Wstrzymanie usuwania i zabezpieczenie materiału dowodowego po incydencie cybernetycznym na potrzeby GDPR, NIS2 i DORA
O 4:17 rano Maria, dyrektor ds. bezpieczeństwa informacji u dostawcy fintech SaaS, odebrała telefon, na który przygotowuje się każdy lider bezpieczeństwa i którego jednocześnie ma nadzieję nigdy nie otrzymać. Krytyczne serwery produkcyjne nie odpowiadały. Pliki były zaszyfrowane. Na ekranie młodszego administratora widniała notatka z żądaniem okupu.
O 4:28 zespół reagowania na incydenty chciał odizolować dotknięte systemy i ponownie wdrożyć czystą infrastrukturę. O 4:41 zespół inżynieryjny zapytał, czy może przeprowadzić rotację danych uwierzytelniających, usunąć pliki tymczasowe i odbudować kontenery. O 5:03 IOD ostrzegł, że naruszone środowisko zawiera identyfikatory klientów i metadane transakcji. O 5:16 radca prawny dołączył do mostka kryzysowego z jedną instrukcją: „Nie niszczcie potencjalnego materiału dowodowego. Może być potrzebne formalne wstrzymanie usuwania”. O 5:30 dyrektor operacyjny zapytał, czy uruchomiły się obowiązki raportowe DORA. O 6:00 Maria przypomniała sobie o zegarze NIS2: wczesne ostrzeżenie może być wymagane w ciągu 24 godzin, pełniejsze zgłoszenie w ciągu 72 godzin, a raport końcowy w ciągu miesiąca.
Wtedy padło pytanie, które decyduje o tym, czy obsługa incydentu cybernetycznego będzie możliwa do obrony, czy chaotyczna:
„Czy nadal mamy logi?”
To problem ładu po incydencie, który wiele planów reagowania traktuje zbyt pobieżnie. Nie wystarczy wykryć, powstrzymać i przywrócić działanie. W 2026 r. organizacje muszą również wykazać, co się wydarzyło, zachować właściwy materiał dowodowy, nie naruszyć artefaktów śledczych, respektować minimalizację danych zgodnie z GDPR, wspierać nadzór NIS2 oraz utrzymywać zapisy ryzyka ICT na potrzeby DORA w sposób odporny na audyt, postępowanie sądowe i przegląd regulacyjny.
Wstrzymanie usuwania i retencja materiału dowodowego po incydencie cybernetycznym znajdują się na styku operacji bezpieczeństwa, prywatności, prawa, zgodności, inżynierii chmurowej, zarządzania dostawcami i audytu. Jeżeli proces jest improwizowany podczas naruszenia, organizacja może utracić materiał dowodowy potrzebny do analizy przyczyny źródłowej, raportowania do organów regulacyjnych, roszczeń ubezpieczeniowych, obrony w postępowaniu sądowym, działań dyscyplinarnych wobec pracowników i zapewnień dla klientów. Jeżeli zakres wstrzymania jest nadmierny, organizacja może przechowywać zbyt dużo danych osobowych i stworzyć drugi problem zgodności.
Podejście Clarysec polega na tym, aby wstrzymanie usuwania było kontrolowanym procesem SZBI, a nie reakcją paniki. Model łączy ład ISO/IEC 27001:2022, środki kontrolne ISO/IEC 27002:2022 dotyczące materiału dowodowego i rejestrowania, rozliczalność GDPR, raportowanie incydentów NIS2 oraz materiał dowodowy dotyczący ryzyka ICT w DORA w jeden system operacyjny. Taki system wskazuje zespołom, co należy zachować, kto może zatwierdzić wstrzymanie, jak długo materiał dowodowy pozostaje objęty wstrzymaniem, kto może mieć do niego dostęp oraz kiedy można wznowić usuwanie.
Pierwsze 24 godziny decydują, czy materiał dowodowy przetrwa
W wielu rzeczywistych incydentach materiału dowodowego nie niszczą atakujący. Niszczy go normalna działalność operacyjna.
Wygasa okres przechowywania logów w chmurze. Kontener zostaje ponownie wdrożony. Punkt końcowy jest odtwarzany z obrazu przed pozyskaniem pamięci. Administrator SaaS eksportuje plik CSV do dochodzenia, a następnie edytuje plik. Inżynier działający w dobrej wierze usuwa złośliwe skrypty przed wykonaniem kopii kryminalistycznej. Zadanie retencji w hurtowni danych usuwa zapisy potrzebne do ustalenia, których klientów dotknął incydent.
Organizacja może nadal odzyskać sprawność operacyjną, ale traci dowody. To rozróżnienie ma znaczenie.
Zgodnie z GDPR administrator musi być w stanie wykazać zgodność z zasadami ochrony danych, w tym integralnością i poufnością, ograniczeniem celu, minimalizacją danych oraz ograniczeniem przechowywania. Jeżeli naruszenie ochrony danych osobowych może skutkować ryzykiem dla osób fizycznych, Article 33 może wymagać zgłoszenia organowi nadzorczemu bez zbędnej zwłoki oraz, jeśli jest to wykonalne, w ciągu 72 godzin od stwierdzenia naruszenia. Jeżeli naruszenie może powodować wysokie ryzyko dla osób fizycznych, Article 34 może wymagać poinformowania osób, których dane dotyczą.
Zgodnie z NIS2 podmioty kluczowe i ważne muszą zarządzać istotnymi incydentami poprzez etapowe raportowanie i nadzór. Zgodnie z DORA podmioty finansowe muszą rejestrować incydenty związane z ICT, klasyfikować poważne incydenty, zgłaszać je, przeprowadzać analizę przyczyny źródłowej oraz zachowywać materiał dowodowy dotyczący aktywów ICT, funkcji biznesowych i zależności od zewnętrznych dostawców.
ISO/IEC 27001:2022 zapewnia do tego strukturę systemu zarządzania. Clause 4.2 wymaga, aby organizacja określiła potrzeby i oczekiwania zainteresowanych stron, w tym wymagania prawne, regulacyjne i umowne istotne dla bezpieczeństwa informacji. Clause 4.3 wymaga, aby zakres SZBI uwzględniał interfejsy i zależności, co jest krytyczne, gdy materiał dowodowy znajduje się u dostawcy usług chmurowych, dostawcy zarządzanych usług bezpieczeństwa, na platformie płatniczej albo w zewnętrznym helpdesku. Clause 6.1 łączy te obowiązki z ryzykami bezpieczeństwa informacji i postępowaniem z ryzykiem. Clause 7.5 wymaga nadzorowanej udokumentowanej informacji. Clause 8 wymaga planowania i nadzoru operacyjnego.
Zenith Blueprint: 30-etapowa mapa drogowa audytora Clarysec wyjaśnia, dlaczego należy zaprojektować ten proces przed incydentem, a nie w jego trakcie. W fazie Wdrożenie kontroli w praktyce, krok 23, wytyczne dla ISO/IEC 27002:2022 control 5.28 stwierdzają:
„Gdy dochodzi do incydentu bezpieczeństwa informacji, jednym z najbardziej krytycznych, choć często pomijanych, elementów reakcji jest materiał dowodowy. Nie logi, nie zrzuty ekranu, nie luźne narracje, lecz prawidłowo zachowany, odporny na manipulację materiał dowodowy z poszanowaniem łańcucha nadzoru”.
Ten sam krok 23 dodaje, że „to, co można udowodnić, ma takie samo znaczenie jak to, co faktycznie się wydarzyło”. To zdanie wyznacza różnicę między reagowaniem na incydenty a możliwym do obrony reagowaniem na incydenty. Organ regulacyjny, audytor klienta, sąd, ubezpieczyciel lub organ nadzorczy nie zaakceptuje ustnej rekonstrukcji, jeżeli organizacja nie potrafi wykazać zachowanych logów, wiarygodnych znaczników czasu, kontrolowanych zapisów i udokumentowanego łańcucha nadzoru.
Wstrzymanie usuwania nie oznacza „zachowaj wszystko na zawsze”
Wstrzymanie usuwania po incydencie cybernetycznym to formalne zawieszenie standardowego usuwania lub niszczenia zdefiniowanych zapisów, logów, kopii zapasowych, obrazów, komunikacji i innego materiału dowodowego, który może być istotny dla dochodzenia, postępowania sądowego, zapytania organu regulacyjnego, audytu lub sporu umownego.
Najczęstszym błędem jest traktowanie wstrzymania usuwania jako blankietowej instrukcji: „Niczego nie usuwać”. Tworzy to ryzyko prywatności, kosztów i operacyjne. GDPR nie przestaje obowiązywać podczas incydentu cybernetycznego. Dane osobowe nadal muszą być przetwarzane zgodnie z prawem, rzetelnie i przejrzyście, w określonych celach, w zakresie ograniczonym do tego, co niezbędne, oraz przechowywane tylko tak długo, jak jest to konieczne. Article 5(2) dodaje rozliczalność, czyli obowiązek organizacji wykazania tych decyzji.
W tym miejscu biblioteka polityk Clarysec staje się praktyczna. Polityka dla MŚP Polityka retencji danych i bezpiecznego usuwania dla MŚP stwierdza:
„Wstrzymanie usuwania na potrzeby prawne uchyla standardowe wymagania dotyczące retencji i zapobiega usunięciu danych”.
Dla większych organizacji korporacyjna Polityka retencji i usuwania danych, Clause 6.4.1, stanowi:
„Jeżeli wydano wstrzymanie usuwania na potrzeby prawne (np. w związku z oczekiwanym postępowaniem sądowym, dochodzeniem lub audytem), dane, które w innym przypadku podlegałyby zniszczeniu, muszą zostać zachowane poza zwykłym okresem przechowywania”.
Ta sama polityka korporacyjna wymaga, aby wstrzymanie było:
„Udokumentowane i zatwierdzone przez radcę prawnego oraz Inspektora Ochrony Danych (IOD)”.
Ten model zatwierdzania nie jest biurokracją. To mechanizm równoważący zabezpieczenie dowodów i ograniczenia wynikające z prywatności. Radca prawny potwierdza podstawę związaną z postępowaniem sądowym, dochodzeniem lub wymogiem regulacyjnym. IOD potwierdza, że zakres, cel, kategorie danych osobowych, kontrola dostępu i przedłużenie przechowywania pozostają proporcjonalne.
W przypadku MŚP bez pełnej funkcji prawnej lub IOD tę samą logikę decyzyjną może zastosować vCISO, właściciel obszaru prywatności, dyrektor zarządzający i zewnętrzny doradca prawny, pod warunkiem że upoważnienie jest udokumentowane, ograniczone czasowo i podlega przeglądowi.
Napięcie zgodności, które musi rozwiązać każdy dyrektor ds. bezpieczeństwa informacji
Po poważnym incydencie różni interesariusze oczekują różnych dowodów. Dział prawny chce zachowania materiału. Prywatność wymaga minimalizacji. Regulatorzy oczekują faktów. Operacje chcą przywrócenia działania. Klienci oczekują zapewnień. Audytorzy oczekują obiektywnych dowodów.
| Regulacja lub potrzeba | Kluczowe wymaganie dotyczące materiału dowodowego | Implikacja dla retencji |
|---|---|---|
| NIS2 | Wykazać wpływ, wagę i podejrzewaną przyczynę na potrzeby etapowego raportowania incydentów | Zachować alerty, wskaźniki naruszenia (IOC), dane o wpływie na usługi, zapisy zakłóceń operacyjnych i dzienniki decyzji |
| DORA | Wesprzeć klasyfikację incydentu, raportowanie, analizę wpływu na klienta i przegląd przyczyny źródłowej | Przechowywać artefakty techniczne, dowody dotyczące aktywów ICT, briefingi dla kierownictwa, komunikację z dostawcami i zapisy działań naprawczych |
| GDPR | Wykazać ograniczenie celu, minimalizację danych, ograniczenie przechowywania i bezpieczeństwo przetwarzania | Uzasadnić przechowywanie danych osobowych, ograniczyć dostęp oraz usunąć lub zanonimizować materiał dowodowy po zwolnieniu wstrzymania |
| Postępowanie sądowe | Przedstawić możliwy do obrony, nienaruszony materiał dowodowy z jasnym łańcuchem nadzoru | Zamrozić właściwe dane w ramach formalnego wstrzymania usuwania oraz utrzymywać zapisy pozyskania, dostępu i przekazania |
| Umowy z klientami | Wykazać obowiązki dotyczące powiadomienia, wpływu na usługę, działań naprawczych i współpracy | Zachować komunikację z klientami, analizę SLA, raporty incydentów i umowne zapisy reakcji |
Próba zarządzania tymi wymaganiami poprzez odrębne procesy prywatności, prawa, SOC i audytu prowadzi do sprzeczności. Zunifikowany SZBI ISO/IEC 27001:2022 sprawia, że stają się one częścią jednego procesu ryzyka, kontroli i materiału dowodowego.
Zestaw środków kontrolnych dla możliwej do obrony retencji materiału dowodowego
Wstrzymanie usuwania po incydencie cybernetycznym nie jest jednym środkiem kontrolnym ISO/IEC 27002:2022. Jest relacją między środkami kontrolnymi.
Zenith Controls: przewodnik po zgodności przekrojowej Clarysec odwzorowuje ISO/IEC 27002:2022 control 5.28, Gromadzenie materiału dowodowego, jako środek korygujący wspierający poufność, integralność i dostępność. Znajduje się on w obszarze koncepcji cyberbezpieczeństwa Detect and Respond oraz w zdolności operacyjnej zarządzania zdarzeniami bezpieczeństwa informacji.
Ten sam przewodnik Zenith Controls łączy 5.28 z reagowaniem na incydenty bezpieczeństwa informacji, rejestrowaniem i monitorowaniem, ochroną zapisów oraz raportowaniem zdarzeń. Logika jest praktyczna: osoby reagujące na incydent potrzebują logów i artefaktów, zanim działania naprawcze zmienią stan środowiska; osoby raportujące do regulatorów potrzebują wiarygodnych faktów; a prowadzący dochodzenie potrzebują materiału dowodowego, który nie został zmieniony.
ISO/IEC 27002:2022 control 5.33, Ochrona zapisów, jest równie ważny. Wspiera wymagania prawne i zgodności, zarządzanie aktywami oraz ochronę informacji. Łączy ochronę zapisów z klasyfikacją, kopiami zapasowymi, bezpiecznym usuwaniem, wymaganiami prawnymi i umownymi, kontrolą dostępu oraz reagowaniem na incydenty. W praktyce wstrzymanie usuwania nie może jedynie gromadzić materiału dowodowego. Musi chronić integralność, poufność i dostępność samego zapisu dowodowego.
Dla rejestrowania fundamentem jest ISO/IEC 27002:2022 control 8.15, Rejestrowanie. Łączy się on z 8.16, Monitorowanie działań, oraz 8.17, Synchronizacja zegarów. Jeżeli logi są niekompletne, edytowalne przez administratorów, niezsynchronizowane czasowo lub przechowywane zbyt krótko, proces dowodowy może zawieść, zanim dochodzenie się rozpocznie.
| Potrzeba dowodowa | Relacja ze środkiem kontrolnym ISO/IEC 27002:2022 | Dlaczego ma to znaczenie po naruszeniu |
|---|---|---|
| Zachować artefakty przed działaniami naprawczymi | 5.28 Gromadzenie materiału dowodowego powiązane z 5.26 Reagowanie na incydenty bezpieczeństwa informacji | Zapobiega zniszczeniu dowodów przez osoby reagujące podczas powstrzymywania incydentu |
| Chronić zapisy dochodzenia | 5.33 Ochrona zapisów powiązane z 5.31 Wymagania prawne, ustawowe, regulacyjne i umowne oraz 5.15 Kontrola dostępu | Zapewnia, że pliki dowodowe, raporty i zatwierdzenia pozostają nienaruszone i objęte ograniczeniami |
| Utrzymywać wiarygodne logi | 8.15 Rejestrowanie powiązane z 8.16 Monitorowanie działań i 8.17 Synchronizacja zegarów | Wspiera osie czasu zdarzeń, atrybucję, analizę wpływu i raportowanie regulacyjne |
| Zrównoważyć prywatność | 5.34 Prywatność i ochrona danych osobowych powiązane z rejestrowaniem i ochroną zapisów | Zapobiega nadmiernemu przechowywaniu lub niekontrolowanemu ujawnieniu danych osobowych |
| Odtworzyć dostępność materiału dowodowego | 8.13 Kopie zapasowe informacji powiązane z ochroną zapisów | Pomaga odtworzyć zapisy i logi, jeżeli systemy zostały uszkodzone, zaszyfrowane lub usunięte |
| Usprawnić działania po incydencie | 5.27 Uczenie się na podstawie incydentów bezpieczeństwa informacji powiązane z działaniem korygującym | Przekształca wnioski z incydentu w postępowanie z ryzykiem, doskonalenie kontroli i dowody audytowe |
Zenith Blueprint, faza Wdrożenie kontroli w praktyce, krok 19, wzmacnia to praktycznym językiem dotyczącym rejestrowania:
„Logi rejestrujące działania, wyjątki, błędy i inne istotne zdarzenia powinny być generowane, przechowywane, chronione i analizowane”.
Ostrzega również, że ochrona logów obejmuje ograniczanie dostępu oraz stosowanie mechanizmów takich jak haszowanie lub pamięć typu write-once w celu zapobiegania manipulacjom. Krok 19 łączy synchronizację zegarów ze spójnością kryminalistyczną, wyjaśniając, że zsynchronizowane zegary pozwalają korelować logi z różnych systemów na potrzeby dochodzenia.
Rozliczalność GDPR: zachowuj to, czego potrzebujesz, i uzasadniaj to, co przechowujesz
GDPR tworzy najbardziej widoczne napięcie w retencji materiału dowodowego po incydencie. Zespoły bezpieczeństwa często chcą więcej danych. Zespoły prywatności chcą mniej. Możliwe do obrony wstrzymanie usuwania godzi oba wymagania.
Logi i artefakty mogą zawierać adresy IP, identyfikatory użytkowników, adresy e-mail, identyfikatory urządzeń, zapisy uwierzytelniania, treść zgłoszeń wsparcia, zrzuty ekranu, eksporty klientów lub szczególne kategorie danych. Zachowanie materiału dowodowego jest więc przetwarzaniem. Powiadomienie o wstrzymaniu usuwania powinno dokumentować podstawę prawną, cel, zakres, ograniczenia dostępu, datę przeglądu okresu przechowywania oraz przesłankę usunięcia.
Polityka dla MŚP Clarysec Polityka ochrony danych i prywatności dla MŚP stwierdza:
„Należy gromadzić i przechowywać wyłącznie minimalny zakres danych osobowych, który jest niezbędny”.
Korporacyjna Polityka zabezpieczania materiału dowodowego i informatyki śledczej wyraźnie opiera postępowanie z dowodami kryminalistycznymi na:
„GDPR Article 5, w tym ograniczeniu celu i minimalizacji danych”.
To jest zasada operacyjna. Nie należy zachowywać całej produkcyjnej bazy danych, jeżeli istotny materiał dowodowy stanowi wąska ścieżka audytu, dziennik dostępu, zapis zapytania i lista dotkniętych użytkowników. Nie należy dawać każdej osobie reagującej dostępu do surowego materiału dowodowego, jeżeli wystarczą ekstrakty spseudonimizowane lub dostęp oparty na rolach. Nie należy przechowywać artefaktów incydentu bezterminowo po wygaśnięciu potrzeby prawnej, regulacyjnej i audytowej.
Dobrze przygotowany zapis wstrzymania usuwania uwzględniający GDPR odpowiada na siedem pytań:
- Jaki incydent lub dochodzenie uruchomiło wstrzymanie?
- Jakie kategorie danych osobowych mogą zostać objęte?
- Dlaczego każda kategoria materiału dowodowego jest niezbędna?
- Kto zatwierdził wstrzymanie i kiedy?
- Kto może uzyskać dostęp do materiału dowodowego?
- Kiedy wstrzymanie zostanie poddane przeglądowi?
- Jaki proces usuwania lub bezpiecznego niszczenia zostanie wznowiony po zwolnieniu wstrzymania?
W ten sposób retencja materiału dowodowego nie staje się nadmiernym przechowywaniem danych z perspektywy prywatności.
NIS2: wstrzymanie usuwania na potrzeby etapowego raportowania incydentów
Dla organizacji objętych zakresem NIS2 oczekiwanie dowodowe zmienia się z „przydatne wewnętrznie” na „potrzebne do nadzoru”.
NIS2 ma zastosowanie do wielu podmiotów kluczowych i ważnych w UE, w tym dostawców infrastruktury cyfrowej, dostawców usług chmurowych, dostawców usług centrów danych, sieci dostarczania treści, dostawców usług zaufania, dostawców łączności elektronicznej, dostawców usług zarządzanych, dostawców zarządzanych usług bezpieczeństwa oraz określonych dostawców cyfrowych, takich jak internetowe platformy handlowe, wyszukiwarki internetowe i platformy sieci społecznościowych.
Article 21 wymaga odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, w tym analizy ryzyka, obsługi incydentów, ciągłości działania, bezpieczeństwa łańcucha dostaw, bezpiecznego rozwoju oprogramowania, oceny skuteczności, szkoleń, kryptografii, bezpieczeństwa zasobów ludzkich, kontroli dostępu, zarządzania aktywami i uwierzytelniania. Article 20 nakłada na organy zarządzające odpowiedzialność za zatwierdzanie i nadzorowanie tych środków.
Dla wstrzymania usuwania kluczową kwestią NIS2 jest Article 23. Incydenty istotne wymagają etapowego raportowania: wczesnego ostrzeżenia w ciągu 24 godzin od uzyskania wiedzy, zgłoszenia incydentu w ciągu 72 godzin, raportów pośrednich na żądanie oraz raportu końcowego nie później niż miesiąc po zgłoszeniu 72-godzinnym. Raport końcowy wymaga opisu, wagi, wpływu, prawdopodobnego typu zagrożenia lub przyczyny źródłowej, środków łagodzących oraz wpływu transgranicznego, jeżeli ma zastosowanie.
| Etap raportowania NIS2 | Potrzebny materiał dowodowy | Działanie w ramach wstrzymania usuwania |
|---|---|---|
| Wczesne ostrzeżenie w ciągu 24 godzin | Początkowy czas wykrycia, podejrzewana złośliwa aktywność, dotknięta usługa i możliwy wpływ transgraniczny | Zamrozić alerty SOC, zgłoszenie incydentu, logi tożsamości i ślady audytowe chmury |
| Zgłoszenie w ciągu 72 godzin | Waga, wpływ, wskaźniki naruszenia (IOC), zakłócenie operacyjne i wskaźniki straty finansowej | Zachować eksporty kryminalistyczne, inwentarz dotkniętych aktywów, IOC, notatki dotyczące wpływu biznesowego i zapisy komunikacji |
| Raporty pośrednie | Aktualny status, postęp powstrzymania i pytania organu | Utrzymywać wersjonowany zapis dochodzenia i dziennik decyzji dotyczących reakcji |
| Raport końcowy | Przyczyna źródłowa, opis incydentu, waga, wpływ, mitygacja i skutek transgraniczny | Zachować materiał dowodowy dotyczący przyczyny źródłowej, dowody działań naprawczych, wnioski z incydentu i ścieżkę zatwierdzeń |
Jeżeli incydent dotyczy danych osobowych, właściwe organy NIS2 mogą współpracować z organami nadzorczymi GDPR. Zwiększa to potrzebę jednej narracji dowodowej, która wspiera zarówno nadzór cyberbezpieczeństwa, jak i rozliczalność prywatności.
DORA: materiał dowodowy dotyczący ryzyka ICT wykracza poza logi bezpieczeństwa
Dla podmiotów finansowych DORA jest sektorowym reżimem odporności operacyjnej. Stosuje się od 17 stycznia 2025 r. i obejmuje zarządzanie ryzykiem ICT, raportowanie poważnych incydentów ICT, testowanie odporności, wymianę informacji oraz zarządzanie ryzykiem zewnętrznych dostawców ICT. W przypadku podmiotów finansowych, które są jednocześnie podmiotami kluczowymi lub ważnymi w ramach NIS2, DORA zasadniczo pełni funkcję sektorowego aktu prawnego Unii dla ryzyka ICT i raportowania incydentów.
DORA z założenia jest wymagająca dowodowo. Article 17 wymaga procesu zarządzania incydentami związanymi z ICT. Article 18 dotyczy klasyfikacji incydentów związanych z ICT i cyberzagrożeń. Article 19 obejmuje raportowanie poważnych incydentów związanych z ICT. Podmioty finansowe muszą również utrzymywać rozwiązania w zakresie ładu i kontroli, identyfikować funkcje krytyczne lub ważne, dokumentować aktywa i zależności ICT oraz przeprowadzać analizę przyczyny źródłowej.
Oznacza to, że wstrzymanie usuwania na potrzeby DORA musi obejmować materiał dowodowy dotyczący odporności operacyjnej, a nie tylko artefakty bezpieczeństwa. Po naruszeniu tożsamości w chmurze wpływającym na operacje płatnicze wstrzymanie może obejmować logi dostawcy tożsamości, historię dostępu uprzywilejowanego, logi audytowe chmury, alerty SIEM, obrazy punktów końcowych, analizę wpływu na transakcje klientów, zapisy uruchomienia ciągłości działania, dowody tworzenia kopii zapasowych i odtwarzania, komunikację z dostawcami, briefingi dla organu zarządzającego, analizę przyczyny źródłowej i walidację działań naprawczych.
DORA sprawia również, że materiał dowodowy ICT od zewnętrznych dostawców jest nieunikniony. Articles 28 to 30 wymagają zarządzania ryzykiem zewnętrznych dostawców ICT, rejestrów umów, due diligence, oceny ryzyka koncentracji oraz pisemnych umów z prawami i obowiązkami. W przypadku funkcji krytycznych lub ważnych umowy powinny wspierać obowiązki dostawcy w zakresie powiadamiania i raportowania, wsparcie w obsłudze incydentów, współpracę z organami, prawa dostępu, inspekcji i audytu oraz strategie wyjścia.
Jeżeli dostawca chmury, MSP, MSSP, procesor płatności lub zależność SaaS posiada właściwe logi, proces wstrzymania usuwania musi być już osadzony w umowach z dostawcami. W przeciwnym razie podczas poważnego incydentu można odkryć, że standardowe okno retencji dostawcy jest krótsze niż regulacyjny cykl raportowania.
Jak Clarysec operacjonalizuje wstrzymanie usuwania podczas naruszenia SaaS
Rozważmy środowisko fintech SaaS Marii. Incydent może obejmować nieuprawniony dostęp do identyfikatorów klientów, metadanych transakcji, systemów administracyjnych i zapisów zewnętrznego SOC. Spółka obsługuje instytucje finansowe z UE, korzysta z infrastruktury chmurowej i może podlegać GDPR, obowiązkom umownym DORA oraz obowiązkom NIS2.
Pierwszym działaniem nie jest zachowanie wszystkiego. Pierwszym działaniem jest uruchomienie kontrolowanej decyzji.
Kierujący incydentem przesyła wniosek o wstrzymanie usuwania do radcy prawnego, IOD lub osoby odpowiedzialnej za prywatność, dyrektora ds. bezpieczeństwa informacji oraz właściciela biznesowego. Wniosek obejmuje identyfikator incydentu, datę i godzinę, dotknięte systemy, podejrzewane kategorie danych, początkowe ścieżki regulacyjne, proponowane kategorie materiału dowodowego i bezpośrednie ryzyka usunięcia.
Zgodnie z korporacyjną Polityką retencji i usuwania danych wstrzymanie jest dokumentowane i zatwierdzane przez radcę prawnego oraz IOD. Dla MŚP Polityka retencji danych i bezpiecznego usuwania dla MŚP określa zasadę zawieszenia usuwania. Upoważnienie obejmuje datę przeglądu dostosowaną do kamieni milowych dochodzenia, terminów raportowania regulacyjnego oraz oczekiwanego ryzyka sporu sądowego lub umownego. Nie mówi „na zawsze”. Mówi „do czasu zwolnienia przez uprawnioną decyzję po przeglądzie”.
Następnie zespół zamraża właściwe logi i artefakty. Polityka dla MŚP Polityka logowania i monitorowania dla MŚP stwierdza:
„Logi muszą zostać objęte wstrzymaniem usuwania na potrzeby prawne oraz chronione przed zmianą lub usunięciem”.
Zespół wstrzymuje usuwanie dla spraw SIEM, logów tożsamości, logów audytowych chmury, logów aplikacyjnych, logów zapytań bazodanowych, zdarzeń WAF oraz metadanych alertów SOC. Wyeksportowane logi są przechowywane w ograniczonym repozytorium materiału dowodowego z haszowaniem, kontrolą wersji i uprawnieniami tylko do odczytu, gdy jest to właściwe.
Zasada gromadzenia jest prosta: zachować materiał dowodowy bez edytowania oryginałów. Polityka dla MŚP Polityka zabezpieczania materiału dowodowego i informatyki śledczej dla MŚP stwierdza:
„Zawsze należy utworzyć kopię kryminalistyczną lub eksport; oryginalny materiał dowodowy nigdy nie może być edytowany bezpośrednio”.
Inżynierowie mogą prowadzić działania naprawcze, ale dopiero po wykonaniu wymaganych migawek, eksportów lub kopii kryminalistycznych, chyba że natychmiastowe powstrzymanie jest konieczne, aby zapobiec trwającej szkodzie. Jeżeli awaryjne działania naprawcze nastąpią wcześniej, przyczynę należy udokumentować.
Ta sama polityka dla MŚP stanowi:
„Dla każdego incydentu należy prowadzić prosty rejestr łańcucha nadzoru (np. plik Excel lub dokument szablonowy)”.
W środowiskach korporacyjnych Polityka zabezpieczania materiału dowodowego i informatyki śledczej, Clause 5.6, wymaga:
„Rejestr łańcucha nadzoru musi towarzyszyć każdemu fizycznemu lub cyfrowemu materiałowi dowodowemu od momentu pozyskania przez archiwizację lub przekazanie i musi dokumentować:”.
W praktyce rejestr łańcucha nadzoru obejmuje identyfikator dowodu, opis, system źródłowy, osobę pozyskującą, metodę pozyskania, wartość skrótu, jeżeli ma zastosowanie, źródło czasu, lokalizację przechowywania, zdarzenia dostępu, przekazania, kopie analityczne i końcową dyspozycję.
Na koniec należy chronić sam zapis dochodzenia. Korporacyjna Polityka audytu i monitorowania zgodności stwierdza:
„Wszystkie logi audytowe, ustalenia i raporty działań naprawczych muszą być przechowywane, szyfrowane i chronione przed manipulacją”.
Wymóg ten dotyczy osi czasu incydentu, dziennika decyzji, powiadomienia o wstrzymaniu usuwania, komunikacji z regulatorem, komunikacji z klientami, analizy przyczyny źródłowej oraz dowodów działań naprawczych.
Udokumentowane informacje, które sprawdzą audytorzy
ISO/IEC 27001:2022 Clause 7.5 wymaga nadzorowania udokumentowanych informacji potrzebnych SZBI i wymaganych przez normę. Zenith Blueprint, faza Podstawy i przywództwo SZBI, krok 6, przekłada to na praktyczne wymagania: dokumenty powinny mieć identyfikację, format, przegląd, zatwierdzenie, kontrolę wersji, kontrolowany dostęp, ochronę integralności, kontrolę zmian, okres przechowywania i zasady dyspozycji.
Krok 6 wskazuje również, że zapisy takie jak logi monitorowania, raporty audytowe i akta dochodzeń incydentów mogą być poufne i powinny być udostępniane zgodnie z zasadą wiedzy koniecznej, przy ograniczeniu uprawnień edycji do upoważnionych użytkowników.
Możliwy do obrony pakiet dowodowy powinien obejmować:
- Powiadomienie o wstrzymaniu usuwania i zatwierdzenie.
- Klasyfikację incydentu i decyzję dotyczącą wagi.
- Inwentarz materiału dowodowego.
- Rejestr łańcucha nadzoru.
- Potwierdzenie zachowania logów.
- Zapisy obrazu kryminalistycznego lub eksportu.
- Wartości skrótów lub weryfikacje integralności, jeżeli mają zastosowanie.
- Listę dostępu do repozytorium materiału dowodowego.
- Materiał dowodowy dotyczący raportowania regulacyjnego.
- Ocenę prywatności i analizę wpływu na dane osobowe.
- Wnioski o materiał dowodowy do dostawców i odpowiedzi.
- Analizę przyczyny źródłowej.
- Dowody działań naprawczych i walidacji.
- Decyzję o przeglądzie i zwolnieniu wstrzymania.
Im silniejsza kontrola udokumentowanych informacji, tym łatwiejszy audyt.
Materiał dowodowy dostawców i chmury: punkt awarii pomijany przez wiele zespołów
Najtrudniejszy materiał dowodowy często nie znajduje się wewnątrz organizacji. Jest przechowywany przez dostawcę chmury, platformę SaaS, MSSP, MSP, procesor płatności, dostawcę tożsamości lub zewnętrzny zespół rozwoju oprogramowania.
NIS2 Article 21 obejmuje bezpieczeństwo łańcucha dostaw oraz aspekty bezpieczeństwa relacji z bezpośrednimi dostawcami lub dostawcami usług. DORA idzie dalej w przypadku podmiotów finansowych, wymagając rejestrów zewnętrznych dostawców ICT, due diligence, analizy ryzyka koncentracji oraz umów obejmujących wsparcie w obsłudze incydentów, raportowanie dostawcy, współpracę z organami, prawa audytu i postanowienia wyjścia dla funkcji krytycznych lub ważnych.
NIST Cybersecurity Framework 2.0 również traktuje ryzyko łańcucha dostaw jako dyscyplinę obejmującą cykl życia. Funkcja Govern obejmuje wyniki zarządzania ryzykiem dostawców dotyczące strategii, ról, umów, due diligence, monitorowania, udziału w incydentach i postanowień wyjścia. Profile CSF mogą wyrażać docelowe wymagania cyberbezpieczeństwa wobec dostawców, co jest użyteczne przy przekładaniu potrzeb dowodowych wstrzymania usuwania na postanowienia umowne.
Umowy z dostawcami powinny obejmować:
- Typy logów bezpieczeństwa dostępne dla klienta.
- Domyślne okresy retencji i opcje przedłużonej retencji.
- Proces awaryjnego wniosku o zachowanie materiału.
- Czas na zachowanie materiału dowodowego po wniosku klienta.
- Formaty eksportu kryminalistycznego.
- Wsparcie łańcucha nadzoru.
- Współpracę z regulatorem.
- Obowiązki dowodowe podmiotu przetwarzającego dalej lub podwykonawcy.
- Ograniczenia dotyczące lokalizacji i transferu danych.
- Bezpieczne usuwanie po zwolnieniu wstrzymania.
Zenith Blueprint, faza Wdrożenie kontroli w praktyce, krok 18, wprowadza podobną dyscyplinę dla przekazywania nośników fizycznych, wymagając szyfrowania, opakowań z detekcją manipulacji, śledzenia, logów transportu, inwentarza nośników i audytu rejestru. Ta sama logika dotyczy przekazywania materiału dowodowego z chmury: zachować integralność, śledzić nadzór, ograniczać dostęp i potwierdzać odbiór.
Jak audytorzy i regulatorzy będą testować proces wstrzymania usuwania
Proces wstrzymania usuwania wygląda inaczej w zależności od mandatu osoby dokonującej przeglądu. Clarysec wykorzystuje Zenith Controls jako kompas zgodności przekrojowej, aby ten sam pakiet dowodowy mógł zaspokoić wiele perspektyw bez dublowania pracy.
| Perspektywa audytora | O co zapyta audytor | Materiał dowodowy przygotowywany przez Clarysec |
|---|---|---|
| Audytor ISO/IEC 27001:2022 | Czy wstrzymanie usuwania jest częścią SZBI, postępowania z ryzykiem, udokumentowanych informacji i procesu reagowania na incydenty? | Zakres SZBI, wymagania zainteresowanych stron, Deklaracja stosowania, procedura incydentowa, polityka dowodowa, polityka retencji i kontrolowane zapisy |
| Przeglądający środki kontrolne ISO/IEC 27002:2022 | Czy wdrożono i powiązano 5.28 gromadzenie materiału dowodowego, 5.33 ochronę zapisów i 8.15 rejestrowanie? | Inwentarz materiału dowodowego, rejestr łańcucha nadzoru, ochrona przed manipulacją, ustawienia okresu retencji logów, dowód synchronizacji czasu i kontrola dostępu |
| Audytor GDPR lub przegląd IOD | Czy dane osobowe przechowywano tylko wtedy, gdy było to konieczne, oraz na podstawie udokumentowanego celu i podstawy prawnej? | Ocena prywatności, uzasadnienie minimalizacji danych, ograniczenia dostępu, przegląd okresu przechowywania oraz dowód usunięcia lub bezpiecznego zniszczenia |
| Przegląd nadzorczy NIS2 | Czy podmiot może wesprzeć raportowanie 24-godzinne, 72-godzinne i końcowe wiarygodnymi faktami? | Oś czasu incydentu, ocena wagi, IOC, dowody wpływu, analiza transgraniczna, zatwierdzenia kierownictwa i komunikacja |
| Przegląd ryzyka ICT DORA | Czy incydenty są rejestrowane, klasyfikowane, eskalowane, raportowane, analizowane pod kątem przyczyny źródłowej i zasilają zarządzanie ryzykiem ICT? | Rejestr incydentów, kryteria klasyfikacji, raportowanie do organu zarządzającego, analiza przyczyny źródłowej, walidacja działań naprawczych i materiał dowodowy dostawców |
| Asesor NIST CSF 2.0 | Czy wyniki w obszarach ładu, ryzyka, dostawców, wykrywania, reagowania i odzyskiwania są zintegrowane w jednym profilu? | Profile obecne i docelowe, plan luk, wymagania wobec dostawców, dowody monitorowania i wnioski z incydentu |
| Audytor COBIT 2019 lub ISACA | Czy cele ładu, rozliczalność, jakość informacji, monitorowanie kontroli i materiał dowodowy zapewnienia są wiarygodne? | RACI, własność kontroli, przegląd zarządzania, ścieżka audytu, śledzenie zagadnień, zamknięcie działań naprawczych i wskaźniki skuteczności działania |
Audytor ISO będzie zwracał uwagę na zgodność i obiektywny materiał dowodowy. Przeglądający GDPR będzie zwracał uwagę na niezbędność, ograniczenie celu i możliwą do wykazania rozliczalność. Przeglądający NIS2 będzie zwracał uwagę na fakty dotyczące raportowania istotnych incydentów oraz odpowiedzialność kierownictwa. Przeglądający DORA będzie zwracał uwagę na ład ryzyka ICT, obsługę poważnych incydentów, zależności od zewnętrznych dostawców i wnioski z incydentów. Audytor w stylu COBIT 2019 lub ISACA będzie zwracał uwagę na ład, projekt kontroli, działanie kontroli i zapewnienie jakości informacji.
Jeden pakiet dowodowy może obsłużyć wszystkie te perspektywy, jeżeli zostanie tak zaprojektowany.
Praktyczna lista kontrolna wstrzymania usuwania po incydencie cybernetycznym na 2026 r.
Użyj tej listy kontrolnej przed następnym poważnym incydentem, a nie w jego trakcie.
| Pytanie kontrolne | Oczekiwana odpowiedź |
|---|---|
| Kto może wydać wstrzymanie usuwania po incydencie cybernetycznym? | Zatwierdzają radca prawny i IOD lub właściciel obszaru prywatności, a inicjują dyrektor ds. bezpieczeństwa informacji i kierujący incydentem |
| Co uruchamia wstrzymanie? | Podejrzewany poważny incydent bezpieczeństwa, naruszenie ochrony danych osobowych, możliwość raportowania regulacyjnego, ryzyko sporu sądowego, wniosek organów ścigania, audyt klienta lub spór umowny |
| Jaki materiał dowodowy jest w zakresie? | Logi, alerty, obrazy kryminalistyczne, migawki, zgłoszenia, komunikacja, analiza wpływu, zapisy dostawców, decyzje kierownictwa i dowody działań naprawczych |
| Jak chroniony jest materiał dowodowy? | Ograniczony dostęp, szyfrowanie, ochrona przed manipulacją, haszowanie tam, gdzie właściwe, niemodyfikowalna lub tylko do odczytu pamięć masowa oraz monitorowany dostęp |
| Jak utrzymywany jest łańcuch nadzoru? | Rejestr materiału dowodowego dokumentuje pozyskanie, osobę pozyskującą, czas, metodę, przechowywanie, przekazanie, dostęp i dyspozycję |
| Jak obsługiwana jest minimalizacja GDPR? | Zakres jest ograniczony do niezbędnego materiału dowodowego, dostęp do danych osobowych jest ograniczony, ustalane są daty przeglądu, a usuwanie jest wznawiane po zwolnieniu wstrzymania |
| Jak uwzględniani są dostawcy? | Umowy wymagają zachowania materiału dowodowego, wsparcia w obsłudze incydentów, współpracy audytowej i przedłużenia okresu retencji na żądanie |
| Jak obsługiwane jest zwolnienie wstrzymania? | Uprawniony przegląd określa, czy wstrzymanie kontynuować, zawęzić czy zwolnić oraz wznowić bezpieczne usuwanie |
Ta lista kontrolna zyskuje na wartości, gdy jest osadzona w planie postępowania z ryzykiem SZBI, wymaganiach bezpieczeństwa dostawców, podręcznikach operacyjnych reagowania na incydenty, architekturze rejestrowania i ładzie prywatności.
Od paniki po naruszeniu do odporności gotowej do audytu
Telefon o 4 rano zawsze będzie stresujący. Nie musi jednak przerodzić się w chaos.
Dojrzały proces wstrzymania usuwania po incydencie cybernetycznym daje każdemu interesariuszowi kontrolowaną ścieżkę. Dział prawny otrzymuje możliwe do obrony zachowanie materiału. Prywatność otrzymuje minimalizację i przegląd. Dyrektor ds. bezpieczeństwa informacji otrzymuje integralność materiału dowodowego. IOD otrzymuje rozliczalność. Zarząd otrzymuje wiarygodne fakty. Przeglądający NIS2, DORA i GDPR otrzymują obiektywny materiał dowodowy zamiast improwizowanych wyjaśnień.
30-etapowa metodyka Clarysec nie traktuje wstrzymania usuwania jako samodzielnej notatki prawnej. Traktuje je jako zdolność operacyjną SZBI.
W Zenith Blueprint krok 6 buduje bibliotekę udokumentowanych informacji, w tym zasady okresu przechowywania i dyspozycji. Krok 19 wzmacnia rejestrowanie i synchronizację zegarów, aby dochodzenia mogły odtwarzać osie czasu. Krok 23 operacjonalizuje gromadzenie materiału dowodowego i łańcuch nadzoru. Krok 18 dodaje dyscyplinę postępowania z nośnikami, gdy materiał dowodowy przemieszcza się fizycznie lub między stronami.
W Zenith Controls Clarysec łączy bazowe środki kontrolne ISO/IEC 27002:2022, aby klienci mogli zobaczyć, jak gromadzenie materiału dowodowego zależy od rejestrowania, monitorowania, reagowania na incydenty, ochrony zapisów, kontroli dostępu, kopii zapasowych, prywatności i wymagań prawnych.
W bibliotece polityk Clarysec praktyczne punkty zaczepienia procesu są już zdefiniowane: Polityka retencji i usuwania danych, Polityka retencji danych i bezpiecznego usuwania dla MŚP, Polityka zabezpieczania materiału dowodowego i informatyki śledczej, Polityka zabezpieczania materiału dowodowego i informatyki śledczej dla MŚP, Polityka logowania i monitorowania dla MŚP, Polityka ochrony danych i prywatności dla MŚP oraz Polityka audytu i monitorowania zgodności.
Jeżeli plan reagowania na incydenty mówi „zachowaj materiał dowodowy”, ale nie definiuje uprawnień do wstrzymania usuwania, zakresu materiału dowodowego, zawieszenia usuwania, łańcucha nadzoru, zachowania materiału przez dostawców, minimalizacji GDPR i kryteriów zwolnienia, nie jest jeszcze gotowy do audytu.
Zbuduj proces przed naruszeniem. Clarysec może pomóc utworzyć możliwą do obrony zdolność wstrzymania usuwania i retencji materiału dowodowego po incydencie cybernetycznym, wykorzystując Zenith Blueprint: 30-etapową mapę drogową audytora, Zenith Controls: przewodnik po zgodności przekrojowej oraz szablony polityk Clarysec, w tym Politykę retencji i usuwania danych, Politykę zabezpieczania materiału dowodowego i informatyki śledczej, Politykę audytu i monitorowania zgodności, Politykę logowania i monitorowania dla MŚP, Politykę ochrony danych i prywatności dla MŚP oraz Politykę zabezpieczania materiału dowodowego i informatyki śledczej dla MŚP.
Pobierz zestawy narzędzi, zamów przegląd polityk Clarysec albo zarezerwuj ocenę gotowości retencji materiału dowodowego przed następnym audytem, wnioskiem organu nadzorczego lub dużym przeglądem bezpieczeństwa klienta.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
