Guvernanța plăților în incidente ransomware pentru NIS2 și DORA
Este ora 3:17 dimineața, într-o zi lucrătoare din 2026. Maria, Directorul de securitate a informațiilor (CISO) al unei platforme fintech aflate în creștere rapidă, este chemată într-o conferință de criză printr-un mesaj de la analistul SOC principal: criptare extinsă confirmată, servicii de bază indisponibile și un grup ransomware care susține că a exfiltrat 2 TB de date ale clienților.
CEO-ul intră primul în apel. Urmează departamentul juridic. Apoi protecția datelor, finanțele, comunicarea, asigurătorul cibernetic, un furnizor de servicii de criminalistică digitală și echipa de operațiuni cloud. Un portal de pe dark web afișează o numărătoare inversă de 48 de ore și o cerere de răscumpărare de șapte cifre în criptomonedă.
CEO-ul pune întrebarea de care se teme orice CISO.
„Putem plăti și cine are dreptul să decidă?”
Răspunsul greșit este să tratezi situația ca pe o problemă de negociere. Răspunsul corect este să o tratezi ca pe o problemă de guvernanță.
În 2026, guvernanța deciziilor privind plata în incidente ransomware nu mai este o alegere tehnică, privată, luată în criză. Ea poate fi examinată de autorități de reglementare, auditori, asigurători, clienți, autorități de aplicare a legii, acționari și consiliul de administrație. O decizie de plată se intersectează cu expunerea la sancțiuni, evaluarea încălcării securității datelor cu caracter personal, condițiile asigurării cibernetice, obligațiile contractuale, comunicarea de criză, conservarea dovezilor, raportarea etapizată NIS2, clasificarea incidentelor DORA, notificarea GDPR și îmbunătățirea post-incident.
De aceea, Clarysec recomandă clienților să includă guvernanța deciziilor privind plata în incidente ransomware în cadrul SMSI înainte de producerea incidentului. ISO/IEC 27001:2022 oferă structura sistemului de management. Controalele ISO/IEC 27002:2022 oferă modelul operațional. Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului și Zenith Controls: ghidul de conformitate între cadre ajută la transformarea acestei structuri în dovezi practice, verificabile în audit.
Un playbook ransomware care spune „notificați departamentul juridic” nu este suficient. Organizația trebuie să știe cine poate autoriza negocierea, cum se efectuează verificarea sancțiunilor, când trebuie să aprobe asigurătorul, cum se documentează clasificarea GDPR, NIS2 și DORA și cum sunt protejate dovezile în timp ce echipele de recuperare lucrează sub presiune.
De ce eșuează deciziile ad-hoc privind plata în incidente ransomware
O decizie de plată în incidente ransomware este adesea descrisă ca binară: plătești sau nu plătești. În realitate, decizia are cel puțin șase niveluri:
- Evenimentul este confirmat, conținut și clasificat corect?
- Sunt afectate date cu caracter personal, date reglementate sau furnizarea unui serviciu critic?
- Organizația are dreptul legal să comunice sau să tranzacționeze cu actorul de amenințare?
- Asigurarea cibernetică impune notificare prealabilă, furnizori aprobați, consimțământ sau dovezi specifice?
- Plata ar reduce impactul asupra activității sau ar crește riscul juridic, financiar și reputațional?
- Cine are autoritatea de a decide și cum este înregistrată decizia?
În timpul unui incident în desfășurare, echipele necoordonate trag adesea în direcții diferite. CFO-ul poate vedea răscumpărarea ca pe o cheltuială de business comparativ cu indisponibilitatea tot mai costisitoare. Departamentul juridic vede sancțiuni, criminalitate financiară și expunere de reglementare. DPO-ul evaluează dacă datele criptate sau exfiltrate creează o încălcare a securității datelor cu caracter personal care trebuie notificată. Conformitatea urmărește termenele de raportare NIS2 și DORA. CISO-ul încearcă să conserve dovezile în timp ce restaurează serviciile. CEO-ul dorește o recomandare înainte de expirarea cronometrului atacatorului.
Fără un proces decizional formal, cea mai puternică voce din sală poate deveni modelul de guvernanță. Aceasta este exact situația pe care reglementările moderne de securitate cibernetică urmăresc să o prevină.
NIS2 transformă securitatea cibernetică într-o responsabilitate de management. Article 20 abordează guvernanța și responsabilitatea organelor de conducere, iar Article 21 impune măsuri de management al riscurilor care acoperă gestionarea incidentelor, continuitatea activității, managementul backup-urilor, managementul crizelor, securitatea lanțului de aprovizionare, controlul accesului, managementul activelor, MFA și evaluarea eficacității. Article 23 creează raportarea etapizată pentru incidente semnificative, inclusiv avertizare timpurie în 24 de ore, notificare în 72 de ore și raportare finală în termen de o lună, acolo unde este aplicabil.
Pentru entitățile financiare, DORA este cadrul sectorial pentru reziliența operațională. Article 5 atribuie organului de conducere responsabilitatea pentru managementul riscurilor TIC. Articles 17, 18 și 19 tratează gestionarea incidentelor legate de TIC, clasificarea și raportarea incidentelor majore legate de TIC. DORA impune, de asemenea, capabilități de răspuns și recuperare, backup și restaurare, învățare post-incident, testare și managementul riscurilor TIC asociate terților.
GDPR adaugă o evaluare separată, dar suprapusă. Dacă ransomware produce distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date cu caracter personal, accidental sau ilegal, operatorul de date trebuie să evalueze dacă a avut loc o încălcare a securității datelor cu caracter personal. Dacă notificarea este necesară, termenul pentru autoritatea de supraveghere este, în general, de 72 de ore de la luarea la cunoștință. Dacă există un risc ridicat pentru persoane, poate fi necesară și comunicarea către persoanele afectate.
Concluzia este simplă: întrebarea privind răscumpărarea nu trebuie pusă pentru prima dată în camera de criză.
Controale ISO 27001:2022 care fundamentează guvernanța plăților
Un SMSI ISO/IEC 27001:2022 nu este o listă de verificare pentru auditori. Este un sistem de management pentru luarea deciziilor bazate pe risc. Guvernanța plăților în incidente ransomware aparține acestui sistem deoarece combină evaluarea riscurilor, tratamentul riscurilor, rolurile, obligațiile legale, răspunsul la incidente, continuitatea, managementul furnizorilor și îmbunătățirea continuă.
Cele mai relevante controale din Anexa A ISO 27001:2022 formează un lanț de controale conectate.
| Domeniu de control ISO 27001:2022 | De ce contează în guvernanța plăților în incidente ransomware |
|---|---|
| A.5.24 Planificarea și pregătirea pentru gestionarea incidentelor de securitate a informației | Definește cadrul de răspuns la incidente, modelul de escaladare, comunicările și pregătirea înainte de începerea extorcării. |
| A.5.25 Evaluarea și decizia privind evenimentele de securitate a informației | Stabilește cum devin evenimentele incidente, cum se determină severitatea și când se declanșează escaladarea către managementul executiv. |
| A.5.26 Răspunsul la incidentele de securitate a informației | Controlează conținerea, eradicarea, coordonarea recuperării și executarea deciziilor operaționale. |
| A.5.27 Învățarea din incidentele de securitate a informației | Asigură că rezultatele deciziilor privind răscumpărarea, incidentele evitate la limită, feedbackul asigurătorului și constatările autorităților de reglementare îmbunătățesc controalele viitoare. |
| A.5.28 Colectarea dovezilor | Conservă jurnale, imagini, corespondență, mostre de malware și înregistrări ale deciziilor într-un mod solid din punct de vedere juridic. |
| A.5.29 Securitatea informației în timpul perturbărilor | Menține funcționarea controalelor de securitate în timp ce organizația operează în regim degradat. |
| A.5.30 Pregătirea TIC pentru continuitatea activității | Conectează backup-urile, prioritățile de recuperare, comutarea și planurile de continuitate la procesul decizional al incidentului. |
| A.5.31 Cerințe legale, statutare, de reglementare și contractuale | Acoperă verificarea sancțiunilor, raportarea de reglementare, obligațiile față de clienți, obligațiile față de asigurător și aprobarea juridică. |
| A.5.34 Confidențialitatea și protecția PII | Determină evaluarea încălcării conform GDPR și evaluarea impactului asupra confidențialității în timpul extorcării. |
| A.6.3 Contactul cu autoritățile | Susține comunicarea planificată cu autoritățile de reglementare, CSIRT-uri, autorități de aplicare a legii și autorități competente. |
| A.8.13 Backup-ul informațiilor | Determină dacă plata este relevantă operațional prin demonstrarea opțiunilor de recuperare. |
| A.8.15 Jurnalizarea și A.8.16 Activitățile de monitorizare | Furnizează baza de dovezi pentru domeniul de aplicare, cronologie, impact și activitatea atacatorului. |
În Zenith Controls, secțiunea pentru A.5.24, planificarea și pregătirea pentru gestionarea incidentelor de securitate a informației, clasifică acest control drept corectiv, legat de confidențialitate, integritate și disponibilitate și aliniat la conceptele Respond și Recover. De asemenea, corelează A.5.24 cu evaluarea evenimentelor A.5.25, învățarea din incidente A.5.27, jurnalizarea A.8.15, monitorizarea A.8.16, securitatea în timpul perturbărilor A.5.29, continuitatea și contactul cu autoritățile.
Acest lucru contează deoarece guvernanța plăților în incidente ransomware este un lanț. Dacă nu poți detecta și clasifica evenimentul, nu poți decide. Dacă nu poți conserva dovezile, nu poți susține decizia. Dacă obligațiile legale nu sunt mapate, negocierea sau plata poate fi ilegală. Dacă opțiunile de recuperare nu sunt testate, executivii pot fi împinși către o decizie bazată pe teamă, nu pe fapte.
Zenith Controls formulează direct relația dintre pregătire și luarea deciziilor:
„5.25 este punctul decizional care stabilește când un eveniment depășește pragul și devine incident de securitate, declanșând acțiunile prevăzute în 5.26. Evaluarea la timp și corectă a evenimentelor asigură că răspunsul la incidente nu este nici întârziat, nici direcționat greșit.”
Același ghid leagă A.5.31, cerințele legale, statutare, de reglementare și contractuale, de confidențialitate, păstrarea înregistrărilor, revizuirea independentă și conformitatea cu politicile interne. Pentru ransomware, A.5.31 este locul în care verificarea sancțiunilor, obligațiile de asigurare, colaborarea cu autoritățile de aplicare a legii, contractele cu clienții, obligațiile de protecție a datelor și raportarea sectorială de reglementare sunt capturate într-un singur registru de conformitate.
Modelul Clarysec în cinci porți pentru guvernanța plăților în incidente ransomware
Modelul Clarysec separă guvernanța deciziilor privind plata în incidente ransomware în cinci porți. Scopul nu este să facă plata mai ușoară. Scopul este ca orice decizie, inclusiv refuzul de a plăti, să fie bazată pe dovezi, analizată juridic, autorizată și verificabilă în audit.
| Poartă | Întrebare-cheie | Dovezi necesare | Proprietar tipic |
|---|---|---|---|
| Poarta 1: Declararea incidentului | A fost declarat un incident ransomware sau de extorcare pe baza unor criterii definite? | Alerte SIEM, telemetrie endpoint, notă de răscumpărare, active afectate, înregistrarea inițială a severității | Coordonatorul incidentului sau CISO |
| Poarta 2: Triaj juridic și de reglementare | Incidentul implică date cu caracter personal, servicii reglementate, risc de sancțiuni, notificare contractuală sau raportare sectorială? | Maparea registrului juridic, evaluarea încălcării GDPR, clasificarea NIS2 sau DORA, note ale consilierului juridic | Juridic, conformitate, DPO |
| Poarta 3: Viabilitatea recuperării | Organizația poate restaura în siguranță, fără plată, în limitele de impact tolerabile? | Verificări ale integrității backup-urilor, stare RTO/RPO, analiza impactului asupra activității, rezultatele testelor de recuperare | IT, responsabil BC/DR |
| Poarta 4: Revizuirea riscului de plată | Orice negociere sau plată este permisă legal, aprobată de asigurător, verificată din perspectiva sancțiunilor și autorizată de consiliul de administrație? | Înregistrarea verificării sancțiunilor, consimțământul asigurătorului, înregistrarea consultării autorităților de aplicare a legii, aprobare financiară, acceptarea riscului | Managementul executiv sau consiliul de administrație |
| Poarta 5: Închidere și îmbunătățire | Au fost înregistrate deciziile, comunicările, cauza principală și lecțiile învățate? | Raport de incident, lanț de custodie, jurnalul comunicărilor, plan de îmbunătățire a controalelor | CISO, Manager SMSI, audit intern |
Acest model folosește logica tratamentului riscurilor din ISO 27001. O plată ransomware nu este un control de securitate. Este, cel mult, o opțiune de criză analizată într-un context de tratament al riscului și recuperare. Înainte de un incident, organizația ar trebui să fi decis deja cum sunt tratate riscurile ransomware: atenuate prin controale, transferate parțial ca expunere financiară prin asigurare, evitate prin eliminarea dependențelor legacy inacceptabile sau acceptate explicit ca risc rezidual atunci când există justificare.
În faza Managementul riscurilor, pasul 13, planificarea tratamentului riscului și Declarația de aplicabilitate, Zenith Blueprint instruiește organizațiile să stabilească opțiunile de tratament pentru fiecare risc și să le documenteze în Registrul de riscuri. Acesta avertizează că transferul, cum ar fi asigurarea cibernetică, nu elimină nevoia de controale, deoarece transferul tratează adesea impactul financiar, nu probabilitatea. De asemenea, precizează:
„Acceptarea trebuie să fie explicită și aprobată de management, în special pentru orice riscuri medii. Riscurile ridicate sunt rareori acceptate, cu excepția cazului în care sunt cu adevărat inevitabile și convenite la cel mai înalt nivel.”
Această formulare este direct relevantă pentru guvernanța plăților în incidente ransomware. Dacă i se solicită consiliului de administrație să accepte riscul rezidual al refuzului de plată sau riscul juridic și reputațional al aprobării negocierii, acceptarea trebuie să fie explicită, înregistrată și aprobată de autoritatea corespunzătoare.
Politica de management al riscurilor Clarysec consolidează același principiu:
„Deciziile de tratament al riscului trebuie să fie aliniate cu opțiunile predefinite”
Din clauza 5.5.
Prin urmare, o decizie privind răscumpărarea nu este o scurtătură în jurul managementului riscurilor. Ea trebuie tratată ca o decizie formală și documentată de tratament al riscului, luată sub o autoritate definită.
Autoritatea prevăzută în politici: cine poate decide sub presiune?
Multe eșecuri în incidente ransomware sunt eșecuri de guvernanță deghizate în eșecuri tehnice. Cineva contactează atacatorul în afara canalului aprobat. Cineva promite plata înainte de aprobarea asigurătorului. Cineva restaurează sisteme și suprascrie dovezi criminalistice. Cineva informează clienții prea devreme, prea târziu sau cu fapte inexacte.
Politicile Clarysec sunt concepute pentru a elimina această ambiguitate.
Pentru IMM-uri, Politica privind rolurile și responsabilitățile de guvernanță - IMM oferă o regulă simplă:
„Toate deciziile semnificative de securitate, excepțiile și escaladările trebuie înregistrate și trebuie să fie trasabile.”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.5.
Politica de răspuns la incidente - IMM atribuie autoritatea de escaladare:
„Directorul general (GM) este responsabil pentru autorizarea tuturor deciziilor de escaladare a incidentelor, notificărilor de reglementare și comunicărilor externe.”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.1.1.
Aceasta conectează, de asemenea, incidentele care implică datele clienților cu obligațiile de reglementare:
„Atunci când sunt implicate date ale clienților, Directorul general trebuie să evalueze obligațiile legale de notificare pe baza aplicabilității GDPR, NIS2 sau DORA.”
Din secțiunea „Tratamentul riscului și excepții”, clauza de politică 7.4.1.
Pentru organizațiile mai mari, Politica privind rolurile și responsabilitățile de guvernanță pentru întreprinderi impune escaladarea imediată atunci când poate exista expunere juridică sau încălcări raportabile ale securității datelor:
„Escaladare juridică și de reglementare: Incidentele care implică expunere juridică potențială sau încălcări raportabile ale securității datelor trebuie escaladate imediat către Ofițerul juridic și de conformitate și managementul executiv.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.4.3.
Politica de răspuns la incidente pentru întreprinderi definește autoritatea executivă în timpul incidentelor severe. Clauza 4.6.1 precizează că rolul echipei de management executiv este să:
„Ia decizii strategice în timpul incidentelor cu severitate ridicată, inclusiv aprobarea notificărilor și a comunicărilor publice.”
În context ransomware, Clarysec tratează discuția despre plată, autorizarea negocierii, notificarea clienților, declarația de reglementare și comunicarea publică drept decizii strategice, nu acțiuni tehnice.
Rezultă o regulă practică de guvernanță: CISO-ul poate recomanda, echipa de incident poate evalua, departamentul juridic poate consilia, finanțele pot valida mecanismele de plată, asigurătorul poate consimți sau refuza acoperirea, însă managementul executiv sau consiliul de administrație trebuie să dețină decizia, conform autorității predefinite.
Escaladare conformă cu regimul de sancțiuni înainte de orice negociere
Un proces ransomware conform cu regimul de sancțiuni începe cu o interdicție: niciun angajat, contractor, furnizor, intermediar, negociator sau responsabil cu răspunsul la incidente nu poate negocia, promite, facilita sau transfera valoare către un actor de amenințare fără o revizuire juridică aprobată.
Punctul de control juridic trebuie să aibă loc înainte de orice interacțiune activă cu atacatorul, nu după apariția unei adrese de portofel. Procesul trebuie să includă:
- Implicarea consilierului juridic înainte de orice comunicare dincolo de captarea pasivă a dovezilor.
- Identificarea actorului de amenințare folosind, acolo unde sunt disponibile, date criminalistice, informații privind amenințările și contribuții din partea autorităților de aplicare a legii.
- Verificarea sancțiunilor și a părților restricționate pentru nume de grupuri, aliasuri, adrese de portofel, infrastructură, intermediari și canale de plată.
- Analizarea și înregistrarea consultării autorităților de aplicare a legii.
- Notificarea asigurătorului cibernetic conform termenilor poliței înainte de desemnarea furnizorilor sau intrarea în negocieri.
- Implicarea DPO-ului sau a responsabilului pentru confidențialitate dacă pot fi implicate date cu caracter personal.
- Confirmarea de către CFO sau responsabilul financiar a controalelor de plată, separării atribuțiilor, verificărilor antifraudă și cerințelor de aprobare de către consiliul de administrație.
- Înregistrarea deciziei executive împreună cu alternativele luate în considerare, inclusiv restaurarea, conținerea, suspendarea serviciului, comunicarea către clienți și refuzul de a plăti.
- Conservarea dovezilor privind comunicările cu atacatorii, indicatorii, detaliile portofelelor, ședințele decizionale, aprobările și consultanța externă.
Pentru ransomware, registrul juridic trebuie să includă cel puțin următoarele surse de obligații.
| Sursa obligației | Impact asupra guvernanței plății |
|---|---|
| Cerințe privind sancțiunile și criminalitatea financiară | Nicio negociere sau plată fără verificare juridică și aprobare documentată. |
| Contractul de asigurare cibernetică | Notificarea asigurătorului, furnizori aprobați, consimțământ prealabil, cerințe privind dovezile și condiții de acoperire. |
| GDPR | Evaluarea încălcării securității datelor cu caracter personal, notificarea autorității de supraveghere, comunicarea către persoanele vizate și înregistrări de responsabilitate. |
| NIS2 | Clasificarea incidentelor semnificative, avertizare timpurie în 24 de ore, notificare în 72 de ore și raport final în termen de o lună, acolo unde este aplicabil. |
| DORA | Clasificarea incidentelor majore legate de TIC, raportarea către autoritatea competentă, comunicarea către clienți și analiza cauzei principale post-incident. |
| Contracte cu clienții | Notificarea incidentelor de securitate, angajamente privind nivelul serviciilor, drepturi de audit și obligații de comunicare către clienți. |
| Așteptări ale autorităților de aplicare a legii | Conservarea dovezilor, gestionarea comunicării cu atacatorul și înregistrări de coordonare. |
Organizațiile trebuie, de asemenea, să definească cine poate opri decizia de plată. Departamentul juridic, conformitatea, DPO-ul, consilierul specializat în sancțiuni sau consiliul de administrație trebuie să aibă autoritate explicită de a suspenda negocierea sau plata dacă verificarea este incompletă, dovezile nu sunt fiabile, condițiile asigurătorului nu sunt îndeplinite sau acțiunea poate încălca legea sau contractul.
Conservarea dovezilor: nu distrugeți probele în timp ce restaurați serviciul
Echipele care răspund la ransomware se grăbesc în mod firesc să restaureze activitățile. Dar dacă restaurarea distruge jurnale, instantanee, note de răscumpărare, mostre de malware, imagini de memorie sau mesaje ale atacatorului, organizația poate pierde capacitatea de a demonstra ce s-a întâmplat.
În faza Controls in Action, pasul 23, controale organizaționale, Zenith Blueprint solicită organizațiilor să valideze și să testeze capabilitățile de gestionare a incidentelor prin definirea evenimentelor de securitate raportabile, documentarea procesului decizional și conservarea probelor criminalistice. Acesta instruiește echipele să:
„Capteze și să înregistreze în jurnal toate deciziile, rolurile și comunicările (5.26) și să actualizeze planul cu lecțiile învățate (5.27). Să confirme că există proceduri pentru conservarea probelor criminalistice (5.28), inclusiv instantanee ale jurnalelor, backup-uri și izolarea securizată a sistemelor afectate.”
Același pas explică A.5.28 într-un limbaj pe care orice consiliu de administrație ar trebui să îl înțeleagă:
„ce poți demonstra contează la fel de mult ca ceea ce s-a întâmplat efectiv”
Politica privind colectarea dovezilor și activitățile criminalistice pentru întreprinderi a Clarysec consolidează faptul că dovezile trebuie să rămână trasabile:
„Un registru al lanțului de custodie trebuie să însoțească toate dovezile fizice sau digitale din momentul achiziției până la arhivare sau transfer și trebuie să documenteze:”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.6.
Pentru IMM-uri, Politica privind colectarea dovezilor și activitățile criminalistice - IMM este deliberat practică:
„Trebuie creată întotdeauna o copie criminalistică sau un export; dovada originală nu trebuie editată niciodată direct.”
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.1.1.
Aceasta impune, de asemenea, consultare juridică atunci când poate exista impact asupra HR, juridic sau asupra clienților:
„Dacă incidentul implică un impact potențial asupra Resurselor Umane (HR), juridic sau asupra clienților, GM trebuie să consulte consilierul juridic înainte de a continua cu aplicarea sau escaladarea.”
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.4.2.
Un pachet practic de dovezi trebuie deschis în timpul Porții 2. Creați un folder restricționat pentru dovezile incidentului. Exportați cronologii SIEM, detecții EDR, jurnale de audit cloud, jurnale de autentificare ale furnizorului de identitate, starea sarcinilor de backup, note de răscumpărare, capturi de ecran, mesaje ale atacatorului, adrese de portofel, mostre de fișiere, referințe la consultanța juridică, corespondența cu asigurătorul și decizii ale ședințelor. Desemnați un custode. Înregistrați valorile hash acolo unde este cazul. Nu permiteți administratorilor să curețe sistemele afectate înainte de achiziția criminalistică, cu excepția cazului în care siguranța vieții, protecția serviciilor critice sau conținerea aprobată de executivi o impune.
O singură fișă de clasificare pentru NIS2, DORA și GDPR
Un incident ransomware poate declanșa mai multe cronometre. Provocarea nu este doar cunoașterea termenelor-limită. Este cunoașterea momentului în care organizația a luat cunoștință, a faptelor cunoscute la acel moment și a modului în care au fost luate deciziile de clasificare.
NIS2 Article 23 impune entităților esențiale și importante să notifice CSIRT sau autoritatea competentă, fără întârzieri nejustificate, cu privire la incidentele semnificative. Semnificația este legată de perturbare operațională severă, pierdere financiară sau prejudiciu material ori nematerial considerabil pentru alte persoane. Modelul etapizat include avertizare timpurie în 24 de ore, notificare în 72 de ore, actualizări intermediare dacă sunt solicitate și un raport final în termen de o lună de la notificarea incidentului, acolo unde este aplicabil.
DORA impune entităților financiare să definească și să implementeze gestionarea incidentelor legate de TIC, să înregistreze incidentele și amenințările cibernetice semnificative, să clasifice incidentele folosind criterii precum clienții afectați, durata, răspândirea geografică, pierderea datelor, criticitatea și impactul economic și să raporteze incidentele majore legate de TIC către autoritățile competente prin rapoarte inițiale, intermediare și finale.
GDPR adresează o întrebare diferită, dar suprapusă: incidentul a cauzat o încălcare a securității datelor cu caracter personal? Dacă da, este probabil să genereze un risc pentru persoane? Dacă pragul de notificare este atins, notificarea autorității de supraveghere trebuie evaluată față de termenul de 72 de ore. Dacă există risc ridicat, poate fi necesară și comunicarea către persoane.
Clarysec recomandă utilizarea unei singure fișe de clasificare ransomware, cu secțiuni separate pentru fiecare regim.
| Arie de clasificare | Exemplu de întrebare ransomware | Rezultat |
|---|---|---|
| Impact operațional | Sunt serviciile critice perturbate sau este probabil să fie perturbate? | Intrare pentru semnificația NIS2 și criticitatea DORA |
| Impact financiar | Incidentul a cauzat sau ar putea cauza o pierdere financiară materială? | Intrare pentru severitatea NIS2 și DORA |
| Impact asupra clienților | Sunt afectați beneficiarii serviciilor, clienții, contrapărțile sau tranzacțiile? | Intrare pentru notificarea NIS2, DORA și contractuală |
| Date cu caracter personal | Datele cu caracter personal au fost accesate, exfiltrate, modificate, distruse sau făcute indisponibile? | Intrare pentru evaluarea încălcării GDPR |
| Sensibilitatea datelor | Datele afectate includ categorii speciale de date, credențiale, date financiare, documente de identitate sau date ale copiilor? | Intrare pentru riscul GDPR și comunicare |
| Impact transfrontalier | Sunt afectate mai multe state membre, jurisdicții, clienți sau locații de serviciu? | Intrare pentru raportarea NIS2 și DORA |
| Gradul de încredere în dovezi | Ce fapte sunt confirmate, suspectate sau necunoscute? | Bază pentru raportarea etapizată și actualizări |
Această abordare se potrivește clauzelor ISO 27001 privind evaluarea riscurilor, tratamentul riscului și informațiile documentate. De asemenea, se aliniază cu NIST CSF 2.0. Funcția GOVERN din NIST CSF 2.0 solicită organizațiilor să înțeleagă părțile interesate, obligațiile legale și de reglementare, apetitul la risc, rolurile, politicile, supravegherea și riscul asociat terților. Rezultatele sale pentru detectare, răspuns și recuperare susțin declararea incidentului, analiza, coordonarea răspunsului, notificarea părților interesate, executarea recuperării și validarea restaurării.
Pentru entitățile financiare, DORA poate funcționa ca regim sectorial de securitate cibernetică pentru obligațiile NIS2 suprapuse, dar aceasta nu elimină necesitatea de a înțelege aplicabilitatea NIS2 pentru entitățile de grup, furnizorii TIC, serviciile administrate sau dependențele cloud. Răspunsul practic nu este menținerea unor playbook-uri separate. Răspunsul este operarea unui singur model de dovezi SMSI mapat la toate obligațiile relevante.
Asigurarea cibernetică și coordonarea furnizorilor sunt controale de guvernanță
Asigurarea cibernetică poate fi valoroasă, dar nu este o strategie ransomware. Este un mecanism de transfer al riscului, cu condiții. În timpul unui eveniment ransomware, asigurătorul poate impune notificare imediată, utilizarea firmelor din panel, aprobare prealabilă pentru negociere, conservarea dovezilor, dovada eșecului backup-ului, dovada controalelor rezonabile și revizuire juridică înainte de orice analiză a plății.
DORA transformă riscul TIC asociat terților într-un domeniu de conformitate de prim rang. NIS2 Article 21 impune, de asemenea, securitatea lanțului de aprovizionare și luarea în considerare a vulnerabilităților furnizorilor și a practicilor de securitate cibernetică. ISO 27001 susține aceeași logică prin controale privind furnizorii și cloud-ul, precum A.5.19 până la A.5.23, plus controale privind incidentele, continuitatea și aspectele juridice.
Zenith Controls leagă pregătirea pentru incidente de partenerii externi, inclusiv firme criminalistice, juridic, PR și contact cu autoritățile. Din perspectivă de audit, absența partenerilor externi preidentificați poate fi considerată o lacună de pregătire, deoarece poate întârzia răspunsul în timpul unui incident real.
Pentru guvernanța plăților în incidente ransomware, Clarysec recomandă negocierea prealabilă a următoarelor elemente:
- Retainer criminalistic sau termeni de răspuns rapid.
- Disponibilitatea consilierului juridic extern pentru strategia privind încălcarea, sancțiunile și privilegiul profesional.
- Calea de notificare a asigurătorului cibernetic și lista furnizorilor aprobați.
- Ruta de escaladare la furnizorul cloud pentru instantanee, jurnale, izolare și recuperare.
- Proceduri de colaborare la incidente cu MSSP sau MDR.
- Proces de revizuire pentru PR și comunicare de criză.
- Controale de aprobare bancară sau financiară pentru orice plată extraordinară.
- Protocol de contact cu autoritățile de aplicare a legii.
Aceasta se mapează bine la rezultatele NIST CSF 2.0 privind lanțul de aprovizionare, inclusiv rolurile și responsabilitățile furnizorilor, revizuiri de verificare prealabilă, cerințe contractuale de securitate cibernetică, coordonarea incidentelor cu furnizorii și activitățile post-încetare.
Un playbook practic de escaladare a plăților în incidente ransomware
Cele cinci porți pot fi traduse într-un playbook operațional. Fiecare pas trebuie documentat, deținut și exersat.
| Fază | Acțiune-cheie | Rol responsabil | Controale ISO 27001:2022 cheie | Dovadă sau rezultat |
|---|---|---|---|---|
| 1. Triaj și declarare | Evaluați evenimentul față de criterii, declarați un incident semnificativ sau major, activați echipa de răspuns | Responsabil SOC, coordonatorul incidentului | A.5.24, A.5.25 | Tichet de incident, jurnal de declarare, raport inițial de situație |
| 2. Analiza impactului asupra activității | Cuantificați impactul operațional, estimați poziția RTO/RPO, determinați criticitatea datelor și serviciilor | Proprietari de business, CISO, responsabil BC/DR | A.5.29, A.5.30, A.8.13 | Analiza impactului asupra activității, constatări privind integritatea backup-urilor |
| 3. Conservarea dovezilor | Exportați jurnale, conservați sisteme, securizați dovezi și mențineți lanțul de custodie | Responsabil criminalistic, echipa de răspuns la incidente | A.5.28, A.8.15, A.8.16 | Imagini criminalistice, exporturi de jurnale, înregistrare a lanțului de custodie |
| 4. Verificare juridică și de sancțiuni | Implicați consilierul juridic, identificați actorul de amenințare, verificați sancțiunile, evaluați obligațiile de raportare | Responsabil juridic, DPO, conformitate, consilier juridic extern | A.5.31, A.5.34, A.6.3 | Opinie juridică, înregistrarea verificării sancțiunilor, fișă de raportare |
| 5. Coordonare cu asigurătorul și furnizorii | Notificați asigurătorul, confirmați furnizorii aprobați, coordonați suportul cloud, MSSP și criminalistic | CISO, juridic, manager de furnizori | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Consimțământul asigurătorului, tichete de furnizor, jurnal de acțiuni ale furnizorului |
| 6. Informare executivă pentru decizie | Prezentați opțiunile, riscurile, opinia juridică, viabilitatea recuperării, impactul comunicării și poziția asigurătorului | Coordonatorul incidentului, CISO, juridic, CFO | A.5.1, A.5.2, A.5.26, A.5.31 | Document de informare pentru decizia ransomware |
| 7. Autorizare și documentare | Autoritatea executivă decide dacă negociază, refuză, plătește sau urmărește acțiuni alternative | CEO, managementul executiv, consiliul de administrație | A.5.2, A.5.3, A.5.26, A.5.31 | Înregistrare semnată a deciziei, acceptarea riscului, jurnal de acțiuni |
| 8. Închidere și îmbunătățire | Efectuați analiza cauzei principale, lecții învățate și actualizări ale controalelor | Manager SMSI, CISO, audit intern | A.5.27, ISO 27001 clause 10.2 | Raport de lecții învățate, plan de acțiuni corective, înregistrări SMSI actualizate |
Scopul nu este garantarea unei decizii confortabile. Este posibil să nu existe o decizie confortabilă. Scopul este să se asigure că decizia este autorizată, bazată pe dovezi, informată juridic și defensabilă.
Exercițiul tabletop de 90 de minute care demonstrează pregătirea
Cea mai simplă modalitate de a testa guvernanța plăților în incidente ransomware nu este un red team tehnic. Este un exercițiu decizional de tip tabletop.
Utilizați Zenith Blueprint, faza Controls in Action, pasul 23, pentru a valida capabilitatea de gestionare a incidentelor. Selectați un scenariu ransomware și derulați un exercițiu cronometrat. Obiectivul nu este să decideți dinainte că organizația va plăti sau nu va plăti niciodată. Obiectivul este să demonstrați că organizația poate ajunge la o decizie guvernată.
Scenariu: o bază de date a clienților găzduită în cloud este criptată, atacatorul susține exfiltrarea, există backup-uri, dar integritatea lor nu a fost încă testată, asigurătorul nu a fost notificat, iar atacatorul furnizează o adresă de portofel cu termen de 48 de ore.
Listă de verificare pentru exercițiu:
- Declarați incidentul și desemnați coordonatorul incidentului.
- Deschideți jurnalul deciziilor ransomware.
- Clasificați evenimentul folosind criteriile A.5.25.
- Identificați activele și serviciile de business afectate.
- Stabiliți dacă sunt implicate date cu caracter personal.
- Declanșați fluxurile de evaluare GDPR, NIS2, DORA și contractuală.
- Notificați departamentul juridic, DPO-ul, managementul executiv, asigurătorul și furnizorul criminalistic.
- Conservați dovezile înainte de acțiuni de recuperare distructive.
- Verificați integritatea backup-urilor și opțiunile de restaurare.
- Efectuați verificarea sancțiunilor înainte de orice negociere.
- Înregistrați dacă este necesară consultarea autorităților de aplicare a legii.
- Elaborați declarații de așteptare pentru clienți și autorități de reglementare.
- Prezentați opțiunile de decizie autorității executive.
- Înregistrați decizia, raționamentul, opiniile divergente, aprobările și acțiunile următoare.
- Programați analiza post-incident și acțiunile de îmbunătățire a controalelor.
Rezultatul trebuie să fie un pachet complet de dovezi: lista participanților, cronologia, fișa de clasificare, jurnalul deciziilor, proiecte de comunicări, acțiuni juridice, acțiuni pentru asigurător, constatări privind backup-urile și lecții învățate. Acest pachet este extrem de valoros în audit deoarece arată guvernanța în funcțiune înaintea unei crize reale.
Cum vor testa auditorii și autoritățile de reglementare procesul
Auditorii din domenii diferite vor examina același proces ransomware prin lentile diferite.
| Perspectiva auditorului | Ce vor solicita | Cum arată dovezile bune |
|---|---|---|
| Auditor ISO 27001:2022 | Sunt controlate planificarea incidentelor, evaluarea evenimentelor, răspunsul, dovezile, cerințele juridice și lecțiile învățate? | Plan de răspuns la incidente, mapare SoA, registru de riscuri, înregistrări tabletop, procedură privind dovezile, jurnale decizionale, rezultate ale revizuirii de management |
| Auditor SMSI în stil ISO/IEC 27007 | Înțeleg oamenii rolurile lor și pot înregistrările demonstra funcționarea? | Interviuri cu CISO, juridic, DPO, SOC, executivi, plus tichete de incident și înregistrări de escaladare eșantionate |
| Evaluator aliniat la NIST | Sunt integrate guvernanța, detecția, răspunsul, comunicările și rezultatele recuperării? | Profil CSF, registru de riscuri, reguli de monitorizare, criterii de declarare a incidentelor, comunicări cu părțile interesate, validarea recuperării |
| Auditor COBIT 2019 sau ISACA | Există deținere la nivel de management, control de proces, suficiența dovezilor și îmbunătățire continuă? | RACI, metrici de proces, raportare de conformitate, analiză post-incident, urmărirea acțiunilor corective |
| Auditor axat pe DORA | Sunt incidentele TIC clasificate, escaladate, raportate, recuperate și îmbunătățite în cadrul de risc TIC? | Criterii de clasificare a incidentelor, raportare către organul de conducere, dovezi ale comunicării către clienți, analiza cauzei principale, testarea rezilienței |
| Auditor GDPR/confidențialitate | Evaluarea încălcării securității datelor cu caracter personal a fost realizată la timp, bazată pe risc și documentată? | Formular de evaluare a încălcării, implicarea DPO, decizia autorității de supraveghere, raționamentul comunicării către persoanele vizate, contextul evidențelor activităților de prelucrare |
Zenith Controls furnizează o metodologie detaliată de audit pentru A.5.24, A.5.25 și A.5.31. Pentru A.5.24, auditorii examinează planul de răspuns la incidente, clasificările de severitate, rolurile, listele de contacte, instrucțiunile de raportare de reglementare, exercițiile și aranjamentele cu partenerii externi. Pentru A.5.25, aceștia verifică dacă există criterii de clasificare a evenimentelor, dacă înregistrările de gestionare a alertelor arată decizii de investigare și escaladare, dacă sunt utilizate SIEM și informații privind amenințările și dacă echipele DPO sau juridice sunt implicate atunci când datele cu caracter personal pot fi afectate. Pentru A.5.31, auditorii caută registre juridice, maparea conformității, dovezi ale revizuirii, acoperire prin audit intern și raportare către conducerea superioară.
Riscul de audit nu este doar că o organizație a plătit sau a refuzat să plătească. Riscul de audit este că nimeni nu poate demonstra cum a fost luată decizia.
De la extorcare la îmbunătățirea controalelor
Guvernanța ransomware nu se încheie atunci când sistemele sunt restaurate. ISO 27001 se așteaptă la îmbunătățire continuă. A.5.27, învățarea din incidentele de securitate a informației, este centrală pentru această așteptare. DORA impune analiza cauzei principale și controale suplimentare. Raportarea finală NIS2 așteaptă măsuri de atenuare și cauza principală probabilă, acolo unde este aplicabil. Responsabilitatea GDPR așteaptă documentarea deciziilor și a măsurilor de protecție.
Fiecare analiză post-incident ransomware trebuie să răspundă la următoarele întrebări:
- Au fost identificate corect termenele de raportare?
- Autoritatea decizională a funcționat conform proiectării?
- Revizuirea juridică și de sancțiuni a avut loc suficient de devreme?
- Coordonarea cu asigurătorul a ajutat sau a întârziat răspunsul?
- Backup-urile au fost complete, segregate, restaurabile și testate?
- Jurnalele au fost suficiente pentru evaluarea accesului și exfiltrării?
- Furnizorii au răspuns conform contractului?
- Comunicările către clienți au fost corecte și la timp?
- Executivii au primit informațiile potrivite la momentul potrivit?
- Ce controale, politici, contracte sau instruiri trebuie schimbate?
Aceste răspunsuri trebuie să actualizeze registrul de riscuri, Declarația de aplicabilitate, planul de răspuns la incidente, strategia de backup, contractele cu furnizorii, planul de comunicare și programul de instruire.
În faza ISMS Foundation and Leadership, pasul 5, Zenith Blueprint subliniază planificarea comunicării externe, inclusiv identificarea clienților, autorităților de reglementare, partenerilor și publicului, stabilirea a ce și când se comunică și definirea persoanei care comunică. Pentru ransomware, acest pas devine puntea dintre răspunsul tehnic și păstrarea încrederii.
Construiți înregistrarea deciziei înainte de nota de răscumpărare
Cel mai bun moment pentru guvernanța unei decizii privind răscumpărarea este înainte ca atacatorul să stabilească termenul-limită.
Dacă playbook-ul ransomware nu definește autoritatea decizională, revizuirea juridică, verificarea sancțiunilor, aprobarea asigurătorului, conservarea dovezilor, clasificarea NIS2 și DORA, evaluarea încălcării GDPR și documentarea la nivelul consiliului de administrație, organizația are o lacună de guvernanță care așteaptă o criză.
Clarysec ajută organizațiile să construiască această capabilitate în SMSI folosind:
- Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului pentru implementarea etapizată ISO 27001, tratamentul riscului, planificarea comunicării și validarea capabilităților de incident.
- Zenith Controls: ghidul de conformitate între cadre pentru maparea controalelor ISO 27001 la NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 și dovezi de audit.
- Politici Clarysec pentru întreprinderi și IMM-uri, inclusiv Politica de răspuns la incidente, Politica de răspuns la incidente - IMM, Politica privind colectarea dovezilor și activitățile criminalistice, Politica privind colectarea dovezilor și activitățile criminalistice - IMM, Politica privind rolurile și responsabilitățile de guvernanță, Politica privind rolurile și responsabilitățile de guvernanță - IMM și Politica de management al riscurilor.
- Șabloane practice de exerciții tabletop ransomware, jurnale decizionale, matrici de escaladare juridică, pachete de dovezi și fișe de raportare pentru conformitate între cadre.
Nu așteptați apelul de la ora 3 dimineața pentru a descoperi cine poate decide. Revizuiți planul de răspuns la incidente în raport cu cele cinci porți Clarysec, derulați un exercițiu tabletop de 90 de minute privind plata în incidente ransomware și construiți o înregistrare decizională conformă cu regimul de sancțiuni, pregătită pentru audit, care poate rezista examinării autorităților de reglementare, asigurătorilor și propriului consiliu de administrație.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council