Governanza tal-ħlasijiet ta’ ransomware għal NIS2 u DORA
Huma t-3:17 ta’ filgħodu f’jum tax-xogħol fl-2026. Maria, is-CISO ta’ pjattaforma fintech li qed tikber b’rata mgħaġġla, tiddaħħal f’konferenza ta’ kriżi permezz ta’ messaġġ mill-analista ewlieni tas-SOC tagħha: iċċifrar mifrux ikkonfermat, servizzi ewlenin wieqfa, u grupp ta’ ransomware qed jallega li seraq 2TB ta’ data tal-klijenti.
Is-CEO jidħol l-ewwel fis-sejħa. Warajh jingħaqdu l-legali, il-privatezza, il-finanzi, il-komunikazzjonijiet, l-assiguratur ċibernetiku, fornitur forensiku u t-tim tal-operazzjonijiet tal-cloud. Portal fuq id-dark web juri countdown ta’ 48 siegħa u talba ta’ seba’ ċifri f’kriptovaluta.
Is-CEO jistaqsi l-mistoqsija li kull CISO jibża’ minnha.
“Nistgħu nħallsu, u min għandu s-setgħa jiddeċiedi?”
It-tweġiba żbaljata hija li dan jiġi trattat bħala problema ta’ negozjar. It-tweġiba korretta hija li jiġi trattat bħala problema ta’ governanza.
Fl-2026, il-governanza tad-deċiżjonijiet dwar ħlasijiet ta’ ransomware m’għadhiex għażla privata u teknika waqt kriżi. Tista’ tiġi skrutinizzata minn regolaturi, awdituri, assiguraturi, klijenti, infurzar tal-liġi, azzjonisti u l-bord. Deċiżjoni dwar ħlas tmiss ma’ espożizzjoni għas-sanzjonijiet, evalwazzjoni ta’ ksur ta’ data personali, kundizzjonijiet tal-assigurazzjoni ċibernetika, obbligi kuntrattwali, komunikazzjonijiet ta’ kriżi, preservazzjoni tal-evidenza, rappurtar stadjat taħt NIS2, klassifikazzjoni tal-inċidenti taħt DORA, notifika taħt GDPR u titjib wara l-inċident.
Għalhekk Clarysec jagħti parir lill-klijenti biex jibnu l-governanza tad-deċiżjonijiet dwar ħlasijiet ta’ ransomware ġewwa l-ISMS qabel l-inċident. ISO/IEC 27001:2022 jipprovdi l-istruttura tas-sistema ta’ ġestjoni. Il-kontrolli ISO/IEC 27002:2022 jipprovdu l-mudell operattiv. Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awdituri u Zenith Controls: il-gwida għall-konformità trasversali jgħinu biex dik l-istruttura tinbidel f’evidenza prattika u awditjabbli.
Playbook ta’ ransomware li jgħid “innotifika lill-legali” mhuwiex biżżejjed. L-organizzazzjoni għandha tkun taf min jista’ jawtorizza n-negozjar, kif issir il-verifika tas-sanzjonijiet, meta għandha tinkiseb l-approvazzjoni tal-assiguratur, kif tiġi dokumentata l-klassifikazzjoni taħt GDPR, NIS2 u DORA, u kif tiġi protetta l-evidenza waqt li t-timijiet tal-irkupru jaħdmu taħt pressjoni.
Għaliex ifallu deċiżjonijiet ad hoc dwar ħlasijiet ta’ ransomware
Deċiżjoni dwar ħlas ta’ ransomware spiss tiġi deskritta bħala binarja: tħallas jew ma tħallasx. Fir-realtà, id-deċiżjoni għandha mill-inqas sitt saffi:
- L-avveniment ġie kkonfermat, imrażżan u kklassifikat b’mod korrett?
- Hija affettwata data personali, data regolata jew il-provvista ta’ servizzi kritiċi?
- L-organizzazzjoni hija legalment permessa tikkomunika jew tagħmel tranżazzjoni mal-attur tat-theddid?
- L-assigurazzjoni ċibernetika teħtieġ notifika minn qabel, fornituri approvati, kunsens jew evidenza speċifika?
- Il-ħlas inaqqas l-impatt fuq in-negozju, jew iżid ir-riskju legali, finanzjarju u reputazzjonali?
- Min għandu l-awtorità jiddeċiedi, u kif tiġi rreġistrata dik id-deċiżjoni?
Waqt inċident attiv, timijiet mhux allinjati spiss jiġbdu f’direzzjonijiet differenti. Is-CFO jista’ jqis ir-ransom bħala spiża tan-negozju meta mqabbel mal-ħin ta’ waqfien li qed jiżdied. Il-legali jaraw sanzjonijiet, kriminalità finanzjarja u espożizzjoni regolatorja. Id-DPO qed jevalwa jekk data iċċifrata jew eżfiltrata toħloqx ksur ta’ data personali li għandu jiġi nnotifikat. Il-konformità qed issegwi l-iskadenzi tar-rappurtar taħt NIS2 u DORA. Is-CISO qed jipprova jippreserva l-evidenza waqt li jirrestawra s-servizzi. Is-CEO irid rakkomandazzjoni qabel ma jiskadi t-timer tal-attakkant.
Mingħajr proċess formali ta’ deċiżjoni, l-aktar vuċi qawwija fil-kamra tista’ ssir il-mudell ta’ governanza. Din hija eżattament is-sitwazzjoni li r-regolamentazzjoni moderna taċ-ċibersigurtà hija mfassla biex tipprevjeni.
NIS2 tagħmel iċ-ċibersigurtà responsabbiltà tal-maniġment. Article 20 jindirizza l-governanza u r-responsabbiltà tal-korpi maniġerjali, filwaqt li Article 21 jeħtieġ miżuri ta’ ġestjoni tar-riskju li jkopru l-immaniġġjar tal-inċidenti, il-kontinwità tan-negozju, il-ġestjoni tal-backup, il-ġestjoni tal-kriżijiet, is-sigurtà tal-katina tal-provvista, il-kontroll tal-aċċess, il-ġestjoni tal-assi, MFA u l-evalwazzjoni tal-effettività. Article 23 joħloq rappurtar stadjat għal inċidenti sinifikanti, inkluża twissija bikrija fi żmien 24 siegħa, notifika fi żmien 72 siegħa u rapport finali fi żmien xahar fejn applikabbli.
Għal entitajiet finanzjarji, DORA huwa l-qafas settorjali għar-reżiljenza operattiva. Article 5 ipoġġi r-responsabbiltà għall-ġestjoni tar-riskju tal-ICT fuq il-korp maniġerjali. Articles 17, 18 u 19 jindirizzaw il-ġestjoni, il-klassifikazzjoni u r-rappurtar ta’ inċidenti maġġuri relatati mal-ICT. DORA jeħtieġ ukoll kapaċitajiet ta’ rispons u rkupru, backup u restawr, tagħlim wara l-inċident, ittestjar u ġestjoni tar-riskju ta’ partijiet terzi tal-ICT.
GDPR iżid evalwazzjoni separata iżda li tikkoinċidi. Jekk ransomware jikkawża qerda, telf, alterazzjoni, żvelar mhux awtorizzat ta’, jew aċċess għal data personali, b’mod aċċidentali jew illegali, il-kontrollur għandu jevalwa jekk seħħx ksur ta’ data personali. Jekk tkun meħtieġa notifika, l-iskadenza għall-awtorità superviżorja ġeneralment tkun 72 siegħa mill-għarfien. Jekk ikun hemm riskju għoli għall-individwi, tista’ tkun meħtieġa wkoll komunikazzjoni lill-individwi affettwati.
Il-konklużjoni hija sempliċi: il-mistoqsija dwar ir-ransom m’għandhiex issir għall-ewwel darba fil-war room.
Kontrolli ISO 27001:2022 li jsostnu l-governanza tal-ħlasijiet
ISMS ISO/IEC 27001:2022 mhuwiex checklist għall-awdituri. Huwa sistema ta’ ġestjoni għat-teħid ta’ deċiżjonijiet ibbażati fuq ir-riskju. Il-governanza tal-ħlasijiet ta’ ransomware tappartjeni f’dik is-sistema għax tgħaqqad l-evalwazzjoni tar-riskju, it-trattament tar-riskju, ir-rwoli, l-obbligi legali, ir-rispons għall-inċidenti, il-kontinwità, il-ġestjoni tal-fornituri u t-titjib kontinwu.
L-aktar kontrolli rilevanti fl-Anness A ta’ ISO 27001:2022 jiffurmaw katina ta’ kontrolli konnessi.
| Qasam ta’ kontroll ISO 27001:2022 | Għaliex huwa importanti waqt il-governanza tal-ħlasijiet ta’ ransomware |
|---|---|
| A.5.24 Ippjanar u tħejjija għall-ġestjoni ta’ inċidenti tas-sigurtà tal-informazzjoni | Jiddefinixxi l-qafas tar-rispons għall-inċidenti, il-mudell ta’ eskalazzjoni, il-komunikazzjonijiet u t-tħejjija qabel tibda l-estorsjoni. |
| A.5.25 Evalwazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni | Jistabbilixxi kif avvenimenti jsiru inċidenti, kif tiġi ddeterminata s-severità u meta tiġi attivata eskalazzjoni eżekuttiva. |
| A.5.26 Rispons għal inċidenti tas-sigurtà tal-informazzjoni | Jikkontrolla t-trażżin, l-eradikazzjoni, il-koordinazzjoni tal-irkupru u l-eżekuzzjoni tad-deċiżjonijiet operattivi. |
| A.5.27 Tagħlim minn inċidenti tas-sigurtà tal-informazzjoni | Jiżgura li r-riżultati tad-deċiżjonijiet dwar ransom, near misses, feedback mill-assiguratur u sejbiet tar-regolatur itejbu l-kontrolli futuri. |
| A.5.28 Ġbir tal-evidenza | Jippreserva logs, immaġnijiet, korrispondenza, kampjuni tal-malware u reġistri tad-deċiżjonijiet b’mod legalment affidabbli. |
| A.5.29 Sigurtà tal-informazzjoni waqt tfixkil | Iżomm il-kontrolli tas-sigurtà jaħdmu waqt li n-negozju jopera f’modalità degradata. |
| A.5.30 Tħejjija tal-ICT għall-kontinwità tan-negozju | Jgħaqqad il-backups, il-prijoritajiet tal-irkupru, is-switchover u l-pjanijiet ta’ kontinwità mal-proċess tad-deċiżjoni dwar l-inċident. |
| A.5.31 Rekwiżiti legali, statutorji, regolatorji u kuntrattwali | Jinkludi l-verifika tas-sanzjonijiet, ir-rappurtar regolatorju, l-obbligi lejn il-klijenti, id-dmirijiet tal-assiguratur u l-approvazzjoni legali. |
| A.5.34 Privatezza u protezzjoni tal-PII | Imexxi l-evalwazzjoni tal-ksur taħt GDPR u l-evalwazzjoni tal-impatt fuq il-privatezza waqt l-estorsjoni. |
| A.6.3 Kuntatt mal-awtoritajiet | Jappoġġa komunikazzjoni ppjanata mar-regolaturi, CSIRTs, infurzar tal-liġi u awtoritajiet kompetenti. |
| A.8.13 Backup tal-informazzjoni | Jiddetermina jekk il-ħlas huwiex rilevanti operattivament billi jipprova l-għażliet ta’ rkupru. |
| A.8.15 Reġistrazzjoni tal-logs u A.8.16 Attivitajiet ta’ monitoraġġ | Jipprovdu l-bażi ta’ evidenza għall-kamp ta’ applikazzjoni, il-linja taż-żmien, l-impatt u l-attività tal-attakkant. |
F’Zenith Controls, it-taqsima għal A.5.24, Ippjanar u tħejjija għall-ġestjoni ta’ inċidenti tas-sigurtà tal-informazzjoni, tikklassifika l-kontroll bħala korrettiv, marbut mal-kunfidenzjalità, l-integrità u d-disponibbiltà, u allinjat mal-kunċetti ta’ Respond u Recover. Tgħaqqad ukoll A.5.24 ma’ evalwazzjoni tal-avvenimenti A.5.25, tagħlim minn inċidenti A.5.27, reġistrazzjoni tal-logs A.8.15, monitoraġġ A.8.16, sigurtà waqt tfixkil A.5.29, kontinwità u kuntatt mal-awtoritajiet.
Dan huwa importanti għax il-governanza tal-ħlasijiet ta’ ransomware hija katina. Jekk ma tistax tiskopri u tikklassifika l-avveniment, ma tistax tiddeċiedi. Jekk ma tistax tippreserva l-evidenza, ma tistax tiddefendi d-deċiżjoni. Jekk l-obbligi legali mhumiex immappjati, in-negozjar jew il-ħlas jista’ jkun illegali. Jekk l-għażliet ta’ rkupru mhumiex ittestjati, l-eżekuttivi jistgħu jiġu mbuttati lejn deċiżjoni bbażata fuq il-biża’ aktar milli fuq il-fatti.
Zenith Controls jiddikjara b’mod ċar ir-relazzjoni bejn it-tħejjija u t-teħid tad-deċiżjonijiet:
“5.25 huwa l-punt tad-deċiżjoni li jiddetermina meta avveniment jaqbeż il-limitu u jsir inċident tas-sigurtà, u b’hekk jattiva l-azzjonijiet deskritti f’5.26. Evalwazzjoni f’waqtha u preċiża tal-avveniment tiżgura li r-rispons għall-inċidenti la jiġi mdewwem u lanqas immirat ħażin.”
L-istess gwida torbot A.5.31, Rekwiżiti legali, statutorji, regolatorji u kuntrattwali, mal-privatezza, iż-żamma tar-reġistri, rieżami indipendenti u konformità mal-politiki interni. Għal ransomware, A.5.31 huwa fejn il-verifika tas-sanzjonijiet, l-obbligi tal-assigurazzjoni, l-involviment tal-infurzar tal-liġi, il-kuntratti tal-klijenti, id-dmirijiet tal-protezzjoni tad-data u r-rappurtar regolatorju settorjali jinġabru f’Reġistru tal-Konformità wieħed.
Il-mudell ta’ Clarysec b’ħames punti ta’ kontroll għall-governanza tal-ħlasijiet ta’ ransomware
Il-mudell ta’ Clarysec jaqsam il-governanza tad-deċiżjonijiet dwar ħlasijiet ta’ ransomware f’ħames punti ta’ kontroll. L-għan mhuwiex li l-ħlas isir aktar faċli. L-għan huwa li kwalunkwe deċiżjoni, inkluż rifjut li jitħallas, tkun ibbażata fuq l-evidenza, rieżaminata legalment, awtorizzata u adattata għall-awditjar.
| Punt ta’ kontroll | Mistoqsija ewlenija | Evidenza meħtieġa | Sid tipiku |
|---|---|---|---|
| Punt ta’ kontroll 1: Dikjarazzjoni tal-inċident | Ġie ddikjarat inċident ta’ ransomware jew estorsjoni skont kriterji definiti? | Twissijiet SIEM, telemetrija tal-endpoint, nota tar-ransom, assi affettwati, reġistru inizjali tas-severità | Kmandant tal-Inċident jew CISO |
| Punt ta’ kontroll 2: Trijaġġ legali u regolatorju | L-inċident jinvolvi data personali, servizzi regolati, riskju ta’ sanzjonijiet, notifika kuntrattwali jew rappurtar settorjali? | Immappjar tar-reġistru legali, evalwazzjoni tal-ksur taħt GDPR, klassifikazzjoni taħt NIS2 jew DORA, noti tal-konsulent legali | Legali, Konformità, DPO |
| Punt ta’ kontroll 3: Vijabbiltà tal-irkupru | L-organizzazzjoni tista’ tirrestawra b’mod sigur mingħajr ħlas fil-limiti tollerabbli tal-impatt? | Verifiki tal-integrità tal-backup, status RTO/RPO, Business Impact Analysis (BIA), riżultati tat-testijiet ta’ rkupru | IT, Responsabbli tal-BC/DR |
| Punt ta’ kontroll 4: Rieżami tar-riskju tal-ħlas | Kwalunkwe negozjar jew ħlas huwa legalment permess, approvat mill-assiguratur, ivverifikat kontra s-sanzjonijiet u awtorizzat mill-bord? | Reġistru tal-verifika tas-sanzjonijiet, kunsens tal-assiguratur, reġistru tal-konsultazzjoni mal-infurzar tal-liġi, approvazzjoni finanzjarja, aċċettazzjoni tar-riskju | Maniġment Eżekuttiv jew Bord |
| Punt ta’ kontroll 5: Għeluq u titjib | Id-deċiżjonijiet, il-komunikazzjonijiet, il-kawża ewlenija u l-lessons learned ġew irreġistrati? | Rapport tal-inċident, chain of custody, log tal-komunikazzjonijiet, pjan ta’ titjib tal-kontrolli | CISO, Maniġer tal-ISMS, Awditjar Intern |
Dan il-mudell juża l-loġika tat-trattament tar-riskju ta’ ISO 27001. Ħlas ta’ ransomware mhuwiex kontroll tas-sigurtà. Huwa, l-aktar, għażla ta’ kriżi kkunsidrata f’kuntest ta’ trattament tar-riskju u rkupru. Qabel inċident, l-organizzazzjoni għandha tkun diġà ddeċidiet kif jiġu trattati r-riskji tar-ransomware: mitigazzjoni permezz ta’ kontrolli, trasferiment ta’ parti mill-espożizzjoni finanzjarja permezz ta’ assigurazzjoni, evitar ta’ dipendenzi legati mhux aċċettabbli, jew aċċettazzjoni espliċita tar-riskju residwu fejn dan ikun ġustifikat.
Fil-fażi tal-ġestjoni tar-riskju, Pass 13, Ippjanar tat-trattament tar-riskju u Dikjarazzjoni ta’ Applikabbiltà, Zenith Blueprint jiggwida lill-organizzazzjonijiet biex jiddeterminaw għażliet ta’ trattament għal kull riskju u jiddokumentawhom fir-Reġistru tar-Riskji. Iwissi li t-trasferiment, bħal assigurazzjoni ċibernetika, ma jneħħix il-ħtieġa għal kontrolli għax it-trasferiment spiss jindirizza l-impatt finanzjarju aktar milli l-probabbiltà. Jiddikjara wkoll:
“L-aċċettazzjoni għandha tkun espliċita u approvata mill-maniġment, speċjalment għal kwalunkwe riskju Medju. Riskji Għoljin rarament jiġu aċċettati sakemm ma jkunux verament inevitabbli u miftiehma fil-livell ogħla.”
Dik il-linja hija direttament rilevanti għall-governanza tal-ħlasijiet ta’ ransomware. Jekk il-bord qed jintalab jaċċetta r-riskju residwu ta’ rifjut ta’ ħlas, jew ir-riskju legali u reputazzjonali tal-approvazzjoni tan-negozjar, l-aċċettazzjoni għandha tkun espliċita, irreġistrata u approvata mill-awtorità t-tajba.
Il-Politika tal-Ġestjoni tar-Riskju ta’ Clarysec issaħħaħ l-istess punt:
“Id-deċiżjonijiet dwar it-trattament tar-riskju għandhom ikunu allinjati mal-għażliet predefiniti”
Mill-klawżola 5.5.
Għalhekk deċiżjoni dwar ransom mhijiex shortcut madwar il-ġestjoni tar-riskju. Għandha tiġi mmaniġġjata bħala deċiżjoni formali u dokumentata ta’ trattament tar-riskju taħt awtorità definita.
Awtorità tal-politika: min jista’ jiddeċiedi taħt pressjoni?
Ħafna fallimenti relatati mar-ransomware huma fallimenti ta’ governanza moħbija bħala fallimenti tekniċi. Xi ħadd jikkuntattja lill-attakkant barra mill-kanal approvat. Xi ħadd iwiegħed ħlas qabel l-approvazzjoni tal-assiguratur. Xi ħadd jirrestawra s-sistemi u jikteb fuq evidenza forensika. Xi ħadd jgħid lill-klijenti kmieni wisq, tard wisq, jew b’fatti mhux preċiżi.
Il-politiki ta’ Clarysec huma mfassla biex ineħħu dik l-ambigwità.
Għall-SMEs, il-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza - SME tagħti regola sempliċi:
“Id-deċiżjonijiet, l-eċċezzjonijiet u l-eskalazzjonijiet sinifikanti kollha tas-sigurtà għandhom jiġu rreġistrati u jkunu traċċabbli.”
Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.5.
Il-Politika ta’ Rispons għall-Inċidenti - SME tassenja l-awtorità tal-eskalazzjoni:
“Il-Maniġer Ġenerali (GM) huwa responsabbli għall-awtorizzazzjoni tad-deċiżjonijiet kollha ta’ eskalazzjoni tal-inċidenti, notifiki regolatorji u komunikazzjonijiet esterni.”
Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.1.1.
Tgħaqqad ukoll inċidenti tad-data tal-klijenti ma’ obbligi regolatorji:
“Fejn tkun involuta data tal-klijenti, il-Maniġer Ġenerali għandu jevalwa l-obbligi legali ta’ notifika abbażi tal-applikabbiltà ta’ GDPR, NIS2 jew DORA.”
Mit-taqsima “Trattament tar-riskju u eċċezzjonijiet”, klawżola tal-politika 7.4.1.
Għal organizzazzjonijiet akbar, il-Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza għall-intrapriżi teħtieġ eskalazzjoni immedjata fejn jista’ jkun hemm espożizzjoni legali jew ksur ta’ data li għandu jiġi rrappurtat:
“Eskalazzjoni legali/regolatorja: Inċidenti li jinvolvu espożizzjoni legali potenzjali jew ksur ta’ data li għandu jiġi rrappurtat għandhom jiġu eskalati immedjatament lill-Uffiċjal Legali u tal-Konformità u lill-Maniġment Eżekuttiv.”
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.4.3.
Il-Politika dwar ir-Rispons għall-Inċidenti għall-intrapriżi tiddefinixxi l-awtorità eżekuttiva waqt inċidenti severi. Il-klawżola 4.6.1 tiddikjara li r-rwol tat-Tim tal-Maniġment Eżekuttiv huwa li:
“Jieħu deċiżjonijiet strateġiċi waqt inċidenti ta’ severità għolja, inkluża l-approvazzjoni tan-notifiki u tal-komunikazzjonijiet pubbliċi.”
F’kuntest ta’ ransomware, Clarysec jittratta d-diskussjoni dwar ħlas, l-awtorizzazzjoni tan-negozjar, in-notifika lill-klijenti, id-dikjarazzjoni regolatorja u l-komunikazzjoni pubblika bħala deċiżjonijiet strateġiċi, mhux azzjonijiet tekniċi.
Minn dan tirriżulta regola prattika ta’ governanza: is-CISO jista’ jirrakkomanda, it-tim tal-inċident jista’ jevalwa, il-legali jista’ jagħti parir, il-finanzi jistgħu jivverifikaw il-mekkaniżmi tal-ħlas, l-assiguratur jista’ jagħti kunsens jew jirrifjuta kopertura, iżda l-maniġment eżekuttiv jew il-bord għandu jkun sid id-deċiżjoni skont awtorità predefinita.
Eskalazzjoni konformi mas-sanzjonijiet qabel kwalunkwe negozjar
Proċess ta’ ransomware konformi mas-sanzjonijiet jibda bi projbizzjoni: l-ebda impjegat, kuntrattur, fornitur, broker, negozjatur jew rispondent għall-inċidenti ma jista’ jinnegozja, iwiegħed, jiffaċilita jew jittrasferixxi valur lil attur tat-theddid mingħajr rieżami legali approvat.
Il-punt ta’ kontroll legali għandu jseħħ qabel kwalunkwe involviment attiv mal-attakkant, mhux wara li jidher indirizz ta’ wallet. Il-proċess għandu jinkludi:
- Involviment ta’ konsulent legali qabel kwalunkwe komunikazzjoni lil hinn mill-qbid passiv tal-evidenza.
- Identifikazzjoni tal-attur tat-theddid bl-użu ta’ inputs forensiċi, intelligence u infurzar tal-liġi fejn disponibbli.
- Verifika tas-sanzjonijiet u tal-partijiet ristretti għal ismijiet ta’ gruppi, aliases, indirizzi tal-wallets, infrastruttura, intermedjarji u kanali ta’ ħlas.
- Konsultazzjoni mal-infurzar tal-liġi kkunsidrata u rreġistrata.
- Assiguratur ċibernetiku nnotifikat skont it-termini tal-polza qabel ma jinħatru fornituri jew jidħlu fin-negozjati.
- DPO jew responsabbli tal-privatezza involut jekk tista’ tkun involuta data personali.
- CFO jew responsabbli tal-finanzi jikkonferma kontrolli tal-ħlas, separazzjoni tad-dmirijiet, verifiki kontra l-frodi u rekwiżiti ta’ approvazzjoni mill-bord.
- Deċiżjoni eżekuttiva rreġistrata bl-alternattivi kkunsidrati, inklużi restawr, trażżin, sospensjoni tas-servizz, komunikazzjoni mal-klijenti u rifjut li jitħallas.
- Evidenza ppreservata għall-komunikazzjonijiet tal-attakkant, indikaturi, dettalji tal-wallets, laqgħat tad-deċiżjonijiet, approvazzjonijiet u pariri esterni.
Għal ransomware, ir-reġistru legali għandu jinkludi mill-inqas dawn is-sorsi ta’ obbligi.
| Sors tal-obbligu | Impatt fuq il-governanza tal-ħlas |
|---|---|
| Rekwiżiti tas-sanzjonijiet u tal-kriminalità finanzjarja | L-ebda negozjar jew ħlas mingħajr verifika legali u approvazzjoni dokumentata. |
| Kuntratt tal-assigurazzjoni ċibernetika | Notifika lill-assiguratur, fornituri approvati, kunsens minn qabel, rekwiżiti tal-evidenza u kundizzjonijiet tal-kopertura. |
| GDPR | Evalwazzjoni ta’ ksur ta’ data personali, notifika lill-awtorità superviżorja, komunikazzjoni mas-suġġetti tad-data u reġistri ta’ responsabbiltà. |
| NIS2 | Klassifikazzjoni ta’ inċident sinifikanti, twissija bikrija ta’ 24 siegħa, notifika ta’ 72 siegħa u rapport finali fi żmien xahar fejn applikabbli. |
| DORA | Klassifikazzjoni ta’ inċident maġġuri relatat mal-ICT, rappurtar lill-awtorità kompetenti, komunikazzjoni mal-klijenti u analiżi tal-kawża ewlenija wara l-inċident. |
| Kuntratti tal-klijenti | Notifika ta’ inċident tas-sigurtà, impenji ta’ livell ta’ servizz, drittijiet ta’ awditjar u obbligi ta’ komunikazzjoni mal-klijenti. |
| Aspettattivi tal-infurzar tal-liġi | Preservazzjoni tal-evidenza, immaniġġjar tal-komunikazzjoni mal-attakkant u reġistri tal-koordinazzjoni. |
L-organizzazzjonijiet għandhom jiddefinixxu wkoll min jista’ jwaqqaf id-deċiżjoni dwar il-ħlas. Il-legali, il-konformità, id-DPO, il-konsulent tas-sanzjonijiet jew il-bord għandu jkollhom awtorità espliċita biex iwaqqfu n-negozjar jew il-ħlas jekk il-verifika tkun mhux kompluta, l-evidenza ma tkunx affidabbli, il-kundizzjonijiet tal-assiguratur ma jkunux ġew issodisfati, jew l-azzjoni tista’ tikser il-liġi jew il-kuntratt.
Preservazzjoni tal-evidenza: teqridx il-prova waqt li tirrestawra s-servizz
It-timijiet tar-ransomware naturalment jgħaġġlu biex jirrestawraw l-operazzjonijiet. Iżda jekk ir-restawr jeqred logs, snapshots, noti tar-ransom, kampjuni tal-malware, immaġnijiet tal-memorja jew messaġġi tal-attakkant, l-organizzazzjoni tista’ titlef il-kapaċità li tipprova x’ġara.
Fil-fażi Kontrolli fl-Azzjoni, Pass 23, Kontrolli organizzattivi, Zenith Blueprint jgħid lill-organizzazzjonijiet biex jivvalidaw u jittestjaw il-kapaċitajiet tal-ġestjoni tal-inċidenti billi jiddefinixxu avvenimenti tas-sigurtà li għandhom jiġu rrappurtati, jiddokumentaw it-teħid tad-deċiżjonijiet u jippreservaw evidenza forensika. Jiggwida lit-timijiet biex:
“Jaqbdu u jirreġistraw id-deċiżjonijiet, ir-rwoli u l-komunikazzjonijiet kollha (5.26), u jaġġornaw il-pjan bil-lessons learned (5.27). Jikkonfermaw li hemm proċeduri fis-seħħ biex tiġi ppreservata l-evidenza forensika (5.28), inklużi snapshots tal-logs, backups u iżolament sigur tas-sistemi affettwati.”
L-istess pass jispjega A.5.28 b’lingwa li kull bord għandu jifhem:
“dak li tista’ tipprova huwa importanti daqs dak li fil-fatt ġara”
Il-Politika dwar il-Ġbir tal-Evidenza u l-Forensika għall-intrapriżi ta’ Clarysec issaħħaħ li l-evidenza għandha tibqa’ traċċabbli:
“Log tal-chain of custody għandu jakkumpanja l-evidenza fiżika jew diġitali kollha mill-ħin tal-akkwist sal-arkivjar jew it-trasferiment u għandu jiddokumenta:”
Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.6.
Għall-SMEs, il-Politika dwar il-Ġbir tal-Evidenza u l-Forensika - SME hija deliberatament prattika:
“Kopja forensika jew esportazzjoni għandha dejjem tinħoloq; l-evidenza oriġinali qatt m’għandha tiġi editjata direttament.”
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.
Teħtieġ ukoll konsultazzjoni legali fejn jista’ jkun hemm impatt fuq Human Resources (HR), legali jew klijent:
“Jekk l-inċident jinvolvi impatt potenzjali fuq Human Resources (HR), legali jew klijent, il-GM għandu jikkonsulta konsulent legali qabel ma jipproċedi bl-applikazzjoni jew l-eskalazzjoni.”
Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.4.2.
Pakkett prattiku ta’ evidenza għandu jinfetaħ waqt il-Punt ta’ kontroll 2. Oħloq folder ristrett tal-evidenza tal-inċident. Esporta timelines mis-SIEM, detezzjonijiet EDR, logs tal-awditjar tal-cloud, logs tas-sign-in tal-fornitur tal-identità, status tax-xogħlijiet tal-backup, noti tar-ransom, screenshots, messaġġi tal-attakkant, indirizzi tal-wallets, kampjuni tal-fajls, referenzi għal pariri legali, korrispondenza mal-assiguratur u deċiżjonijiet tal-laqgħat. Assenja kustodju. Irreġistra valuri hash fejn xieraq. Tħallix lill-amministraturi jnaddfu sistemi affettwati qabel l-akkwist forensiku sakemm is-sikurezza tal-ħajja, il-protezzjoni ta’ servizz kritiku jew trażżin approvat mill-eżekuttiv ma jeħtiġux dan.
Worksheet waħda ta’ klassifikazzjoni għal NIS2, DORA u GDPR
Inċident ta’ ransomware jista’ jattiva diversi skadenzi. L-isfida mhijiex biss li tkun taf l-iskadenzi. Hija li tkun taf meta l-organizzazzjoni saret konxja, x’kienet taf f’dak il-ħin u kif ittieħdu d-deċiżjonijiet ta’ klassifikazzjoni.
NIS2 Article 23 jeħtieġ li entitajiet essenzjali u importanti jinnotifikaw lis-CSIRT jew lill-awtorità kompetenti mingħajr dewmien mhux dovut dwar inċidenti sinifikanti. Is-sinifikanza hija marbuta ma’ tfixkil operattiv serju, telf finanzjarju, jew ħsara materjali jew mhux materjali konsiderevoli lil oħrajn. Il-mudell stadjat jinkludi twissija bikrija fi żmien 24 siegħa, notifika fi żmien 72 siegħa, aġġornamenti intermedji jekk jintalbu u rapport finali fi żmien xahar min-notifika tal-inċident fejn applikabbli.
DORA jeħtieġ li entitajiet finanzjarji jiddefinixxu u jimplimentaw ġestjoni ta’ inċidenti relatati mal-ICT, jirreġistraw inċidenti u theddid ċibernetiku sinifikanti, jikklassifikaw inċidenti bl-użu ta’ kriterji bħal klijenti affettwati, tul ta’ żmien, firxa ġeografika, telf ta’ data, kritikalità u impatt ekonomiku, u jirrappurtaw inċidenti maġġuri relatati mal-ICT lill-awtoritajiet kompetenti permezz ta’ rapporti inizjali, intermedji u finali.
GDPR jistaqsi mistoqsija differenti iżda li tikkoinċidi: l-inċident ikkawża ksur ta’ data personali? Jekk iva, x’aktarx jirriżulta f’riskju għall-individwi? Jekk jintlaħaq il-limitu tan-notifika, in-notifika lill-awtorità superviżorja għandha tiġi evalwata kontra l-iskadenza ta’ 72 siegħa. Jekk ikun hemm riskju għoli, tista’ tkun meħtieġa wkoll komunikazzjoni lill-individwi.
Clarysec jirrakkomanda l-użu ta’ worksheet waħda ta’ klassifikazzjoni tar-ransomware b’taqsimiet separati għal kull reġim.
| Qasam ta’ klassifikazzjoni | Mistoqsija ta’ eżempju dwar ransomware | Output |
|---|---|---|
| Impatt operattiv | Is-servizzi kritiċi huma mfixkla jew x’aktarx jiġu mfixkla? | Input għas-sinifikanza taħt NIS2 u għall-kritikalità taħt DORA |
| Impatt finanzjarju | L-inċident ikkawża jew jista’ jikkawża telf finanzjarju materjali? | Input għas-severità taħt NIS2 u DORA |
| Impatt fuq il-klijenti | Ir-riċevituri tas-servizz, il-klijenti, il-kontropartijiet jew it-tranżazzjonijiet huma affettwati? | Input għal NIS2, DORA u notifika kuntrattwali |
| Data personali | Data personali ġiet aċċessata, eżfiltrata, alterata, meqruda jew magħmula mhux disponibbli? | Input għall-evalwazzjoni tal-ksur taħt GDPR |
| Sensittività tad-data | Id-data affettwata tinkludi data ta’ kategorija speċjali, kredenzjali, data finanzjarja, dokumenti tal-identità jew data tat-tfal? | Input għar-riskju u l-komunikazzjoni taħt GDPR |
| Impatt transkonfinali | Huma affettwati diversi Stati Membri, ġurisdizzjonijiet, klijenti jew postijiet tas-servizz? | Input għar-rappurtar taħt NIS2 u DORA |
| Kunfidenza fl-evidenza | Liema fatti huma kkonfermati, suspettati jew mhux magħrufa? | Bażi għar-rappurtar stadjat u l-aġġornamenti |
Dan l-approċċ jaqbel mal-klawżoli ISO 27001 dwar evalwazzjoni tar-riskju, trattament tar-riskju u informazzjoni dokumentata. Huwa allinjat ukoll ma’ NIST CSF 2.0. Il-funzjoni GOVERN ta’ NIST CSF 2.0 tistenna li l-organizzazzjonijiet jifhmu l-partijiet interessati, l-obbligi legali u regolatorji, l-aptit għar-riskju, ir-rwoli, il-politika, is-sorveljanza u r-riskju ta’ partijiet terzi. Ir-riżultati tagħha għas-sejbien, ir-rispons u l-irkupru jappoġġaw id-dikjarazzjoni tal-inċident, l-analiżi, il-koordinazzjoni tar-rispons, in-notifika lill-partijiet interessati, l-eżekuzzjoni tal-irkupru u l-verifika tar-restawr.
Għal entitajiet finanzjarji, DORA jista’ jopera bħala r-reġim settorjali taċ-ċibersigurtà għal obbligi NIS2 li jikkoinċidu, iżda dan ma jneħħix il-ħtieġa li tinftiehem l-applikabbiltà ta’ NIS2 għal entitajiet tal-grupp, fornituri tal-ICT, servizzi ġestiti jew dipendenzi tal-cloud. It-tweġiba prattika mhijiex li jinżammu playbooks separati. Hija li jitħaddem mudell wieħed ta’ evidenza tal-ISMS immappjat mal-obbligi rilevanti kollha.
L-assigurazzjoni ċibernetika u l-koordinazzjoni mal-fornituri huma kontrolli ta’ governanza
L-assigurazzjoni ċibernetika tista’ tkun ta’ valur, iżda mhijiex strateġija kontra ransomware. Hija mekkaniżmu ta’ trasferiment tar-riskju b’kundizzjonijiet. Waqt avveniment ta’ ransomware, l-assiguratur jista’ jeħtieġ notifika immedjata, l-użu ta’ ditti fuq panel, approvazzjoni minn qabel għan-negozjar, preservazzjoni tal-evidenza, prova ta’ falliment tal-backup, prova ta’ kontrolli raġonevoli u rieżami legali qabel kwalunkwe konsiderazzjoni ta’ ħlas.
DORA jagħmel ir-riskju ta’ partijiet terzi tal-ICT qasam primarju ta’ konformità. NIS2 Article 21 jeħtieġ ukoll sigurtà tal-katina tal-provvista u kunsiderazzjoni tal-vulnerabbiltajiet u l-prattiki taċ-ċibersigurtà tal-fornituri. ISO 27001 jappoġġa l-istess loġika permezz ta’ kontrolli tal-fornituri u tal-cloud bħal A.5.19 sa A.5.23, flimkien ma’ kontrolli tal-inċidenti, il-kontinwità u l-legali.
Zenith Controls jgħaqqad it-tħejjija għall-inċidenti ma’ sħab esterni, inklużi ditti forensiċi, legali, PR u kuntatt mal-awtoritajiet. Minn perspettiva ta’ awditjar, in-nuqqas ta’ sħab esterni identifikati minn qabel jista’ jitqies bħala lakuna fit-tħejjija għax jista’ jdewwem ir-rispons waqt inċident reali.
Għall-governanza tal-ħlasijiet ta’ ransomware, Clarysec jirrakkomanda negozjar minn qabel ta’:
- Retainer forensiku jew termini ta’ rispons rapidu.
- Disponibbiltà ta’ konsulent estern għal strateġija ta’ ksur, sanzjonijiet u privileġġ legali.
- Mogħdija ta’ notifika lill-assiguratur ċibernetiku u lista tal-fornituri approvati.
- Rotta ta’ eskalazzjoni tal-fornitur tal-cloud għal snapshots, logs, iżolament u rkupru.
- Proċeduri ta’ kollaborazzjoni dwar inċidenti ma’ MSSP jew MDR.
- Proċess ta’ rieżami għall-PR u l-komunikazzjonijiet ta’ kriżi.
- Kontrolli ta’ approvazzjoni bankarja jew finanzjarja għal kwalunkwe ħlas straordinarju.
- Protokoll ta’ kuntatt mal-infurzar tal-liġi.
Dan jimmappa tajjeb mar-riżultati tal-katina tal-provvista ta’ NIST CSF 2.0, inklużi rwoli u responsabbiltajiet tal-fornituri, diliġenza dovuta, rekwiżiti kuntrattwali taċ-ċibersigurtà, koordinazzjoni tal-inċidenti tal-fornituri u attivitajiet ta’ wara t-terminazzjoni.
Playbook prattiku għall-eskalazzjoni ta’ ħlas ta’ ransomware
Il-ħames punti ta’ kontroll jistgħu jiġu tradotti f’playbook operattiv. Kull pass għandu jiġi dokumentat, ikollu sid u jiġi pprattikat.
| Fażi | Azzjoni ewlenija | Rwol responsabbli | Kontrolli ewlenin ISO 27001:2022 | Evidenza jew output |
|---|---|---|---|---|
| 1. Trijaġġ u dikjarazzjoni | Evalwa l-avveniment kontra l-kriterji, iddikjara inċident sinifikanti jew maġġuri, attiva t-tim tar-rispons | Responsabbli tas-SOC, Kmandant tal-Inċident | A.5.24, A.5.25 | Ticket tal-inċident, log tad-dikjarazzjoni, rapport inizjali tas-sitwazzjoni |
| 2. Evalwazzjoni tal-impatt fuq in-negozju | Ikkwantifika l-impatt operattiv, stima l-pożizzjoni RTO/RPO, iddetermina l-kritikalità tad-data u tas-servizz | Sidien tan-negozju, CISO, Responsabbli tal-BC/DR | A.5.29, A.5.30, A.8.13 | Business Impact Analysis (BIA), sejbiet dwar l-integrità tal-backup |
| 3. Preservazzjoni tal-evidenza | Esporta logs, ippreserva sistemi, assigura l-evidenza u żomm chain of custody | Responsabbli tal-Forensika, Tim tar-Rispons għall-Inċidenti | A.5.28, A.8.15, A.8.16 | Immaġnijiet forensiċi, esportazzjonijiet tal-logs, rekord tal-chain of custody |
| 4. Verifika legali u tas-sanzjonijiet | Involvi konsulent legali, identifika l-attur tat-theddid, ivverifika s-sanzjonijiet, evalwa d-dmirijiet ta’ rappurtar | Uffiċjal Legali, DPO, Konformità, Konsulent Estern | A.5.31, A.5.34, A.6.3 | Opinjoni legali, rekord tal-verifika tas-sanzjonijiet, worksheet tar-rappurtar |
| 5. Koordinazzjoni mal-assigurazzjoni u l-fornituri | Innotifika lill-assiguratur, ikkonferma fornituri approvati, ikkoordina appoġġ tal-cloud, MSSP u forensiku | CISO, Legali, Maniġer tal-Fornituri | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Kunsens tal-assiguratur, tickets tal-fornituri, log tal-azzjonijiet tal-fornitur |
| 6. Brief eżekuttiv għad-deċiżjoni | Ippreżenta għażliet, riskji, fehma legali, vijabbiltà tal-irkupru, impatt fuq il-komunikazzjonijiet u pożizzjoni tal-assiguratur | Kmandant tal-Inċident, CISO, Legali, CFO | A.5.1, A.5.2, A.5.26, A.5.31 | Dokument ta’ briefing għad-deċiżjoni dwar ransomware |
| 7. Awtorizzazzjoni u dokumentazzjoni | L-awtorità eżekuttiva tiddeċiedi jekk tinnegozjax, tirrifjutax, tħallasx jew tfittexx azzjonijiet alternattivi | CEO, Maniġment Eżekuttiv, Bord | A.5.2, A.5.3, A.5.26, A.5.31 | Reġistru tad-deċiżjoni ffirmat, aċċettazzjoni tar-riskju, log tal-azzjonijiet |
| 8. Għeluq u titjib | Wettaq analiżi tal-kawża ewlenija, lessons learned u aġġornamenti tal-kontrolli | Maniġer tal-ISMS, CISO, Awditjar Intern | A.5.27, klawżola ISO 27001 10.2 | Rapport tal-lessons learned, pjan ta’ azzjoni korrettiva, reġistri aġġornati tal-ISMS |
L-għan mhuwiex li tiġi ggarantita deċiżjoni komda. Jista’ jkun li ma jkun hemm l-ebda deċiżjoni komda. L-għan huwa li jiġi żgurat li d-deċiżjoni tkun awtorizzata, ibbażata fuq l-evidenza, infurmata legalment u difensibbli.
It-tabletop ta’ 90 minuta li jipprova t-tħejjija
L-aktar mod sempliċi biex tiġi ttestjata l-governanza tal-ħlasijiet ta’ ransomware mhuwiex red team tekniku. Huwa tabletop ta’ deċiżjoni.
Uża Zenith Blueprint, fil-fażi Kontrolli fl-Azzjoni, Pass 23, biex tivvalida l-kapaċità tal-ġestjoni tal-inċidenti. Agħżel xenarju ta’ ransomware u wettaq eżerċizzju b’ħin imkejjel. L-objettiv mhuwiex li tiddeċiedi minn qabel li l-organizzazzjoni tħallas jew qatt ma tħallas. L-objettiv huwa li tipprova li l-organizzazzjoni tista’ tasal għal deċiżjoni taħt governanza.
Xenarju: database tal-klijenti ospitata fil-cloud hija iċċifrata, l-attakkant jallega eżfiltrazzjoni, jeżistu backups iżda għadhom ma ġewx ittestjati għall-integrità, l-assiguratur għadu ma ġiex innotifikat, u l-attakkant jipprovdi indirizz tal-wallet b’deadline ta’ 48 siegħa.
Lista ta’ kontroll tal-eżerċizzju:
- Iddikjara l-inċident u assenja l-Kmandant tal-Inċident.
- Iftaħ il-log tad-deċiżjoni dwar ransomware.
- Ikklassifika l-avveniment billi tuża l-kriterji A.5.25.
- Identifika l-assi u s-servizzi tan-negozju affettwati.
- Iddetermina jekk hijiex involuta data personali.
- Attiva flussi tax-xogħol ta’ evalwazzjoni għal GDPR, NIS2, DORA u kuntratti.
- Innotifika lill-legali, DPO, maniġment eżekuttiv, assiguratur u fornitur forensiku.
- Ippreserva l-evidenza qabel azzjonijiet distruttivi ta’ rkupru.
- Iċċekkja l-integrità tal-backup u l-għażliet ta’ restawr.
- Wettaq verifika tas-sanzjonijiet qabel kwalunkwe negozjar.
- Irreġistra jekk hijiex meħtieġa konsultazzjoni mal-infurzar tal-liġi.
- Abbozza stqarrijiet proviżorji għall-klijenti u r-regolaturi.
- Ippreżenta għażliet ta’ deċiżjoni lill-awtorità eżekuttiva.
- Irreġistra d-deċiżjoni, ir-raġunament, id-dissens, l-approvazzjonijiet u l-azzjonijiet li jmiss.
- Skeda rieżami wara l-inċident u azzjonijiet ta’ titjib tal-kontrolli.
L-output għandu jkun pakkett komplet ta’ evidenza: lista tal-attendenza, timeline, worksheet tal-klassifikazzjoni, log tad-deċiżjonijiet, abbozzi tal-komunikazzjonijiet, punti ta’ azzjoni legali, punti ta’ azzjoni tal-assiguratur, sejbiet tal-backup u lessons learned. Dak il-pakkett huwa ta’ valur għoli għall-awditjar għax juri li l-governanza kienet qed topera qabel kriżi reali.
Kif l-awdituri u r-regolaturi se jittestjaw il-proċess
Awdituri minn sfondi differenti jeżaminaw l-istess proċess ta’ ransomware minn lenti differenti.
| Lenti tal-awditur | X’se jitolbu | Kif tidher evidenza tajba |
|---|---|---|
| Awditur ISO 27001:2022 | L-ippjanar tal-inċidenti, l-evalwazzjoni tal-avvenimenti, ir-rispons, l-evidenza, ir-rekwiżiti legali u l-lessons learned huma kkontrollati? | Pjan tar-rispons għall-inċidenti, immappjar tas-SoA, Reġistru tar-Riskji, reġistri tat-tabletop, proċedura tal-evidenza, logs tad-deċiżjonijiet, outputs tar-Rieżami tal-Ġestjoni |
| Awditur tal-ISMS fuq stil ISO/IEC 27007 | In-nies jifhmu r-rwoli tagħhom u r-reġistri jistgħu jippruvaw l-operazzjoni? | Intervisti mas-CISO, legali, DPO, SOC, eżekuttivi, flimkien ma’ kampjuni ta’ tickets tal-inċidenti u reġistri tal-eskalazzjoni |
| Valutatur allinjat ma’ NIST | Il-governanza, is-sejbien, ir-rispons, il-komunikazzjonijiet u r-riżultati tal-irkupru huma integrati? | Profil CSF, Reġistru tar-Riskji, regoli tal-monitoraġġ, kriterji tad-dikjarazzjoni tal-inċidenti, komunikazzjonijiet mal-partijiet interessati, verifika tar-restawr |
| Awditur COBIT 2019 jew ISACA | Hemm sjieda mill-maniġment, kontroll tal-proċess, suffiċjenza tal-evidenza u titjib kontinwu? | RACI, metriċi tal-proċess, rappurtar tal-konformità, reviżjoni wara l-inċident, traċċar tal-azzjonijiet korrettivi |
| Awditur iffokat fuq DORA | L-inċidenti tal-ICT huma kklassifikati, eskalati, irrappurtati, irkuprati u mtejba taħt il-qafas tar-riskju tal-ICT? | Kriterji tal-klassifikazzjoni tal-inċidenti, rappurtar lill-korp maniġerjali, evidenza ta’ komunikazzjoni mal-klijenti, analiżi tal-kawża ewlenija, ittestjar tar-reżiljenza |
| Awditur GDPR/privatezza | L-evalwazzjoni tal-ksur ta’ data personali kienet f’waqtha, ibbażata fuq ir-riskju u dokumentata? | Formola tal-evalwazzjoni tal-ksur, involviment tad-DPO, deċiżjoni tal-awtorità superviżorja, raġunament għall-komunikazzjoni mas-suġġetti tad-data, reġistri tal-kuntest tal-ipproċessar |
Zenith Controls jipprovdi metodoloġija dettaljata tal-awditjar għal A.5.24, A.5.25 u A.5.31. Għal A.5.24, l-awdituri jeżaminaw il-pjan tar-rispons għall-inċidenti, il-klassifikazzjonijiet tas-severità, ir-rwoli, il-listi ta’ kuntatt, l-istruzzjonijiet tar-rappurtar regolatorju, l-eżerċizzji u l-arranġamenti ma’ sħab esterni. Għal A.5.25, jirrieżaminaw jekk jeżistux kriterji ta’ klassifikazzjoni tal-avvenimenti, jekk ir-reġistri tal-immaniġġjar tat-twissijiet jurux investigazzjoni u deċiżjonijiet ta’ eskalazzjoni, jekk SIEM u intelligence dwar it-theddid jintużawx, u jekk timijiet DPO jew legali humiex involuti meta tista’ tkun affettwata data personali. Għal A.5.31, l-awdituri jfittxu reġistri legali, immappjar tal-konformità, evidenza ta’ rieżami, kopertura mill-awditjar intern u rappurtar lill-maniġment għoli.
Ir-riskju tal-awditjar mhuwiex biss li organizzazzjoni ħallset jew irrifjutat li tħallas. Ir-riskju tal-awditjar huwa li ħadd ma jista’ jipprova kif ittieħdet id-deċiżjoni.
Mill-estorsjoni għat-titjib tal-kontrolli
Il-governanza tar-ransomware ma tispiċċax meta s-sistemi jiġu rrestawrati. ISO 27001 jistenna titjib kontinwu. A.5.27, tagħlim minn inċidenti tas-sigurtà tal-informazzjoni, huwa ċentrali għal dik l-aspettattiva. DORA jeħtieġ analiżi tal-kawża ewlenija u kontrolli addizzjonali. Ir-rappurtar finali taħt NIS2 jistenna miżuri ta’ mitigazzjoni u kawża ewlenija probabbli fejn applikabbli. Ir-responsabbiltà taħt GDPR tistenna dokumentazzjoni tad-deċiżjonijiet u tas-salvagwardji.
Kull reviżjoni wara inċident ta’ ransomware għandha twieġeb:
- L-iskadenzi tar-rappurtar ġew identifikati b’mod korrett?
- L-awtorità tad-deċiżjoni ħadmet kif maħsub?
- Ir-rieżami legali u tas-sanzjonijiet sar kmieni biżżejjed?
- Il-koordinazzjoni mal-assiguratur għenet jew dewwmet ir-rispons?
- Il-backups kienu kompleti, segregati, restawrabbli u ttestjati?
- Il-logs kienu biżżejjed biex jiġi evalwat l-aċċess u l-eżfiltrazzjoni?
- Il-fornituri wieġbu skont il-kuntratt?
- Il-komunikazzjonijiet mal-klijenti kienu preċiżi u f’waqthom?
- L-eżekuttivi rċevew l-informazzjoni t-tajba fil-ħin it-tajjeb?
- Liema kontrolli, politiki, kuntratti jew taħriġ għandhom jinbidlu?
Dawk it-tweġibiet għandhom jaġġornaw ir-Reġistru tar-Riskji, id-Dikjarazzjoni ta’ Applikabbiltà, il-pjan tar-rispons għall-inċidenti, l-istrateġija tal-backup, il-kuntratti tal-fornituri, il-pjan ta’ komunikazzjoni u l-programm ta’ taħriġ.
Fil-fażi ISMS Foundation and Leadership, Pass 5, Zenith Blueprint jenfasizza l-ippjanar tal-komunikazzjoni esterna, inkluż l-identifikazzjoni tal-klijenti, ir-regolaturi, is-sħab u l-pubbliku, id-determinazzjoni ta’ x’għandu jiġi kkomunikat u meta, u d-definizzjoni ta’ min jikkomunika. Għal ransomware, dak il-pass isir il-pont bejn ir-rispons tekniku u l-preservazzjoni tal-fiduċja.
Ibni r-reġistru tad-deċiżjoni qabel in-nota tar-ransom
L-aħjar ħin biex tiggoverna deċiżjoni dwar ransom huwa qabel ma l-attakkant jistabbilixxi l-iskadenza.
Jekk il-playbook tar-ransomware tiegħek ma jiddefinixxix awtorità tad-deċiżjoni, rieżami legali, verifika tas-sanzjonijiet, approvazzjoni tal-assiguratur, preservazzjoni tal-evidenza, klassifikazzjoni taħt NIS2 u DORA, evalwazzjoni tal-ksur taħt GDPR u dokumentazzjoni fil-livell tal-bord, l-organizzazzjoni għandha lakuna ta’ governanza li qed tistenna kriżi.
Clarysec jgħin lill-organizzazzjonijiet jibnu din il-kapaċità fl-ISMS billi jużaw:
- Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awdituri għal implimentazzjoni f’fażijiet ta’ ISO 27001, trattament tar-riskju, ippjanar tal-komunikazzjoni u verifika tal-kapaċità tal-inċidenti.
- Zenith Controls: il-gwida għall-konformità trasversali għall-immappjar tal-kontrolli ISO 27001 ma’ NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 u evidenza tal-awditjar.
- Politiki ta’ Clarysec għall-intrapriżi u l-SMEs, inklużi Politika dwar ir-Rispons għall-Inċidenti, Politika dwar ir-Rispons għall-Inċidenti - SME, Politika dwar il-Ġbir tal-Evidenza u l-Forensika, Politika dwar il-Ġbir tal-Evidenza u l-Forensika - SME, Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza, Politika dwar ir-Rwoli u r-Responsabbiltajiet tal-Governanza - SME u Politika tal-Ġestjoni tar-Riskju.
- Mudelli prattiċi ta’ tabletop għar-ransomware, logs tad-deċiżjonijiet, matriċijiet ta’ eskalazzjoni legali, pakketti ta’ evidenza u worksheets tar-rappurtar tal-konformità trasversali.
Tistenniex is-sejħa tat-3 ta’ filgħodu biex tiskopri min jista’ jiddeċiedi. Irrevedi l-pjan tar-rispons għall-inċidenti tiegħek kontra l-ħames punti ta’ kontroll ta’ Clarysec, wettaq tabletop ta’ 90 minuta dwar ħlas ta’ ransomware, u ibni reġistru tad-deċiżjoni konformi mas-sanzjonijiet u lest għall-awditjar li jiflaħ għall-iskrutinju tar-regolaturi, tal-assiguraturi u tal-bord tiegħek stess.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council