemonės kaip 5.25 ir 5.29 siejasi su NIS2, DORA ir GDPR. Taip užtikrinsite, kad kuriamas planas būtų efektyvus ir tenkintų kelis reikalavimus.
4. Testuokite, testuokite ir dar kartą testuokite: reguliariai vykdykite stalo pratybas. Pradėkite nuo paprastų scenarijų, pvz., pranešimo apie fišingą, ir pereikite prie visapusiškos išpirkos reikalaujančios programinės įrangos simuliacijos. Įžvalgas naudokite reagavimo veiksmų planams tobulinti, kontaktų sąrašams atnaujinti ir komandai mokyti.
5. Užsisakykite Clarysec brandos vertinimą: kartu su mūsų ekspertais audituokite savo planą pagal naujausias NIS2 ir ISO/IEC 27001:2022 gaires. Raskite ir pašalinkite spragas prieš tai, kai tikras incidentas privers veikti.

Išvada: nuo reglamentavimo naštos iki strateginio turto

Geriausias reagavimo į incidentus planas daro daugiau nei tik pažymi reglamentavimo langelį. Jis sujungia teisę, technologijas ir aiškius žmonių procesus į įrodytą, išbandytą ir visais lygmenimis suprantamą pajėgumą. Jis paverčia reaktyvų ir stresą keliantį įvykį prognozuojamu, valdomu procesu.

Naudojant Clarysec priemonių rinkinius, įskaitant Zenith Controls ir Zenith Blueprint, jūsų IRP iš dokumentinio pratimo virsta gyva gynyba — tokia, kuri gali užtikrintai atsakyti valdybai, auditoriui ir, kai trenkia žaibas, reguliuotojo skambučiui 2:13 val. nakties.