Przewodnik dla CISO po gotowej do audytu gotowości w zakresie informatyki śledczej: spójne podejście do NIS2, DORA, ISO 27001 i GDPR

Maria, CISO w średniej wielkości firmie fintech, poczuła znajomy ścisk w żołądku. Na jej biurku leżał raport z audytu zewnętrznego dotyczącego certyfikacji ISO/IEC 27001:2022, a jego jednoznaczny wniosek nie pozostawiał złudzeń: poważna niezgodność.

Trzy tygodnie wcześniej młodszy programista przypadkowo wystawił nieprodukcyjny magazyn danych do publicznego internetu na 72 minuty. Operacyjnie reagowanie na incydent było skuteczne. Zespół zadziałał szybko, zabezpieczył system i potwierdził, że incydent nie dotyczył żadnych wrażliwych danych klientów.

Z perspektywy zgodności był to jednak problem krytyczny.

Gdy audytor poprosił o materiał dowodowy pozwalający wykazać dokładnie, co wydarzyło się w ciągu tych 72 minut, zespół nie był w stanie go dostarczyć. Logi dostawcy usług chmurowych były ogólne i zostały nadpisane po 24 godzinach. Logi zapory sieciowej pokazywały połączenia, ale nie zawierały szczegółów na poziomie pakietów. Wewnętrzne logi aplikacyjne nie były skonfigurowane do rejestrowania konkretnych wywołań interfejsów API. Nie można było jednoznacznie wykazać, że żadna nieuprawniona strona nie próbowała eskalacji uprawnień ani przejścia do innych systemów.

Ustalenie audytora było bezwzględne: „Organizacja nie jest w stanie przedstawić wystarczających, wiarygodnych dowodów umożliwiających odtworzenie osi czasu zdarzenia związanego z bezpieczeństwem informacji, co wskazuje na brak gotowości w zakresie informatyki śledczej. Rodzi to istotne zastrzeżenia dotyczące zgodności z wymaganiami NIS2 w zakresie zarządzania incydentami, obowiązkiem szczegółowego prowadzenia rejestrów incydentów wynikającym z DORA oraz zasadą rozliczalności w GDPR”.

Problem Marii nie polegał na nieskutecznym reagowaniu na incydenty, lecz na braku przewidywania. Jej zespół świetnie radził sobie z gaszeniem pożarów, ale nie zbudował zdolności do ustalenia, kto je wzniecił. Właśnie w tej luce mieści się gotowość w zakresie informatyki śledczej — zdolność, która nie jest już dodatkiem, lecz bezwzględnym wymogiem w świetle współczesnych regulacji.

Od reaktywnego rejestrowania zdarzeń do proaktywnej gotowości w zakresie informatyki śledczej

Wiele organizacji, podobnie jak firma Marii, błędnie zakłada, że „posiadanie logów” oznacza przygotowanie do dochodzenia. Tak nie jest. Gotowość w zakresie informatyki śledczej to zdolność strategiczna, a nie przypadkowy produkt uboczny operacji IT. Jak ujmuje to międzynarodowa norma ISO/IEC 27043, organizacje muszą ustanowić procesy zapewniające, że dowody cyfrowe są przygotowane, dostępne i efektywne kosztowo przed wystąpieniem potencjalnych incydentów bezpieczeństwa.

W kontekście NIS2, DORA, ISO 27001:2022 i GDPR oznacza to możliwość:

• wykrywania istotnych zdarzeń wystarczająco szybko, aby dotrzymać krótkich terminów zgłaszania;
• rekonstrukcji wiarygodnej sekwencji zdarzeń na podstawie dzienników zdarzeń z mechanizmami wykrywania manipulacji;
• wykazania audytorom i organom nadzoru, że zabezpieczenia w zakresie rejestrowania i monitorowania są oparte na ryzyku, uwzględniają prywatność i działają skutecznie.

Wytyczne wdrożeniowe Clarysec w Clarysec’s Zenith Controls: The Cross-Compliance Guide Zenith Controls ujmują to prosto:

Skuteczna gotowość w zakresie informatyki śledczej w kontekście zgodności wymaga ograniczenia gromadzenia danych z logów do tego, co jest ściśle niezbędne, unikania przechowywania nadmiernej ilości danych osobowych lub wrażliwych oraz, tam gdzie to wykonalne, anonimizacji lub pseudonimizacji danych. Dodatkowe dobre praktyki obejmują stosowanie solidnych zabezpieczeń, takich jak kontrola dostępu, szyfrowanie, częste audyty i bieżące monitorowanie, wraz z egzekwowaniem polityk retencji danych dostosowanych do GDPR oraz regularnym usuwaniem niepotrzebnych informacji.

To fundamentalna zmiana sposobu myślenia:

• Od gromadzenia danych na zapas do celowego zbierania: zamiast zbierać wszystko, definiujesz dowody potrzebne do odpowiedzi na krytyczne pytania: kto co zrobił? Kiedy i gdzie to się wydarzyło? Jaki był wpływ?
• Od odizolowanych logów do skorelowanych osi czasu: logi zapory sieciowej, aplikacji i usług chmurowych są pojedynczymi elementami układanki. Gotowość w zakresie informatyki śledczej oznacza zdolność złożenia ich w spójny obraz.
• Od narzędzia operacyjnego do aktywa dowodowego: logi nie służą wyłącznie do debugowania. Są dowodami o znaczeniu prawnym i regulacyjnym, które muszą być chronione, zachowywane i obsługiwane z zachowaniem jasnego łańcucha dowodowego.

Brak możliwości wykazania, co wydarzyło się podczas naruszenia, jest dziś postrzegany jako nieskuteczność zabezpieczenia sama w sobie, niezależnie od pierwotnego wpływu incydentu.

Fundament: gdzie ład zarządczy i polityka spotykają się z praktyką

Zanim zostanie skonfigurowany choćby jeden log, program gotowości w zakresie informatyki śledczej zaczyna się od jasnego ładu zarządczego. Pierwsze pytanie audytora nie będzie brzmiało „pokażcie SIEM”, lecz „pokażcie politykę”. To tutaj uporządkowane podejście zapewnia natychmiastową, możliwą do obrony wartość.

W The Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint krok 14 fazy „Ryzyko i wdrożenie” jest poświęcony właśnie tej pracy fundamentowej. Cel jest jednoznaczny:

„Opracuj lub doprecyzuj konkretne polityki i procedury wymagane przez wybrane plany postępowania z ryzykiem (oraz zabezpieczenia z Załącznika A) oraz zapewnij ich zgodność z regulacjami takimi jak GDPR, NIS2 i DORA”.

Ten krok wymusza na organizacjach przełożenie decyzji dotyczących ryzyka na udokumentowane, egzekwowalne zasady. Dla CISO takiej jak Maria oznacza to stworzenie zestawu powiązanych polityk definiujących zdolność organizacji w zakresie informatyki śledczej. Szablony polityk Clarysec dostarczają planów architektonicznych dla tej struktury. Kluczowe jest ustanowienie jednoznacznych powiązań między politykami, aby utworzyć spójne ramy ładu zarządczego.

Ustanowienie najpierw takich ram polityk tworzy pozycję możliwą do obrony. Na przykład nasza Polityka zabezpieczania materiału dowodowego i informatyki śledczej wskazuje zależność od P22 – Polityki rejestrowania i monitorowania, aby zapewnić „dostępność logów zdarzeń i telemetrii na potrzeby gromadzenia materiału dowodowego oraz korelacji śledczej”. To jedno zdanie tworzy silny mandat, deklarując, że celem rejestrowania nie jest wyłącznie eksploatacja operacyjna — ma ono służyć analizie śledczej.

W przypadku mniejszych organizacji zasady są identyczne. Nasza Polityka zabezpieczania materiału dowodowego i informatyki śledczej dla MŚP odwołuje się do własnej bazowej polityki rejestrowania: „P22S – Polityka rejestrowania i monitorowania: dostarcza surowe dane wykorzystywane jako dowody cyfrowe oraz ustanawia wymagania dotyczące retencji, kontroli dostępu i rejestrowania”.

Ta udokumentowana strategia pokazuje audytorom, organom nadzoru i zespołom wewnętrznym, że organizacja ma zdefiniowane, świadome podejście do zarządzania materiałem dowodowym.

Silnik techniczny: budowanie gotowości dzięki strategicznemu monitorowaniu

Mając solidny fundament polityk, kolejnym krokiem jest zbudowanie silnika technicznego. Opiera się on na dwóch kluczowych zabezpieczeniach ISO/IEC 27001:2022: 8.15 Rejestrowanie oraz 8.16 Działania monitorujące. Choć często omawia się je łącznie, pełnią różne funkcje. Zabezpieczenie 8.15 dotyczy zapisywania zdarzeń. Zabezpieczenie 8.16 dotyczy ich aktywnej analizy w celu wykrywania anomalii i zdarzeń związanych z bezpieczeństwem informacji. To puls gotowości w zakresie informatyki śledczej.

Przewodnik Zenith Controls, nasza własność intelektualna mapująca zabezpieczenia ISO na globalne normy i praktyki audytowe, szczegółowo pokazuje, w jaki sposób 8.16 Działania monitorujące stanowi kluczowy element łączący surowe dane z użytecznymi informacjami. Nie funkcjonuje on w próżni; jest częścią głęboko powiązanego ekosystemu bezpieczeństwa:

• Powiązanie z 8.15 Rejestrowanie: skuteczne monitorowanie jest niemożliwe bez solidnego rejestrowania. Zabezpieczenie 8.15 zapewnia istnienie surowych danych. Zabezpieczenie 8.16 zapewnia mechanizm analityczny pozwalający nadać im sens. Bez monitorowania logi są jedynie cichym, nieanalizowanym archiwum.
• Zasilanie 5.25 Ocena zdarzeń związanych z bezpieczeństwem informacji i decyzje dotyczące tych zdarzeń: alerty i anomalie oznaczone przez monitorowanie (8.16) są podstawowymi danymi wejściowymi dla procesu oceny zdarzeń (5.25). Jak wskazuje przewodnik Zenith Controls, właśnie w ten sposób odróżnia się drobne odchylenie od pełnoprawnego incydentu wymagającego eskalacji.
• Zasilanie przez 5.7 Informacje o zagrożeniach: monitorowanie nie powinno być statyczne. Informacje o zagrożeniach (5.7) dostarczają nowych wskaźników naruszenia i wzorców ataków, które należy wykorzystywać do aktualizacji reguł monitorowania i wyszukiwań, tworząc proaktywną pętlę informacji zwrotnej.
• Rozszerzenie na 5.22 Monitorowanie usług dostawców: widoczność nie może kończyć się na własnym perymetrze. W przypadku usług chmurowych i innych usług dostawców należy zapewnić, że ich możliwości monitorowania i rejestrowania spełniają wymagania organizacji w zakresie informatyki śledczej — to kluczowa kwestia dla NIS2 i DORA.

Strategia rejestrowania i monitorowania gotowa na potrzeby informatyki śledczej zaczyna się od celu. Progi alarmowe powinny wynikać z oceny ryzyka i obejmować przykładowo monitorowanie skoków wychodzącego ruchu sieciowego, szybkich blokad kont, zdarzeń eskalacji uprawnień, wykryć złośliwego oprogramowania oraz instalacji nieautoryzowanego oprogramowania.

Podobnie retencja logów musi być decyzją świadomą. Przewodnik Zenith Controls zaleca:

Retencja i kopie zapasowe logów powinny być zarządzane przez z góry określony okres, z zastosowaniem zabezpieczeń przed nieuprawnionym dostępem i modyfikacjami. Okresy retencji logów muszą być określane na podstawie potrzeb biznesowych, ocen ryzyka, dobrych praktyk i wymogów prawnych…

Oznacza to zdefiniowanie okresów przechowywania dla poszczególnych systemów (np. 12 miesięcy online, 3–5 lat w archiwum dla systemów krytycznych w rozumieniu DORA) oraz zapewnienie, że kopie zapasowe są przechowywane co najmniej tak długo, jak długo logi są regularnie przeglądane.

Równowaga zgodności: gromadzenie dowodów bez naruszania GDPR

Odruchową reakcją na porażkę audytową podobną do tej, której doświadczyła Maria, mogłoby być rejestrowanie wszystkiego i wszędzie. To tworzy jednak nowy, równie poważny problem: naruszenie zasad ochrony danych wynikających z GDPR. Gotowość w zakresie informatyki śledczej i prywatność często są postrzegane jako przeciwstawne siły, ale trzeba je pogodzić.

W tym miejscu krytyczne znaczenie ma zabezpieczenie ISO 27001:2022 5.34 Prywatność i ochrona danych osobowych (PII). Stanowi ono pomost między programem bezpieczeństwa a obowiązkami w zakresie prywatności. Jak opisano w Zenith Controls, wdrożenie 5.34 jest bezpośrednim dowodem zdolności organizacji do spełnienia Article 25 GDPR (ochrona danych w fazie projektowania oraz domyślna ochrona danych) i Article 32 (bezpieczeństwo przetwarzania).

Aby osiągnąć tę równowagę, program informatyki śledczej musi integrować kluczowe środki zwiększające ochronę prywatności:

• Integracja z 5.12 Klasyfikacja informacji: zapewnij, aby logi pochodzące z systemów przetwarzających dane osobowe (PII) były klasyfikowane jako wysoce wrażliwe i objęte najwyższym poziomem ochrony.
• Wdrożenie 8.11 Maskowanie danych: aktywnie stosuj pseudonimizację lub maskowanie, aby ukrywać identyfikatory osobowe w logach tam, gdzie wartości surowe nie są wymagane do dochodzenia. Jest to bezpośrednie wdrożenie zasady minimalizacji danych.
• Egzekwowanie 5.15 i 5.16 (Kontrola dostępu i zarządzanie tożsamością): ogranicz dostęp do surowych logów ściśle zgodnie z zasadą wiedzy koniecznej, szczególnie w przypadku zdarzeń dotyczących pracowników lub klientów.
• Mapowanie do ram prywatności: wesprzyj program normami takimi jak ISO/IEC 27701 (dla PIMS), ISO/IEC 27018 (dla danych osobowych (PII) w chmurze) oraz ISO/IEC 29100 (dla zasad prywatności).

Integrując te zabezpieczenia, można zaprojektować strategię rejestrowania i monitorowania, która jest jednocześnie poprawna z perspektywy informatyki śledczej i świadoma prywatności, spełniając potrzeby zespołów bezpieczeństwa oraz inspektorów ochrony danych.

Od teorii do audytu: czego naprawdę szukają różni audytorzy

Zaliczenie audytu wymaga przedstawienia właściwych dowodów w sposób zgodny z konkretną metodyką audytora. Audytor ISO 27001 myśli inaczej niż audytor COBIT, a obaj koncentrują się na czymś innym niż regulator NIS2.

Sekcja audit_methodology w naszym przewodniku Zenith Controls dla 8.16 Działania monitorujące stanowi dla CISO niezwykle wartościową mapę drogową, przekładając cel zabezpieczenia na namacalny materiał dowodowy dla różnych perspektyw audytowych.

Oto jak przygotować się na weryfikację z różnych stron:

Zrozumienie tych różnych perspektyw jest kluczowe. Dla audytora ISO dobrze udokumentowany proces obsługi fałszywego alarmu jest świetnym dowodem działania systemu. Dla audytora NIST bardziej przekonujący jest test na żywo pokazujący wygenerowanie alertu w czasie rzeczywistym. Dla regulatora NIS2 lub DORA najważniejszy jest dowód terminowego wykrycia i eskalacji. Zespół Marii poniósł porażkę, ponieważ nie był w stanie przedstawić dowodów, które spełniłyby wymagania którejkolwiek z tych perspektyw.

Scenariusz praktyczny: budowa pakietu dowodowego gotowego do audytu

Zastosujmy to do realistycznego scenariusza: kampania złośliwego oprogramowania dotyka kilku urządzeń końcowych w operacjach organizacji w UE, z których część przetwarza dane osobowe (PII) klientów. Musisz spełnić wymagania GDPR, NIS2, DORA oraz audytora ISO 27001.

Pakiet dowodowy powinien być uporządkowaną narracją, a nie zwykłym zrzutem danych. Powinien obejmować:

1. Techniczną oś czasu i artefakty:

   • Alerty SIEM pokazujące wstępne wykrycie, powiązane z 8.16 Działania monitorujące.
   • Logi EDR ze skrótami plików, drzewami procesów i działaniami powstrzymującymi.
   • Logi zapory sieciowej i sieci pokazujące próby komunikacji C2.
   • Logi uwierzytelniania pokazujące wszelkie próby ruchu lateralnego.
   • Skróty wszystkich zebranych plików logów w celu wykazania integralności, zgodnie z 8.24 Stosowanie kryptografii.

2. Dowody ładu zarządczego i proceduralne:

   • Kopię Polityki zabezpieczania materiału dowodowego i informatyki śledczej.
   • Kopię Polityki rejestrowania i monitorowania, potwierdzającą mandat do gromadzenia tych danych.
   • Odpowiedni fragment Polityki retencji i bezpiecznego usuwania danych Polityka retencji i bezpiecznego usuwania danych, pokazujący okresy przechowywania dla tych konkretnych logów.

3. Powiązanie z zarządzaniem incydentami:

   • Zgłoszenie reagowania na incydent pokazujące klasyfikację, ocenę wagi i eskalację, łączące monitorowanie (8.16) z oceną incydentu (5.25).
   • Zapisy procesu decyzyjnego dotyczącego powiadamiania organów zgodnie z NIS2 Article 23 lub GDPR Article 33.

4. Dowody zgodności w zakresie prywatności:

   • Notatkę od IOD potwierdzającą przeprowadzenie przeglądu pakietu dowodowego pod kątem prywatności.
   • Wykazanie, że wszelkie dane osobowe (PII) zawarte w logach zostały obsłużone zgodnie z polityką (np. dostęp był ograniczony), zgodnie z zabezpieczeniem 5.34 Prywatność i ochrona danych osobowych (PII).

5. Komunikację regulacyjną:

   • Zapis wszelkiej korespondencji z organem ochrony danych lub krajowym organem ds. cyberbezpieczeństwa, zgodnie z zaleceniami zawartymi w naszych wytycznych w Zenith Controls.

Taki uporządkowany pakiet przekształca chaotyczne zdarzenie w demonstrację kontroli, procesu i należytej staranności.

Budowa repozytorium dowodów: plan działania

Jak CISO może przejść od postawy reaktywnej do stanu ciągłej, gotowej do audytu gotowości w zakresie informatyki śledczej? Kluczem jest systematyczna budowa „repozytorium dowodów” zawierającego materiały, których audytorzy potrzebują zanim o nie poproszą.

1. Udokumentuj strategię:

• Sfinalizuj polityki: zatwierdź i opublikuj Politykę rejestrowania i monitorowania, Politykę zabezpieczania materiału dowodowego oraz Politykę retencji danych, wykorzystując krok 14 Zenith Blueprint jako przewodnik.
• Zmapuj przepływ danych: utrzymuj diagram pokazujący, skąd logi są gromadzone, gdzie są agregowane (np. SIEM) oraz jak są chronione.

2. Skonfiguruj i zwaliduj narzędzia:

• Ustal progi oparte na ryzyku: udokumentuj progi dla kluczowych alertów i uzasadnij je na podstawie oceny ryzyka.
• Zweryfikuj ustawienia retencji: wykonaj zrzuty ekranu z platformy zarządzania logami lub konsoli chmurowej, które jednoznacznie pokazują skonfigurowane okresy retencji dla różnych typów danych.
• Wykaż integralność: ustanów proces kryptograficznego obliczania skrótów krytycznych plików dowodowych podczas ich gromadzenia i przechowuj skróty oddzielnie.

3. Wykaż skuteczność operacyjną:

• Prowadź szczegółowe zapisy: utrzymuj zapisy pokazujące, jak obsłużono co najmniej trzy ostatnie zdarzenia związane z bezpieczeństwem informacji, nawet fałszywe alarmy. Pokaż wstępny alert, notatki z triage, podjęte działania i końcowe rozwiązanie wraz ze znacznikami czasu.
• Rejestruj dostęp do logów: bądź gotów wykazać, kto ma dostęp do surowych logów, oraz przedstawić ścieżki audytowe tego dostępu.
• Testuj i zapisuj wyniki: przechowuj zapisy potwierdzające poprawny stan systemów monitorowania oraz to, że okresowe testy (np. testy alarmów) są przeprowadzane i rejestrowane.

Porażka audytowa Marii nie była techniczna — była strategiczna. Maria przekonała się w trudny sposób, że w dzisiejszym krajobrazie regulacyjnym incydent, którego nie da się zbadać, jest niemal tak samo poważny jak sam incydent. Logi nie są już prostym produktem ubocznym IT; są krytycznym aktywem dla ładu zarządczego, zarządzania ryzykiem i zgodności.

Nie czekaj, aż niezgodność ujawni luki. Budując rzeczywistą zdolność w zakresie informatyki śledczej, przekształcasz dane bezpieczeństwa z potencjalnego obciążenia w najcenniejsze aktywo do wykazywania należytej staranności i odporności.

Chcesz zbudować własną zdolność w zakresie informatyki śledczej gotową do audytu? Zapoznaj się z Clarysec The Zenith Blueprint: An Auditor’s 30-Step Roadmap, aby zbudować udokumentowany SZBI od podstaw, oraz z Zenith Controls, aby zrozumieć, jakich dokładnie dowodów audytorzy wymagają dla każdego zabezpieczenia. Umów konsultację już dziś i sprawdź, jak nasze zintegrowane zestawy narzędzi mogą przyspieszyć drogę do możliwej do wykazania zgodności.