Izspiedējprogrammatūras maksājumu pārvaldība NIS2 un DORA kontekstā

Ir 2026. gada darbdienas plkst. 3.17 no rīta. Maria, strauji augošas finanšu tehnoloģiju platformas galvenā informācijas drošības vadītāja (CISO), tiek pievienota krīzes saziņas kanālam pēc vadošā SOC analītiķa ziņojuma: apstiprināta plaša šifrēšana, pamatpakalpojumi nav pieejami, un izspiedējprogrammatūras grupa apgalvo, ka ir nozagusi 2 TB klientu datu.

Pirmais zvanam pievienojas izpilddirektors (CEO). Pēc tam — Juridiskais dienests, privātuma funkcija, finanšu komanda, komunikācijas komanda, kiberapdrošinātājs, digitālās kriminālistikas pakalpojumu sniedzējs un mākoņoperāciju komanda. Tumšā tīmekļa portālā redzama 48 stundu laika atskaite un septiņciparu prasība kriptovalūtā.

CEO uzdod jautājumu, no kura baidās ikviens CISO.

“Vai mēs drīkstam maksāt, un kurš ir pilnvarots pieņemt šo lēmumu?”

Nepareizā atbilde ir izturēties pret to kā pret sarunu problēmu. Pareizā atbilde ir izturēties pret to kā pret pārvaldības problēmu.

2026. gadā izspiedējprogrammatūras maksājuma lēmumu pārvaldība vairs nav privāta, tehniska krīzes izvēle. To var vērtēt regulatori, auditori, apdrošinātāji, klienti, tiesībaizsardzības iestādes, akcionāri un valde. Maksājuma lēmums krustojas ar sankciju riskiem, personas datu aizsardzības pārkāpuma izvērtēšanu, kiberapdrošināšanas nosacījumiem, līgumiskajiem pienākumiem, krīzes komunikāciju, pierādījumu saglabāšanu, NIS2 pakāpenisko ziņošanu, DORA incidentu klasifikāciju, GDPR paziņošanu un pēcincidenta uzlabošanu.

Tāpēc Clarysec iesaka klientiem izveidot izspiedējprogrammatūras maksājumu lēmumu pārvaldību IDPS ietvaros pirms incidenta. ISO/IEC 27001:2022 nodrošina pārvaldības sistēmas struktūru. ISO/IEC 27002:2022 kontroles pasākumi nodrošina darbības modeli. Zenith Blueprint: auditora 30 soļu ceļvedis un Zenith Controls: starpatbilstības ceļvedis palīdz šo struktūru pārvērst praktiskos, auditējamos pierādījumos.

Ar izspiedējprogrammatūras rokasgrāmatu, kurā teikts “informēt Juridisko dienestu”, nepietiek. Organizācijai jāzina, kurš drīkst autorizēt sarunas, kā tiek veikta sankciju pārbaude, kad jāsaņem apdrošinātāja apstiprinājums, kā tiek dokumentēta GDPR, NIS2 un DORA klasifikācija un kā tiek aizsargāti pierādījumi, kamēr atjaunošanas komandas strādā paaugstināta spiediena apstākļos.

Kāpēc ad hoc izspiedējprogrammatūras maksājumu lēmumi neizdodas

Izspiedējprogrammatūras maksājuma lēmumu bieži raksturo kā bināru: maksāt vai nemaksāt. Patiesībā lēmumam ir vismaz seši slāņi:

1. Vai notikums ir apstiprināts, ierobežots un pareizi klasificēts?
2. Vai ir ietekmēti personas dati, regulēti dati vai kritisku pakalpojumu sniegšana?
3. Vai organizācijai juridiski ir atļauts sazināties vai veikt darījumu ar apdraudējuma aktoru?
4. Vai kiberapdrošināšana prasa iepriekšēju paziņošanu, apstiprinātus piegādātājus, piekrišanu vai konkrētus pierādījumus?
5. Vai maksājums samazinātu biznesa ietekmi, vai arī palielinātu juridisko, finanšu un reputācijas risku?
6. Kuram ir pilnvaras pieņemt lēmumu, un kā šis lēmums tiek reģistrēts?

Aktīva incidenta laikā savstarpēji nesaistītas komandas bieži virzās dažādos virzienos. CFO var uztvert izpirkuma maksu kā biznesa izmaksas salīdzinājumā ar pieaugošu dīkstāvi. Juridiskais dienests redz sankcijas, finanšu noziegumu riskus un regulatīvos riskus. Datu aizsardzības speciālists (DPO) izvērtē, vai šifrēti vai neatļauti iznesti dati rada ziņojamu personas datu aizsardzības pārkāpumu. Atbilstības funkcija seko NIS2 un DORA ziņošanas termiņiem. CISO cenšas saglabāt pierādījumus, vienlaikus atjaunojot pakalpojumus. CEO vēlas saņemt rekomendāciju pirms uzbrucēja laika atskaites beigām.

Bez formāla lēmumu pieņemšanas procesa skaļākā balss telpā var kļūt par pārvaldības modeli. Tieši šādu situāciju mūsdienu kiberdrošības regulējums ir paredzēts novērst.

NIS2 padara kiberdrošību par vadības atbildību. Article 20 attiecas uz vadības institūciju pārvaldību un pārskatatbildību, savukārt Article 21 prasa risku pārvaldības pasākumus, kas aptver incidentu apstrādi, darbības nepārtrauktību, rezerves kopiju pārvaldību, krīzes vadību, piegādes ķēdes drošību, piekļuves kontroli, aktīvu pārvaldību, MFA un efektivitātes izvērtēšanu. Article 23 nosaka pakāpenisku ziņošanu par būtiskiem incidentiem, tostarp agrīno brīdinājumu 24 stundu laikā, paziņojumu 72 stundu laikā un galīgo ziņojumu viena mēneša laikā, ja piemērojams.

Finanšu subjektiem DORA ir nozarspecifisks darbības noturības noteikumu kopums. Article 5 uzliek vadības institūcijai atbildību par IKT risku pārvaldību. Articles 17, 18 un 19 attiecas uz ar IKT saistītu incidentu pārvaldību, klasifikāciju un būtisku ar IKT saistītu incidentu ziņošanu. DORA prasa arī reaģēšanas un atjaunošanas spējas, rezerves kopijas un atjaunošanu, pēcincidenta mācīšanos, testēšanu un IKT trešo pušu riska pārvaldību.

GDPR pievieno atsevišķu, bet pārklājošu izvērtēšanu. Ja izspiedējprogrammatūra izraisa nejaušu vai nelikumīgu personas datu iznīcināšanu, nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi tiem, pārzinim jāizvērtē, vai ir noticis personas datu aizsardzības pārkāpums. Ja paziņošana ir nepieciešama, uzraudzības iestādes 72 stundu termiņš parasti sākas no brīža, kad organizācija par pārkāpumu uzzinājusi. Ja pastāv augsts risks fiziskām personām, var būt nepieciešama arī paziņošana skartajām personām.

Secinājums ir vienkāršs: izpirkuma jautājumu nedrīkst pirmo reizi uzdot krīzes telpā.

ISO 27001:2022 kontroles pasākumi, kas balsta maksājumu pārvaldību

ISO/IEC 27001:2022 IDPS nav auditoru kontrolsaraksts. Tā ir pārvaldības sistēma uz risku balstītu lēmumu pieņemšanai. Izspiedējprogrammatūras maksājumu pārvaldībai jābūt šīs sistēmas daļai, jo tā apvieno risku izvērtēšanu, riska apstrādi, lomas, juridiskos pienākumus, reaģēšanu uz incidentiem, nepārtrauktību, piegādātāju pārvaldību un nepārtrauktu uzlabošanu.

Būtiskākie ISO 27001:2022 Annex A kontroles pasākumi veido savienotu kontroles ķēdi.

Zenith Controls sadaļa par A.5.24, Informācijas drošības incidentu pārvaldības plānošanu un sagatavošanos, klasificē šo kontroles pasākumu kā koriģējošu, sasaistītu ar konfidencialitāti, integritāti un pieejamību un saskaņotu ar reaģēšanas un atjaunošanas konceptiem. Tā sasaista A.5.24 arī ar A.5.25 notikumu izvērtēšanu, A.5.27 mācīšanos no incidentiem, A.8.15 žurnalēšanu, A.8.16 uzraudzību, A.5.29 drošību darbības traucējumu laikā, nepārtrauktību un saziņu ar iestādēm.

Tas ir būtiski, jo izspiedējprogrammatūras maksājumu pārvaldība ir ķēde. Ja nevarat atklāt un klasificēt notikumu, nevarat pieņemt lēmumu. Ja nevarat saglabāt pierādījumus, nevarat aizstāvēt lēmumu. Ja juridiskie pienākumi nav kartēti, sarunas vai maksājums var būt nelikumīgi. Ja atjaunošanas iespējas nav pārbaudītas, vadība var tikt piespiesta pieņemt lēmumu, balstoties bailēs, nevis faktos.

Zenith Controls skaidri formulē saikni starp sagatavošanos un lēmumu pieņemšanu:

“5.25 ir lēmuma punkts, kas nosaka, kad notikums pārsniedz slieksni un kļūst par drošības incidentu, iedarbinot 5.26 aprakstītās darbības. Savlaicīga un precīza notikuma izvērtēšana nodrošina, ka reaģēšana uz incidentiem netiek ne aizkavēta, ne novirzīta nepareizā virzienā.”

Tas pats ceļvedis sasaista A.5.31, Juridiskās, normatīvās, regulatīvās un līgumiskās prasības, ar privātumu, ierakstu glabāšanu, neatkarīgu pārskatīšanu un atbilstību iekšējām politikām. Izspiedējprogrammatūras gadījumā A.5.31 ir vieta, kur vienā atbilstības reģistrā tiek fiksēta sankciju pārbaude, apdrošināšanas pienākumi, sadarbība ar tiesībaizsardzības iestādēm, klientu līgumi, datu aizsardzības pienākumi un nozares regulatīvā ziņošana.

Clarysec piecu kontrolpunktu izspiedējprogrammatūras maksājumu pārvaldības modelis

Clarysec modelis sadala izspiedējprogrammatūras maksājumu lēmumu pārvaldību piecos kontrolpunktos. Mērķis nav atvieglot maksāšanu. Mērķis ir panākt, lai jebkurš lēmums, tostarp atteikums maksāt, būtu balstīts pierādījumos, juridiski izvērtēts, autorizēts un auditējams.

Šis modelis izmanto ISO 27001 riska apstrādes loģiku. Izspiedējprogrammatūras maksājums nav drošības kontroles pasākums. Labākajā gadījumā tā ir krīzes opcija, kas tiek apsvērta riska apstrādes un atjaunošanas kontekstā. Pirms incidenta organizācijai jau jābūt izlēmušai, kā tiek apstrādāti izspiedējprogrammatūras riski: mazināt ar kontroles pasākumiem, daļu finanšu ietekmes pārnest ar apdrošināšanu, izvairīties no nepieņemamām mantotām atkarībām vai skaidri pieņemt atlikušo risku, ja tas ir pamatots.

Risku pārvaldības posmā, 13. solī, Risku apstrādes plānošana un Piemērojamības paziņojums, Zenith Blueprint organizācijām nosaka izvēlēties apstrādes iespējas katram riskam un dokumentēt tās Riska reģistrā. Tas brīdina, ka pārnešana, piemēram, kiberapdrošināšana, neatceļ vajadzību pēc kontroles pasākumiem, jo pārnešana bieži attiecas uz finanšu ietekmi, nevis varbūtību. Tajā arī norādīts:

“Pieņemšanai jābūt skaidrai un vadības apstiprinātai, īpaši jebkuriem vidējiem riskiem. Augsti riski reti tiek pieņemti, ja vien tie patiesi nav neizbēgami un par tiem nav panākta vienošanās augstākajā līmenī.”

Šis formulējums ir tieši attiecināms uz izspiedējprogrammatūras maksājumu pārvaldību. Ja valdei tiek lūgts pieņemt atlikušo risku, kas saistīts ar atteikšanos maksāt, vai juridisko un reputācijas risku, kas saistīts ar sarunu apstiprināšanu, pieņemšanai jābūt skaidrai, reģistrētai un apstiprinātai ar atbilstošām pilnvarām.

Clarysec Risku pārvaldības politika pastiprina to pašu principu:

“Riska apstrādes lēmumiem jāatbilst iepriekš definētajām iespējām”
No 5.5. punkta.

Tādēļ izpirkuma lēmums nav īsceļš ap risku pārvaldību. Tas jāapstrādā kā formāls, dokumentēts riska apstrādes lēmums saskaņā ar noteiktām pilnvarām.

Politikas pilnvaras: kurš drīkst lemt spiediena apstākļos?

Daudzas izspiedējprogrammatūras neveiksmes ir pārvaldības neveiksmes, kas maskētas kā tehniskas neveiksmes. Kāds sazinās ar uzbrucēju ārpus apstiprinātā kanāla. Kāds apsola maksājumu pirms apdrošinātāja apstiprinājuma. Kāds atjauno sistēmas un pārraksta digitālās kriminālistikas pierādījumus. Kāds informē klientus pārāk agri, pārāk vēlu vai ar neprecīziem faktiem.

Clarysec politikas ir izstrādātas, lai novērstu šo neskaidrību.

SME gadījumā Pārvaldības lomu un atbildību politika SME nosaka vienkāršu noteikumu:

“Visiem būtiskajiem drošības lēmumiem, izņēmumiem un eskalācijām jābūt reģistrētiem un izsekojamiem.”
No sadaļas “Pārvaldības prasības”, politikas 5.5. punkts.

SME Incidentu reaģēšanas politika SME piešķir eskalācijas pilnvaras:

“Ģenerāldirektors (GM) ir atbildīgs par visu incidentu eskalācijas lēmumu, regulatīvo paziņojumu un ārējās komunikācijas autorizēšanu.”
No sadaļas “Pārvaldības prasības”, politikas 5.1.1. punkts.

Tā arī sasaista klientu datu incidentus ar regulatīvajiem pienākumiem:

“Ja ir iesaistīti klientu dati, ģenerāldirektoram jāizvērtē juridiskie paziņošanas pienākumi, pamatojoties uz GDPR, NIS2 vai DORA piemērojamību.”
No sadaļas “Risku apstrāde un izņēmumi”, politikas 7.4.1. punkts.

Lielākām organizācijām uzņēmuma Pārvaldības lomu un atbildību politika prasa tūlītēju eskalāciju, ja var pastāvēt juridiski riski vai ziņojami datu aizsardzības pārkāpumi:

“Juridiskā/regulatīvā eskalācija: incidenti, kas ietver iespējamu juridisku pakļautību riskam vai ziņojamus datu aizsardzības pārkāpumus, nekavējoties jāeskalē Juridiskajam un atbilstības speciālistam un Izpildvadībai.”
No sadaļas “Politikas ieviešanas prasības”, politikas 6.4.3. punkts.

Uzņēmuma Incidentu reaģēšanas politika nosaka izpildvadības pilnvaras smagu incidentu laikā. 4.6.1. punkts paredz, ka Izpildvadības komandas loma ir:

“Pieņemt stratēģiskus lēmumus augstas smaguma pakāpes incidentu laikā, tostarp apstiprināt paziņojumus un publisko komunikāciju.”

Izspiedējprogrammatūras kontekstā Clarysec maksājuma apspriešanu, sarunu autorizāciju, klientu paziņošanu, regulatīvo paziņojumu un publisko komunikāciju uzskata par stratēģiskiem lēmumiem, nevis tehniskām darbībām.

No tā izriet praktisks pārvaldības noteikums: CISO var sniegt ieteikumu, incidentu komanda var izvērtēt, Juridiskais dienests var konsultēt, finanses var validēt maksājuma mehāniku, apdrošinātājs var piekrist vai atteikt segumu, bet lēmums saskaņā ar iepriekš definētām pilnvarām pieder izpildvadībai vai valdei.

Sankciju prasībām atbilstoša eskalācija pirms jebkādām sarunām

Sankciju prasībām atbilstošs izspiedējprogrammatūras process sākas ar aizliegumu: neviens darbinieks, līgumslēdzējs, piegādātājs, brokeris, sarunu vedējs vai incidentu reaģētājs nedrīkst vest sarunas, solīt, veicināt vai nodot vērtību apdraudējuma aktoram bez apstiprinātas juridiskās pārbaudes.

Juridiskajam kontrolpunktam jānotiek pirms jebkādas aktīvas iesaistes ar uzbrucēju, nevis pēc kriptomaka adreses parādīšanās. Procesā jāiekļauj:

• Juridiskais dienests tiek iesaistīts pirms jebkādas komunikācijas, kas pārsniedz pasīvu pierādījumu fiksēšanu.
• Apdraudējuma aktora identificēšana, izmantojot digitālās kriminālistikas, draudu izlūkošanas un tiesībaizsardzības iestāžu ievaddatus, ja tie ir pieejami.
• Sankciju un ierobežoto pušu pārbaude attiecībā uz grupu nosaukumiem, pseidonīmiem, kriptomaku adresēm, infrastruktūru, starpniekiem un maksājumu kanāliem.
• Tiesībaizsardzības iestāžu konsultācija tiek apsvērta un reģistrēta.
• Kiberapdrošinātājs tiek informēts saskaņā ar polises noteikumiem pirms piegādātāju iecelšanas vai sarunu sākšanas.
• DPO vai privātuma vadītājs tiek iesaistīts, ja var būt iesaistīti personas dati.
• CFO vai finanšu vadītājs apstiprina maksājumu kontroles pasākumus, pienākumu nodalīšanu, krāpšanas novēršanas pārbaudes un valdes apstiprinājuma prasības.
• Izpildvadības lēmums tiek reģistrēts kopā ar izvērtētajām alternatīvām, tostarp atjaunošanu, ierobežošanu, pakalpojuma apturēšanu, klientu komunikāciju un atteikumu maksāt.
• Pierādījumi tiek saglabāti par uzbrucēja komunikāciju, indikatoriem, kriptomaka datiem, lēmumu sanāksmēm, apstiprinājumiem un ārējām konsultācijām.

Izspiedējprogrammatūras gadījumā juridiskajā reģistrā jāiekļauj vismaz šādi pienākumu avoti.

Organizācijām jādefinē arī, kurš drīkst apturēt maksājuma lēmumu. Juridiskajam dienestam, atbilstības funkcijai, DPO, sankciju konsultantam vai valdei jābūt skaidrām pilnvarām apturēt sarunas vai maksājumu, ja pārbaude nav pabeigta, pierādījumi nav uzticami, apdrošinātāja nosacījumi nav izpildīti vai darbība var pārkāpt likumu vai līgumu.

Pierādījumu saglabāšana: neiznīciniet pierādījumus, atjaunojot pakalpojumu

Izspiedējprogrammatūras komandas dabiski steidzas atjaunot darbību. Taču, ja atjaunošana iznīcina žurnālus, momentuzņēmumus, izpirkuma pieprasījumus, ļaunatūras paraugus, atmiņas attēlus vai uzbrucēja ziņojumus, organizācija var zaudēt spēju pierādīt, kas notika.

Kontroles pasākumu darbības posmā, 23. solī, Organizatoriskās kontroles, Zenith Blueprint organizācijām norāda validēt un testēt incidentu pārvaldības spējas, definējot ziņojamus drošības notikumus, dokumentējot lēmumu pieņemšanu un saglabājot digitālās kriminālistikas pierādījumus. Tas komandām norāda:

“Fiksējiet un reģistrējiet žurnālā visus lēmumus, lomas un komunikāciju (5.26), un atjauniniet plānu ar gūtajām mācībām (5.27). Apstipriniet, ka ir ieviestas procedūras digitālās kriminālistikas pierādījumu saglabāšanai (5.28), tostarp žurnālu momentuzņēmumiem, rezerves kopijām un skarto sistēmu drošai izolācijai.”

Tas pats solis A.5.28 skaidro valdei saprotamā valodā:

“tas, ko varat pierādīt, ir tikpat svarīgi kā tas, kas patiesībā notika”

Clarysec uzņēmuma Digitālo pierādījumu iegūšanas un kriminālistikas politika pastiprina prasību, ka pierādījumiem jāpaliek izsekojamiem:

“Pierādījumu glabāšanas ķēdes žurnālam jāpavada visi fiziskie vai digitālie pierādījumi no iegūšanas brīža līdz arhivēšanai vai nodošanai, un tajā jādokumentē:”
No sadaļas “Pārvaldības prasības”, politikas 5.6. punkts.

SME vajadzībām Digitālo pierādījumu iegūšanas un kriminālistikas politika SME ir apzināti praktiska:

“Vienmēr jāizveido kriminālistiska kopija vai eksports; sākotnējos pierādījumus nekad nedrīkst rediģēt tieši.”
No sadaļas “Politikas ieviešanas prasības”, politikas 6.1.1. punkts.

Tā prasa arī juridisku konsultāciju, ja var pastāvēt personāla, juridiska vai klientu ietekme:

“Ja incidents ietver iespējamu Cilvēkresursu (HR), juridisku vai klientu ietekmi, GM pirms politikas piemērošanas vai eskalācijas turpināšanas jākonsultējas ar Juridisko dienestu.”
No sadaļas “Pārvaldības prasības”, politikas 5.4.2. punkts.

Praktiska pierādījumu paka jāatver 2. kontrolpunkta laikā. Izveidojiet ierobežotas piekļuves incidenta pierādījumu mapi. Eksportējiet SIEM laika skalas, EDR detekcijas, mākoņvides audita žurnālus, identitātes nodrošinātāja pierakstīšanās žurnālus, rezerves kopiju uzdevumu statusu, izpirkuma pieprasījumus, ekrānuzņēmumus, uzbrucēja ziņojumus, kriptomaku adreses, datņu paraugus, juridisko konsultāciju atsauces, apdrošinātāja korespondenci un sanāksmju lēmumus. Piešķiriet glabātāju. Reģistrējiet jaucējvērtības, kur tas ir piemērojams. Neļaujiet administratoriem tīrīt skartās sistēmas pirms digitālās kriminālistikas iegūšanas, ja vien to neprasa dzīvības drošība, kritiska pakalpojuma aizsardzība vai izpildvadības apstiprināta ierobežošana.

Viena klasifikācijas darblapa NIS2, DORA un GDPR vajadzībām

Izspiedējprogrammatūras incidents var iedarbināt vairākus termiņus. Izaicinājums nav tikai zināt termiņus. Izaicinājums ir zināt, kad organizācija uzzināja par incidentu, ko tā tajā brīdī zināja un kā tika pieņemti klasifikācijas lēmumi.

NIS2 Article 23 prasa būtiskām un svarīgām vienībām bez nepamatotas kavēšanās paziņot CSIRT vai kompetentajai iestādei par būtiskiem incidentiem. Būtiskums ir saistīts ar smagiem darbības traucējumiem, finanšu zaudējumiem vai ievērojamu materiālu vai nemateriālu kaitējumu citiem. Pakāpeniskais modelis ietver agrīno brīdinājumu 24 stundu laikā, paziņojumu 72 stundu laikā, starpposma atjauninājumus pēc pieprasījuma un galīgo ziņojumu viena mēneša laikā pēc incidenta paziņojuma, ja piemērojams.

DORA prasa finanšu subjektiem definēt un ieviest ar IKT saistītu incidentu pārvaldību, reģistrēt incidentus un būtiskus kiberdraudus, klasificēt incidentus pēc tādiem kritērijiem kā skartie klienti, ilgums, ģeogrāfiskais izplatījums, datu zudums, kritiskums un ekonomiskā ietekme, kā arī ziņot par būtiskiem ar IKT saistītiem incidentiem kompetentajām iestādēm, izmantojot sākotnējos, starpposma un galīgos ziņojumus.

GDPR uzdod citu, bet pārklājošu jautājumu: vai incidents izraisīja personas datu aizsardzības pārkāpumu? Ja jā, vai tas, visticamāk, rada risku fiziskām personām? Ja paziņošanas slieksnis ir sasniegts, paziņošana uzraudzības iestādei jāizvērtē pret 72 stundu termiņu. Ja pastāv augsts risks, var būt nepieciešama arī saziņa ar fiziskām personām.

Clarysec iesaka izmantot vienu izspiedējprogrammatūras klasifikācijas darblapu ar atsevišķām sadaļām katram režīmam.

Šī pieeja atbilst ISO 27001 punktiem par risku izvērtēšanu, riska apstrādi un dokumentētu informāciju. Tā atbilst arī NIST CSF 2.0. NIST CSF 2.0 GOVERN funkcija sagaida, ka organizācijas izprot iesaistītās puses, juridiskos un regulatīvos pienākumus, riska apetīti, lomas, politiku, pārraudzību un trešo pušu risku. Tās atklāšanas, reaģēšanas un atjaunošanas rezultāti atbalsta incidenta paziņošanu, analīzi, reaģēšanas koordināciju, iesaistīto pušu informēšanu, atjaunošanas izpildi un atjaunošanas validāciju.

Finanšu subjektiem DORA var darboties kā nozarspecifisks kiberdrošības režīms pārklājošiem NIS2 pienākumiem, taču tas neatceļ nepieciešamību izprast NIS2 piemērojamību grupas vienībām, IKT pakalpojumu sniedzējiem, pārvaldītiem pakalpojumiem vai mākoņatkarībām. Praktiskā atbilde nav uzturēt atsevišķas rokasgrāmatas. Praktiskā atbilde ir izmantot vienu IDPS pierādījumu modeli, kas kartēts pret visiem attiecīgajiem pienākumiem.

Kiberapdrošināšana un piegādātāju koordinācija ir pārvaldības kontroles pasākumi

Kiberapdrošināšana var būt vērtīga, bet tā nav izspiedējprogrammatūras stratēģija. Tā ir riska pārnešanas mehānisms ar nosacījumiem. Izspiedējprogrammatūras notikuma laikā apdrošinātājs var prasīt tūlītēju paziņošanu, paneļa uzņēmumu izmantošanu, iepriekšēju apstiprinājumu sarunām, pierādījumu saglabāšanu, rezerves kopiju atteices pierādījumu, saprātīgu kontroles pasākumu pierādījumu un juridisku pārbaudi pirms jebkādas maksājuma apsvēršanas.

DORA padara IKT trešo pušu risku par pilnvērtīgu atbilstības jomu. NIS2 Article 21 prasa arī piegādes ķēdes drošību un piegādātāju ievainojamību un kiberdrošības prakšu izvērtēšanu. ISO 27001 atbalsta to pašu loģiku ar piegādātāju un mākoņpakalpojumu kontroles pasākumiem, piemēram, A.5.19 līdz A.5.23, kā arī incidentu, nepārtrauktības un juridiskajiem kontroles pasākumiem.

Zenith Controls sasaista incidentu sagatavošanos ar ārējiem partneriem, tostarp digitālās kriminālistikas uzņēmumiem, Juridisko dienestu, PR un saziņu ar iestādēm. No audita skatpunkta iepriekš identificētu ārējo partneru neesamību var uzskatīt par gatavības trūkumu, jo tā var aizkavēt reaģēšanu reāla incidenta laikā.

Izspiedējprogrammatūras maksājumu pārvaldībai Clarysec iesaka iepriekš vienoties par:

• Digitālās kriminālistikas retainer vai ātrās reaģēšanas noteikumiem.
• Ārējā juridiskā konsultanta pieejamību pārkāpumu, sankciju un konfidencialitātes stratēģijai.
• Kiberapdrošinātāja paziņošanas ceļu un apstiprināto piegādātāju sarakstu.
• Mākoņpakalpojumu sniedzēja eskalācijas ceļu momentuzņēmumiem, žurnāliem, izolācijai un atjaunošanai.
• MSSP vai MDR incidentu sadarbības procedūrām.
• PR un krīzes komunikācijas pārskatīšanas procesam.
• Banku vai finanšu apstiprinājuma kontroles pasākumiem jebkuram ārkārtas maksājumam.
• Tiesībaizsardzības iestāžu kontaktēšanas protokolam.

Tas labi kartējas ar NIST CSF 2.0 piegādes ķēdes rezultātiem, tostarp piegādātāju lomām un pienākumiem, sākotnējo izpēti, līgumiskajām kiberdrošības prasībām, piegādātāju incidentu koordināciju un darbībām pēc līguma izbeigšanas.

Praktiska izspiedējprogrammatūras maksājumu eskalācijas rokasgrāmata

Pieci kontrolpunkti var tikt pārvērsti operatīvā rokasgrāmatā. Katram solim jābūt dokumentētam, ar īpašnieku un izmēģinātam.

Mērķis nav garantēt ērtu lēmumu. Ērta lēmuma var nebūt. Mērķis ir nodrošināt, ka lēmums ir autorizēts, balstīts pierādījumos, juridiski informēts un aizstāvams.

90 minūšu galda vingrinājums, kas pierāda gatavību

Vienkāršākais veids, kā pārbaudīt izspiedējprogrammatūras maksājumu pārvaldību, nav tehnisks Red Team vingrinājums. Tas ir lēmumu galda vingrinājums.

Izmantojiet Zenith Blueprint, Kontroles pasākumu darbības posmu, 23. soli, lai validētu incidentu pārvaldības spējas. Izvēlieties izspiedējprogrammatūras scenāriju un veiciet laika ierobežotu vingrinājumu. Mērķis nav iepriekš izlemt, vai organizācija maksātu vai nekad nemaksātu. Mērķis ir pierādīt, ka organizācija spēj nonākt līdz pārvaldītam lēmumam.

Scenārijs: mākoņvidē izvietota klientu datubāze ir šifrēta, uzbrucējs apgalvo, ka notikusi datu neatļauta iznese, rezerves kopijas pastāv, bet to integritāte vēl nav pārbaudīta, apdrošinātājs nav informēts, un uzbrucējs sniedz kriptomaka adresi ar 48 stundu termiņu.

Vingrinājuma kontrolsaraksts:

• Paziņot incidentu un norīkot incidenta vadītāju.
• Atvērt izspiedējprogrammatūras lēmumu žurnālu.
• Klasificēt notikumu, izmantojot A.5.25 kritērijus.
• Identificēt skartos aktīvus un biznesa pakalpojumus.
• Noteikt, vai ir iesaistīti personas dati.
• Iedarbināt GDPR, NIS2, DORA un līgumiskās izvērtēšanas darbplūsmas.
• Informēt Juridisko dienestu, DPO, izpildvadību, apdrošinātāju un digitālās kriminālistikas pakalpojumu sniedzēju.
• Saglabāt pierādījumus pirms destruktīvām atjaunošanas darbībām.
• Pārbaudīt rezerves kopiju integritāti un atjaunošanas iespējas.
• Veikt sankciju pārbaudi pirms jebkādām sarunām.
• Reģistrēt, vai nepieciešama konsultācija ar tiesībaizsardzības iestādēm.
• Sagatavot sākotnējos paziņojumus klientiem un regulatoriem.
• Prezentēt lēmuma iespējas izpildpilnvaras turētājam.
• Reģistrēt lēmumu, pamatojumu, iebildumus, apstiprinājumus un nākamās darbības.
• Ieplānot pēcincidenta pārskatīšanu un kontroles pasākumu uzlabošanas darbības.

Rezultātam jābūt pilnai pierādījumu pakai: dalībnieku sarakstam, laika skalai, klasifikācijas darblapai, lēmumu žurnālam, komunikācijas melnrakstiem, juridiskajiem darbības uzdevumiem, apdrošinātāja darbības uzdevumiem, rezerves kopiju konstatējumiem un gūtajām mācībām. Šī paka ir audita zelts, jo tā parāda, ka pārvaldība darbojas pirms reālas krīzes.

Kā auditori un regulatori pārbaudīs procesu

Auditori ar dažādu pieredzi vienu un to pašu izspiedējprogrammatūras procesu vērtēs caur dažādām prizmām.

Zenith Controls nodrošina detalizētu audita metodoloģiju A.5.24, A.5.25 un A.5.31 kontroles pasākumiem. A.5.24 gadījumā auditori pārbauda incidentu reaģēšanas plānu, smaguma pakāpes klasifikācijas, lomas, kontaktu sarakstus, regulatīvās ziņošanas instrukcijas, vingrinājumus un ārējo partneru kārtību. A.5.25 gadījumā viņi pārskata, vai pastāv notikumu klasifikācijas kritēriji, vai brīdinājumu apstrādes ieraksti parāda izmeklēšanas un eskalācijas lēmumus, vai tiek izmantots SIEM un draudu izlūkošana un vai DPO vai Juridiskais dienests tiek iesaistīts, kad var būt skarti personas dati. A.5.31 gadījumā auditori meklē juridiskos reģistrus, atbilstības kartējumu, pārskatīšanas pierādījumus, iekšējā audita pārklājumu un ziņošanu augstākajai vadībai.

Audita risks nav tikai tas, ka organizācija samaksāja vai atteicās maksāt. Audita risks ir tas, ka neviens nevar pierādīt, kā lēmums tika pieņemts.

No izspiešanas līdz kontroles pasākumu uzlabošanai

Izspiedējprogrammatūras pārvaldība nebeidzas, kad sistēmas ir atjaunotas. ISO 27001 sagaida nepārtrauktu uzlabošanu. A.5.27 mācīšanās no informācijas drošības incidentiem ir šīs prasības centrā. DORA prasa pamatcēloņa analīzi un papildu kontroles pasākumus. NIS2 galīgā ziņošana sagaida mazināšanas pasākumus un iespējamo pamatcēloni, ja piemērojams. GDPR pārskatatbildība sagaida lēmumu un drošības pasākumu dokumentēšanu.

Katrai izspiedējprogrammatūras pēcincidenta pārskatīšanai jāatbild uz šādiem jautājumiem:

• Vai ziņošanas termiņi tika identificēti pareizi?
• Vai lēmumu pieņemšanas pilnvaras darbojās kā paredzēts?
• Vai juridiskā un sankciju pārskatīšana notika pietiekami agri?
• Vai apdrošinātāja koordinācija palīdzēja vai aizkavēja reaģēšanu?
• Vai rezerves kopijas bija pilnīgas, nodalītas, atjaunojamas un pārbaudītas?
• Vai žurnāli bija pietiekami, lai izvērtētu piekļuvi un datu neatļautu iznesi?
• Vai piegādātāji reaģēja atbilstoši līgumam?
• Vai klientu komunikācija bija precīza un savlaicīga?
• Vai vadība saņēma pareizo informāciju pareizajā laikā?
• Kuri kontroles pasākumi, politikas, līgumi vai apmācības jāmaina?

Šīm atbildēm jāatjaunina riska reģistrs, Piemērojamības paziņojums, incidentu reaģēšanas plāns, rezerves kopiju stratēģija, piegādātāju līgumi, komunikācijas plāns un apmācību programma.

IDPS pamatu un vadības posmā, 5. solī, Zenith Blueprint uzsver ārējās komunikācijas plānošanu, tostarp klientu, regulatoru, partneru un sabiedrības identificēšanu, to, ko un kad komunicēt, un to, kurš komunicē. Izspiedējprogrammatūras gadījumā šis solis kļūst par tiltu starp tehnisko reaģēšanu un uzticēšanās saglabāšanu.

Izveidojiet lēmuma ierakstu pirms izpirkuma pieprasījuma

Labākais laiks izpirkuma lēmuma pārvaldīšanai ir pirms uzbrucējs nosaka termiņu.

Ja jūsu izspiedējprogrammatūras rokasgrāmata nenosaka lēmumu pieņemšanas pilnvaras, juridisko pārbaudi, sankciju pārbaudi, apdrošinātāja apstiprinājumu, pierādījumu saglabāšanu, NIS2 un DORA klasifikāciju, GDPR pārkāpuma izvērtēšanu un valdes līmeņa dokumentēšanu, organizācijai ir pārvaldības trūkums, kas gaida krīzi.

Clarysec palīdz organizācijām iekļaut šo spēju IDPS, izmantojot:

• Zenith Blueprint: auditora 30 soļu ceļvedis pakāpeniskai ISO 27001 ieviešanai, riska apstrādei, komunikācijas plānošanai un incidentu spēju validācijai.
• Zenith Controls: starpatbilstības ceļvedis ISO 27001 kontroles pasākumu kartēšanai pret NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 un audita pierādījumiem.
• Clarysec uzņēmuma un SME politikas, tostarp Incidentu reaģēšanas politika, Incidentu reaģēšanas politika SME, Digitālo pierādījumu iegūšanas un kriminālistikas politika, Digitālo pierādījumu iegūšanas un kriminālistikas politika SME, Pārvaldības lomu un atbildību politika, Pārvaldības lomu un atbildību politika SME un Risku pārvaldības politika.
• Praktiskas izspiedējprogrammatūras galda vingrinājumu veidnes, lēmumu žurnālus, juridiskās eskalācijas matricas, pierādījumu pakas un starpatbilstības ziņošanas darblapas.

Negaidiet plkst. 3.00 zvanu, lai atklātu, kurš drīkst lemt. Pārskatiet savu incidentu reaģēšanas plānu pret Clarysec pieciem kontrolpunktiem, veiciet 90 minūšu izspiedējprogrammatūras maksājumu galda vingrinājumu un izveidojiet sankciju prasībām atbilstošu, auditam gatavu lēmuma ierakstu, kas izturēs regulatoru, apdrošinātāju un jūsu valdes pārbaudi.