Riadenie rozhodovania o platbách pri ransomvéri pre NIS2 a DORA
Je 3:17 ráno v pracovný deň v roku 2026. Máriu, CISO rýchlo rastúcej fintech platformy, privolá na krízový hovor správa od vedúceho analytika SOC: potvrdené rozsiahle šifrovanie, kľúčové služby sú nedostupné a ransomvérová skupina tvrdí, že odcudzila 2 TB zákazníckych údajov.
Ako prvý sa k hovoru pripája CEO. Nasleduje právne oddelenie. Potom ochrana súkromia, financie, komunikácia, kybernetický poistiteľ, poskytovateľ forenznej analýzy a tím cloudovej prevádzky. Portál na dark webe zobrazuje 48-hodinové odpočítavanie a sedemcifernú požiadavku v kryptomene.
CEO položí otázku, ktorej sa obáva každý CISO.
„Môžeme zaplatiť a kto o tom môže rozhodnúť?“
Nesprávna odpoveď je pristupovať k tomu ako k problému vyjednávania. Správna odpoveď je pristupovať k tomu ako k problému riadenia.
V roku 2026 už riadenie rozhodovania o platbách pri ransomvéri nie je súkromnou technickou voľbou v kríze. Môžu ho skúmať regulátori, audítori, poistitelia, zákazníci, orgány činné v trestnom konaní, akcionári aj predstavenstvo. Rozhodnutie o platbe sa prelína so sankčnou expozíciou, posúdením porušenia ochrany osobných údajov, podmienkami kybernetického poistenia, zmluvnými povinnosťami, krízovou komunikáciou, uchovávaním dôkazov, fázovaným reportingom podľa NIS2, klasifikáciou incidentu podľa DORA, oznamovaním podľa GDPR a zlepšovaním po incidente.
Preto Clarysec odporúča klientom vybudovať riadenie rozhodovania o platbách pri ransomvéri v rámci ISMS ešte pred incidentom. ISO/IEC 27001:2022 poskytuje štruktúru systému manažérstva. Kontroly ISO/IEC 27002:2022 poskytujú prevádzkový model. Zenith Blueprint: 30-kroková cestovná mapa audítora a Zenith Controls: Sprievodca krížovým súladom pomáhajú premeniť túto štruktúru na praktické, auditovateľné dôkazy.
Ransomvérový playbook, ktorý hovorí „informujte právne oddelenie“, nestačí. Organizácia musí vedieť, kto môže autorizovať vyjednávanie, ako sa vykonáva sankčné preverenie, kedy musí schválenie poskytnúť poistiteľ, ako sa dokumentuje klasifikácia podľa GDPR, NIS2 a DORA a ako sa chránia dôkazy, kým tímy obnovy pracujú pod tlakom.
Prečo zlyhávajú ad hoc rozhodnutia o platbách pri ransomvéri
Rozhodnutie o platbe pri ransomvéri sa často opisuje binárne: zaplatiť alebo nezaplatiť. V skutočnosti má rozhodnutie najmenej šesť vrstiev:
- Je udalosť potvrdená, izolovaná a správne klasifikovaná?
- Sú dotknuté osobné údaje, regulované údaje alebo poskytovanie kritickej služby?
- Je organizácia právne oprávnená komunikovať alebo uskutočniť transakciu s pôvodcom hrozby?
- Vyžaduje kybernetické poistenie predchádzajúce oznámenie, schválených dodávateľov, súhlas alebo konkrétne dôkazy?
- Znížila by platba dopad na podnikanie, alebo by zvýšila právne, finančné a reputačné riziko?
- Kto má právomoc rozhodnúť a ako sa toto rozhodnutie zaznamená?
Počas živého incidentu často nekoordinované tímy ťahajú rôznymi smermi. CFO môže vnímať výkupné ako náklad organizácie v porovnaní s narastajúcim výpadkom. Právne oddelenie vidí sankcie, finančnú kriminalitu a regulačnú expozíciu. DPO posudzuje, či šifrované alebo exfiltrované údaje predstavujú porušenie ochrany osobných údajov podliehajúce oznamovaniu. Tím súladu sleduje lehoty reportingu podľa NIS2 a DORA. CISO sa snaží uchovať dôkazy a zároveň obnovovať služby. CEO chce odporúčanie ešte pred uplynutím časovača útočníka.
Bez formálneho rozhodovacieho procesu sa najhlasnejší hlas v miestnosti môže stať modelom riadenia. Presne takejto situácii má moderná regulácia kybernetickej bezpečnosti zabrániť.
NIS2 robí z kybernetickej bezpečnosti zodpovednosť manažmentu. Article 20 sa zaoberá riadením a zodpovednosťou riadiacich orgánov, zatiaľ čo Article 21 vyžaduje opatrenia riadenia rizík pokrývajúce riešenie incidentov, kontinuitu činností, správu záloh, krízové riadenie, bezpečnosť dodávateľského reťazca, riadenie prístupu, správu aktív, MFA a posúdenie účinnosti. Article 23 zavádza fázované nahlasovanie významných incidentov vrátane včasného varovania do 24 hodín, oznámenia do 72 hodín a záverečnej správy do jedného mesiaca, ak je to uplatniteľné.
Pre finančné subjekty je DORA odvetvovým regulačným rámcom prevádzkovej odolnosti. Article 5 ukladá riadiacemu orgánu zodpovednosť za riadenie rizík IKT. Articles 17, 18 a 19 sa zaoberajú riadením incidentov súvisiacich s IKT, klasifikáciou a reportovaním závažných incidentov súvisiacich s IKT. DORA vyžaduje aj schopnosti reakcie a obnovy, zálohovanie a obnovu, učenie sa po incidente, testovanie a riadenie rizík externých poskytovateľov IKT.
GDPR pridáva samostatné, ale prekrývajúce sa posúdenie. Ak ransomvér spôsobí náhodné alebo nezákonné zničenie, stratu, zmenu, neoprávnené zverejnenie osobných údajov alebo neoprávnený prístup k nim, prevádzkovateľ musí posúdiť, či došlo k porušeniu ochrany osobných údajov. Ak sa vyžaduje oznámenie, lehota pre dozorný orgán je vo všeobecnosti 72 hodín od zistenia. Ak existuje vysoké riziko pre fyzické osoby, môže byť potrebné aj informovanie dotknutých osôb.
Záver je jednoduchý: otázka výkupného sa nesmie prvýkrát položiť až vo vojnovom štábe.
Kontroly ISO 27001:2022, ktoré ukotvujú riadenie platieb
ISMS podľa ISO/IEC 27001:2022 nie je kontrolný zoznam pre audítorov. Je to systém manažérstva na prijímanie rozhodnutí založených na riziku. Riadenie rozhodovania o platbách pri ransomvéri patrí do tohto systému, pretože spája posúdenie rizík, ošetrenie rizík, roly, zákonné povinnosti, reakciu na incidenty, kontinuitu, riadenie dodávateľov a neustále zlepšovanie.
Najrelevantnejšie kontroly prílohy A normy ISO 27001:2022 tvoria prepojený reťazec kontrol.
| Oblasť kontroly ISO 27001:2022 | Prečo je dôležitá pri riadení rozhodovania o platbách pri ransomvéri |
|---|---|
| A.5.24 Plánovanie a príprava riadenia incidentov informačnej bezpečnosti | Definuje rámec reakcie na incidenty, model eskalácie, komunikáciu a pripravenosť ešte pred začiatkom vydierania. |
| A.5.25 Posúdenie a rozhodnutie o udalostiach informačnej bezpečnosti | Stanovuje, ako sa z udalostí stávajú incidenty, ako sa určuje závažnosť a kedy sa spúšťa eskalácia na vrcholový manažment. |
| A.5.26 Reakcia na incidenty informačnej bezpečnosti | Riadi zamedzenie šírenia, odstránenie, koordináciu obnovy a prevádzkové vykonanie rozhodnutí. |
| A.5.27 Poučenie z incidentov informačnej bezpečnosti | Zabezpečuje, aby výsledky rozhodnutí o výkupnom, takmer vzniknuté incidenty, spätná väzba poistiteľa a zistenia regulátora zlepšovali budúce kontroly. |
| A.5.28 Zber dôkazov | Uchováva logy, obrazy, korešpondenciu, vzorky malvéru a záznamy rozhodnutí právne spoľahlivým spôsobom. |
| A.5.29 Informačná bezpečnosť počas narušenia | Udržiava bezpečnostné kontroly funkčné, kým organizácia funguje v zhoršenom režime. |
| A.5.30 Pripravenosť IKT na kontinuitu činností | Prepája zálohy, priority obnovy, prepnutie a plány kontinuity s rozhodovacím procesom pri incidente. |
| A.5.31 Zákonné, štatutárne, regulačné a zmluvné požiadavky | Zachytáva sankčné preverenie, regulačné oznamovanie, povinnosti voči zákazníkom, povinnosti voči poistiteľovi a právne schválenie. |
| A.5.34 Ochrana súkromia a ochrana PII | Riadi posúdenie porušenia ochrany údajov podľa GDPR a hodnotenie dopadu na súkromie počas vydierania. |
| A.6.3 Kontakt s orgánmi | Podporuje plánovanú komunikáciu s regulátormi, CSIRT, orgánmi činnými v trestnom konaní a príslušnými orgánmi. |
| A.8.13 Zálohovanie informácií | Určuje, či je platba prevádzkovo relevantná, tým, že preukazuje možnosti obnovy. |
| A.8.15 Logovanie a A.8.16 Monitorovacie činnosti | Poskytujú dôkazový základ pre rozsah, časovú os, dopad a aktivitu útočníka. |
V Zenith Controls časť pre A.5.24, Plánovanie a príprava riadenia incidentov informačnej bezpečnosti, klasifikuje kontrolu ako nápravnú, viazanú na dôvernosť, integritu a dostupnosť a zosúladenú s konceptmi reakcie a obnovy. Zároveň prepája A.5.24 s posúdením udalostí podľa A.5.25, učením sa z incidentov podľa A.5.27, logovaním podľa A.8.15, monitorovaním podľa A.8.16, bezpečnosťou počas narušenia podľa A.5.29, kontinuitou a kontaktom s orgánmi.
Je to dôležité, pretože riadenie rozhodovania o platbách pri ransomvéri je reťazec. Ak neviete udalosť detegovať a klasifikovať, nemôžete rozhodnúť. Ak neviete uchovať dôkazy, neviete rozhodnutie obhájiť. Ak nie sú zmapované zákonné povinnosti, vyjednávanie alebo platba môžu byť nezákonné. Ak nie sú možnosti obnovy otestované, vrcholový manažment môže byť zatlačený do rozhodnutia založeného na strachu namiesto faktov.
Zenith Controls formuluje vzťah medzi prípravou a rozhodovaním priamo:
„5.25 je rozhodovací bod, ktorý určuje, kedy udalosť prekročí prah bezpečnostného incidentu a spustí činnosti uvedené v 5.26. Včasné a presné posúdenie udalosti zabezpečuje, že reakcia na incidenty nie je oneskorená ani nesprávne smerovaná.“
Ten istý sprievodca prepája A.5.31, Zákonné, štatutárne, regulačné a zmluvné požiadavky, so súkromím, uchovávaním záznamov, nezávislým preskúmaním a dodržiavaním interných politík. Pri ransomvéri je A.5.31 miestom, kde sa sankčné preverenie, poistné povinnosti, zapojenie orgánov činných v trestnom konaní, zákaznícke zmluvy, povinnosti ochrany údajov a odvetvový regulačný reporting zachytávajú v jednom registri súladu.
Päťbránový model Clarysec pre riadenie rozhodovania o platbách pri ransomvéri
Model Clarysec rozdeľuje riadenie rozhodovania o platbách pri ransomvéri do piatich brán. Účelom nie je uľahčiť platenie. Účelom je zabezpečiť, aby každé rozhodnutie vrátane odmietnutia platby bolo založené na dôkazoch, právne posúdené, autorizované a auditovateľné.
| Brána | Kľúčová otázka | Požadované dôkazy | Typický vlastník |
|---|---|---|---|
| Brána 1: Vyhlásenie incidentu | Bol ransomvérový alebo vydieračský incident vyhlásený podľa definovaných kritérií? | SIEM upozornenia, telemetria koncových bodov, výkupná správa, dotknuté aktíva, úvodný záznam závažnosti | Veliteľ incidentu alebo CISO |
| Brána 2: Právna a regulačná triáž | Zahŕňa incident osobné údaje, regulované služby, sankčné riziko, zmluvné oznámenie alebo odvetvový reporting? | Mapovanie právneho registra, posúdenie porušenia ochrany údajov podľa GDPR, klasifikácia podľa NIS2 alebo DORA, poznámky právneho zástupcu | Právne oddelenie, súlad, DPO |
| Brána 3: Realizovateľnosť obnovy | Vie organizácia bezpečne obnoviť prevádzku bez platby v rámci tolerovateľných limitov dopadu? | Kontroly integrity záloh, stav RTO/RPO, analýza vplyvu na podnikanie, výsledky testov obnovy | IT, vedúci BC/DR |
| Brána 4: Preskúmanie rizika platby | Je akékoľvek vyjednávanie alebo platba právne prípustná, schválená poistiteľom, overená voči sankciám a autorizovaná predstavenstvom? | Záznam sankčného preverenia, súhlas poistiteľa, záznam konzultácie s orgánmi činnými v trestnom konaní, finančné schválenie, akceptácia rizika | Vrcholový manažment alebo predstavenstvo |
| Brána 5: Uzatvorenie a zlepšovanie | Boli rozhodnutia, komunikácia, koreňová príčina a poučenia zaznamenané? | Správa o incidente, reťazec zverenia, komunikačný log, plán zlepšenia kontrol | CISO, manažér ISMS, interný audit |
Tento model používa logiku ošetrenia rizík podľa ISO 27001. Platba pri ransomvéri nie je bezpečnostná kontrola. Je nanajvýš krízovou možnosťou posudzovanou v kontexte ošetrenia rizík a obnovy. Pred incidentom by organizácia už mala mať rozhodnuté, ako sa ransomvérové riziká ošetrujú: zmiernením prostredníctvom kontrol, prenosom časti finančnej expozície cez poistenie, vyhnutím sa neprijateľným závislostiam od legacy prostredí alebo výslovnou akceptáciou zvyškového rizika, ak je odôvodnená.
Vo fáze riadenia rizík, krok 13, Plánovanie ošetrenia rizík a vyhlásenie o uplatniteľnosti, Zenith Blueprint inštruuje organizácie, aby pre každé riziko určili možnosti ošetrenia a zdokumentovali ich v registri rizík. Upozorňuje, že prenos, napríklad kybernetické poistenie, neodstraňuje potrebu kontrol, pretože prenos často rieši finančný dopad, nie pravdepodobnosť. Zároveň uvádza:
„Akceptácia musí byť výslovná a schválená manažmentom, najmä pri akýchkoľvek stredných rizikách. Vysoké riziká sa akceptujú zriedkavo, iba ak sú skutočne nevyhnutné a odsúhlasené na najvyššej úrovni.“
Táto veta priamo súvisí s riadením rozhodovania o platbách pri ransomvéri. Ak sa od predstavenstva žiada, aby akceptovalo zvyškové riziko odmietnutia platby alebo právne a reputačné riziko schválenia vyjednávania, akceptácia musí byť výslovná, zaznamenaná a schválená príslušnou autoritou.
Politika riadenia rizík spoločnosti Clarysec potvrdzuje rovnaký princíp:
„Rozhodnutia o ošetrení rizík musia byť v súlade s vopred definovanými možnosťami“
Z ustanovenia 5.5.
Rozhodnutie o výkupnom preto nie je skratkou mimo riadenia rizík. Musí sa spracovať ako formálne, zdokumentované rozhodnutie o ošetrení rizika v rámci definovanej právomoci.
Právomoc podľa politiky: kto môže rozhodnúť pod tlakom?
Mnohé zlyhania pri ransomvéri sú zlyhaniami riadenia maskovanými ako technické zlyhania. Niekto kontaktuje útočníka mimo schváleného kanála. Niekto prisľúbi platbu pred schválením poistiteľom. Niekto obnoví systémy a prepíše forenzné dôkazy. Niekto informuje zákazníkov príliš skoro, príliš neskoro alebo s nepresnými faktami.
Politiky Clarysec sú navrhnuté tak, aby túto nejednoznačnosť odstránili.
Pre MSP dáva Politika rolí a zodpovedností v oblasti riadenia - MSP jednoduché pravidlo:
„Všetky významné bezpečnostné rozhodnutia, výnimky a eskalácie musia byť zaznamenané a sledovateľné.“
Zo sekcie „Požiadavky na riadenie“, ustanovenie politiky 5.5.
Politika reakcie na incidenty - MSP prideľuje eskalačnú právomoc:
„Generálny manažér (GM) zodpovedá za autorizáciu všetkých rozhodnutí o eskalácii incidentov, regulačných oznámení a externej komunikácie.“
Zo sekcie „Požiadavky na riadenie“, ustanovenie politiky 5.1.1.
Zároveň prepája incidenty týkajúce sa zákazníckych údajov s regulačnými povinnosťami:
„Ak sú dotknuté údaje zákazníkov, generálny manažér musí posúdiť zákonné oznamovacie povinnosti na základe uplatniteľnosti GDPR, NIS2 alebo DORA.“
Zo sekcie „Ošetrenie rizík a výnimky“, ustanovenie politiky 7.4.1.
Pre väčšie organizácie podniková Politika rolí a zodpovedností v oblasti riadenia vyžaduje okamžitú eskaláciu, ak môže existovať právna expozícia alebo porušenie ochrany údajov podliehajúce oznamovaniu:
„Právna/regulačná eskalácia: Incidenty zahŕňajúce potenciálne právne alebo regulačné vystavenie alebo porušenia ochrany údajov podliehajúce oznamovaniu musia byť okamžite eskalované právnemu a compliance officerovi a vrcholovému manažmentu.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.4.3.
Podniková Politika reakcie na incidenty definuje výkonnú právomoc počas závažných incidentov. Ustanovenie 4.6.1 uvádza, že úlohou tímu vrcholového manažmentu je:
„Prijímať strategické rozhodnutia počas incidentov s vysokou závažnosťou vrátane schvaľovania oznámení a verejnej komunikácie.“
V kontexte ransomvéru Clarysec považuje diskusiu o platbe, autorizáciu vyjednávania, oznámenie zákazníkom, regulačné vyhlásenie a verejnú komunikáciu za strategické rozhodnutia, nie technické úkony.
Z toho vyplýva praktické pravidlo riadenia: CISO môže odporučiť, incidentný tím môže posúdiť, právne oddelenie môže poradiť, financie môžu overiť platobné mechanizmy, poistiteľ môže súhlasiť alebo odmietnuť krytie, ale rozhodnutie musí vlastniť vrcholový manažment alebo predstavenstvo podľa vopred definovanej právomoci.
Eskalácia v súlade so sankčnými požiadavkami pred akýmkoľvek vyjednávaním
Proces pri ransomvéri v súlade so sankčnými požiadavkami začína zákazom: žiadny zamestnanec, dodávateľ, sprostredkovateľ, vyjednávač ani pracovník reakcie na incidenty nesmie vyjednávať, prisľúbiť, sprostredkovať ani previesť hodnotu pôvodcovi hrozby bez schváleného právneho posúdenia.
Právny kontrolný bod musí nastať pred akýmkoľvek aktívnym kontaktom s útočníkom, nie až po objavení adresy peňaženky. Proces má zahŕňať:
- Zapojenie právneho zástupcu pred akoukoľvek komunikáciou nad rámec pasívneho zaistenia dôkazov.
- Identifikáciu pôvodcu hrozby s využitím forenzných vstupov, spravodajstva o hrozbách a orgánov činných v trestnom konaní, ak sú dostupné.
- Sankčné preverenie a preverenie obmedzených strán podľa názvov skupín, aliasov, adries peňaženiek, infraštruktúry, sprostredkovateľov a platobných kanálov.
- Zváženie a zaznamenanie konzultácie s orgánmi činnými v trestnom konaní.
- Oznámenie kybernetickému poistiteľovi podľa podmienok poistnej zmluvy pred vymenovaním dodávateľov alebo vstupom do vyjednávania.
- Zapojenie DPO alebo vedúceho ochrany súkromia, ak môžu byť dotknuté osobné údaje.
- Potvrdenie platobných kontrol, oddelenia povinností, kontrol proti podvodom a požiadaviek na schválenie predstavenstvom zo strany CFO alebo vedúceho financií.
- Zaznamenanie rozhodnutia vrcholového manažmentu vrátane posúdených alternatív, ako sú obnova, zamedzenie šírenia, pozastavenie služby, komunikácia so zákazníkmi a odmietnutie platby.
- Uchovanie dôkazov o komunikácii útočníka, indikátoroch, detailoch peňaženiek, rozhodovacích stretnutiach, schváleniach a externom poradenstve.
Pri ransomvéri má právny register zahŕňať najmenej tieto zdroje povinností.
| Zdroj povinností | Dopad na riadenie platieb |
|---|---|
| Sankčné požiadavky a požiadavky proti finančnej kriminalite | Žiadne vyjednávanie ani platba bez právneho preverenia a zdokumentovaného schválenia. |
| Zmluva o kybernetickom poistení | Oznámenie poistiteľovi, schválení dodávatelia, predchádzajúci súhlas, požiadavky na dôkazy a podmienky krytia. |
| GDPR | Posúdenie porušenia ochrany osobných údajov, oznámenie dozornému orgánu, komunikácia s dotknutými osobami a záznamy preukázateľnej zodpovednosti. |
| NIS2 | Klasifikácia významného incidentu, včasné varovanie do 24 hodín, oznámenie do 72 hodín a záverečná správa do jedného mesiaca, ak je to uplatniteľné. |
| DORA | Klasifikácia závažného incidentu súvisiaceho s IKT, reporting príslušnému orgánu, komunikácia s klientmi a poincidentná analýza koreňovej príčiny. |
| Zákaznícke zmluvy | Oznámenie bezpečnostného incidentu, záväzky úrovne služieb, práva na audit a povinnosti komunikácie so zákazníkmi. |
| Očakávania orgánov činných v trestnom konaní | Uchovanie dôkazov, nakladanie s komunikáciou útočníka a koordinačné záznamy. |
Organizácie majú zároveň definovať, kto môže zastaviť rozhodnutie o platbe. Právne oddelenie, súlad, DPO, sankčný poradca alebo predstavenstvo majú mať výslovnú právomoc pozastaviť vyjednávanie alebo platbu, ak je preverenie neúplné, dôkazy sú nespoľahlivé, podmienky poistiteľa nie sú splnené alebo úkon môže porušiť zákon alebo zmluvu.
Uchovávanie dôkazov: nezničte dôkazy počas obnovy služby
Ransomvérové tímy sa prirodzene ponáhľajú obnoviť prevádzku. Ak však obnova zničí logy, snapshoty, výkupné správy, vzorky malvéru, obrazy pamäte alebo správy útočníka, organizácia môže stratiť schopnosť preukázať, čo sa stalo.
Vo fáze Kontroly v praxi, krok 23, Organizačné opatrenia, Zenith Blueprint odporúča organizáciám validovať a testovať schopnosti riadenia incidentov definovaním bezpečnostných udalostí podliehajúcich hláseniu, dokumentovaním rozhodovania a uchovávaním forenzných dôkazov. Tímom prikazuje:
„Zachytiť a logovať všetky rozhodnutia, roly a komunikáciu (5.26) a aktualizovať plán o získané poučenia (5.27). Potvrdiť, že sú zavedené postupy na uchovávanie forenzných dôkazov (5.28) vrátane snapshotov logov, záloh a bezpečnej izolácie dotknutých systémov.“
Ten istý krok vysvetľuje A.5.28 jazykom, ktorému rozumie každé predstavenstvo:
„to, čo viete preukázať, je rovnako dôležité ako to, čo sa skutočne stalo“
Podniková Politika zberu dôkazov a forenznej analýzy spoločnosti Clarysec posilňuje požiadavku, aby dôkazy zostali sledovateľné:
„Záznam reťazca zverenia musí sprevádzať všetky fyzické alebo digitálne dôkazy od momentu získania až po archiváciu alebo odovzdanie a musí dokumentovať:“
Zo sekcie „Požiadavky na riadenie“, ustanovenie politiky 5.6.
Pre MSP je Politika zberu dôkazov a forenznej analýzy - MSP zámerne praktická:
„Forenzná kópia alebo export sa musí vždy vytvoriť; pôvodný dôkaz sa nikdy nesmie upravovať priamo.“
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.
Vyžaduje aj právnu konzultáciu, ak môže existovať dopad na HR, právnu oblasť alebo zákazníkov:
„Ak incident zahŕňa potenciálny dopad na Ľudské zdroje (HR), právnu oblasť alebo zákazníkov, GM musí pred pokračovaním v uplatňovaní politiky alebo eskalácii konzultovať právneho zástupcu.“
Zo sekcie „Požiadavky na riadenie“, ustanovenie politiky 5.4.2.
Praktický dôkazový balík má byť otvorený počas brány 2. Vytvorte obmedzený priečinok dôkazov k incidentu. Exportujte časové osi SIEM, detekcie EDR, cloudové auditné logy, logy prihlásenia poskytovateľa identít, stav zálohovacích úloh, výkupné správy, snímky obrazovky, správy útočníka, adresy peňaženiek, vzorky súborov, odkazy na právne stanoviská, korešpondenciu s poistiteľom a rozhodnutia zo stretnutí. Priraďte správcu. Zaznamenajte hash hodnoty, ak je to vhodné. Nedovoľte administrátorom čistiť dotknuté systémy pred forenzným získavaním dôkazov, pokiaľ si to nevyžaduje bezpečnosť života, ochrana kritickej služby alebo výkonným vedením schválené zamedzenie šírenia.
Jeden klasifikačný pracovný hárok pre NIS2, DORA a GDPR
Ransomvérový incident môže spustiť viacero lehôt. Výzvou nie je len poznať termíny. Výzvou je vedieť, kedy sa organizácia o incidente dozvedela, čo v tom čase vedela a ako boli prijaté klasifikačné rozhodnutia.
NIS2 Article 23 vyžaduje, aby základné a dôležité subjekty bez zbytočného odkladu oznámili významné incidenty CSIRT alebo príslušnému orgánu. Významnosť súvisí so závažným narušením prevádzky, finančnou stratou alebo značnou materiálnou či nemateriálnou ujmou iných osôb. Fázovaný model zahŕňa včasné varovanie do 24 hodín, oznámenie do 72 hodín, priebežné aktualizácie na požiadanie a záverečnú správu do jedného mesiaca od oznámenia incidentu, ak je to uplatniteľné.
DORA vyžaduje, aby finančné subjekty definovali a implementovali riadenie incidentov súvisiacich s IKT, zaznamenávali incidenty a významné kybernetické hrozby, klasifikovali incidenty podľa kritérií, ako sú dotknutí klienti, trvanie, geografické rozšírenie, strata údajov, kritickosť a ekonomický dopad, a reportovali závažné incidenty súvisiace s IKT príslušným orgánom prostredníctvom úvodných, priebežných a záverečných správ.
GDPR kladie inú, ale prekrývajúcu sa otázku: spôsobil incident porušenie ochrany osobných údajov? Ak áno, je pravdepodobné, že povedie k riziku pre fyzické osoby? Ak je prah oznamovania splnený, oznámenie dozornému orgánu sa musí posúdiť voči 72-hodinovej lehote. Ak existuje vysoké riziko, môže byť potrebná aj komunikácia s fyzickými osobami.
Clarysec odporúča používať jeden klasifikačný pracovný hárok pre ransomvér so samostatnými sekciami pre každý režim.
| Klasifikačná oblasť | Príklad ransomvérovej otázky | Výstup |
|---|---|---|
| Prevádzkový dopad | Sú kritické služby narušené alebo pravdepodobne budú narušené? | Vstup pre významnosť podľa NIS2 a kritickosť podľa DORA |
| Finančný dopad | Spôsobil incident alebo môže spôsobiť významnú finančnú stratu? | Vstup pre závažnosť podľa NIS2 a DORA |
| Dopad na zákazníkov | Sú dotknutí príjemcovia služieb, klienti, protistrany alebo transakcie? | Vstup pre NIS2, DORA a zmluvné oznámenie |
| Osobné údaje | Došlo k prístupu k osobným údajom, ich exfiltrácii, zmene, zničeniu alebo zneprístupneniu? | Vstup pre posúdenie porušenia ochrany údajov podľa GDPR |
| Citlivosť údajov | Zahŕňajú dotknuté údaje osobitné kategórie údajov, prihlasovacie údaje, finančné údaje, doklady totožnosti alebo údaje detí? | Vstup pre riziko a komunikáciu podľa GDPR |
| Cezhraničný dopad | Sú dotknuté viaceré členské štáty, jurisdikcie, zákazníci alebo lokality služieb? | Vstup pre reporting podľa NIS2 a DORA |
| Spoľahlivosť dôkazov | Ktoré fakty sú potvrdené, predpokladané alebo neznáme? | Základ pre fázovaný reporting a aktualizácie |
Tento prístup zapadá do ustanovení ISO 27001 o posúdení rizík, ošetrení rizík a zdokumentovaných informáciách. Je tiež zosúladený s NIST CSF 2.0. Funkcia GOVERN v NIST CSF 2.0 očakáva, že organizácie rozumejú zainteresovaným stranám, zákonným a regulačným povinnostiam, apetítu na riziko, rolám, politike, dohľadu a riziku tretích strán. Jej výstupy detekcie, reakcie a obnovy podporujú vyhlásenie incidentu, analýzu, koordináciu reakcie, oznamovanie zainteresovaným stranám, vykonanie obnovy a validáciu obnovenia.
Pre finančné subjekty môže DORA fungovať ako odvetvovo špecifický režim kybernetickej bezpečnosti pre prekrývajúce sa povinnosti podľa NIS2, ale to neodstraňuje potrebu porozumieť uplatniteľnosti NIS2 pre skupinové subjekty, poskytovateľov IKT, spravované služby alebo závislosti od cloudových služieb. Praktickou odpoveďou nie je udržiavať samostatné playbooky. Praktickou odpoveďou je prevádzkovať jeden dôkazový model ISMS mapovaný na všetky relevantné povinnosti.
Kybernetické poistenie a koordinácia dodávateľov sú kontrolami riadenia
Kybernetické poistenie môže byť hodnotné, ale nie je stratégiou proti ransomvéru. Je to mechanizmus prenosu rizika s podmienkami. Počas ransomvérovej udalosti môže poistiteľ vyžadovať okamžité oznámenie, použitie panelových spoločností, predchádzajúce schválenie vyjednávania, uchovanie dôkazov, dôkaz zlyhania záloh, dôkaz primeraných kontrol a právne posúdenie pred akýmkoľvek zvažovaním platby.
DORA robí z rizika externých poskytovateľov IKT plnohodnotnú oblasť súladu. NIS2 Article 21 vyžaduje aj bezpečnosť dodávateľského reťazca a zohľadnenie zraniteľností dodávateľov a ich praktík kybernetickej bezpečnosti. ISO 27001 podporuje rovnakú logiku prostredníctvom kontrol dodávateľov a cloudu, ako sú A.5.19 až A.5.23, plus kontroly incidentov, kontinuity a zákonných požiadaviek.
Zenith Controls prepája prípravu na incidenty s externými partnermi vrátane forenzných spoločností, právnych poradcov, PR a kontaktu s orgánmi. Z pohľadu auditu sa absencia vopred identifikovaných externých partnerov môže považovať za medzeru v pripravenosti, pretože môže oneskoriť reakciu počas skutočného incidentu.
Pre riadenie rozhodovania o platbách pri ransomvéri Clarysec odporúča vopred dohodnúť:
- Forenzný retainer alebo podmienky rýchlej reakcie.
- Dostupnosť externého právneho zástupcu pre stratégiu porušenia ochrany údajov, sankcií a dôvernosti právnej komunikácie.
- Oznamovaciu cestu kybernetickému poistiteľovi a zoznam schválených dodávateľov.
- Eskalačnú cestu cloudového poskytovateľa pre snapshoty, logy, izoláciu a obnovu.
- Postupy spolupráce pri incidente s MSSP alebo MDR.
- Proces preskúmania PR a krízovej komunikácie.
- Bankové alebo finančné schvaľovacie kontroly pre akúkoľvek mimoriadnu platbu.
- Protokol kontaktu s orgánmi činnými v trestnom konaní.
Toto dobre mapuje na výstupy dodávateľského reťazca v NIST CSF 2.0 vrátane rolí a zodpovedností dodávateľov, náležitej starostlivosti, zmluvných požiadaviek kybernetickej bezpečnosti, koordinácie incidentov dodávateľov a činností po ukončení.
Praktický playbook eskalácie platby pri ransomvéri
Päť brán možno preložiť do prevádzkového playbooku. Každý krok má byť zdokumentovaný, vlastnený a nacvičený.
| Fáza | Kľúčová činnosť | Zodpovedná rola | Kľúčové kontroly ISO 27001:2022 | Dôkaz alebo výstup |
|---|---|---|---|---|
| 1. Triáž a vyhlásenie | Posúdiť udalosť voči kritériám, vyhlásiť významný alebo závažný incident, aktivovať tím reakcie | Vedúci SOC, veliteľ incidentu | A.5.24, A.5.25 | Incidentný ticket, log vyhlásenia, úvodná situačná správa |
| 2. Posúdenie dopadu na podnikanie | Kvantifikovať prevádzkový dopad, odhadnúť stav voči RTO/RPO, určiť kritickosť údajov a služieb | Vlastníci procesov, CISO, vedúci BC/DR | A.5.29, A.5.30, A.8.13 | Analýza vplyvu na podnikanie, zistenia integrity záloh |
| 3. Uchovávanie dôkazov | Exportovať logy, uchovať systémy, zabezpečiť dôkazy a udržiavať reťazec zverenia | Vedúci forenznej analýzy, tím reakcie na incidenty | A.5.28, A.8.15, A.8.16 | Forenzné obrazy, exporty logov, záznam reťazca zverenia |
| 4. Právna a sankčná kontrola | Zapojiť právneho zástupcu, identifikovať pôvodcu hrozby, preveriť sankcie, posúdiť oznamovacie povinnosti | Právny zástupca, DPO, súlad, externý právny zástupca | A.5.31, A.5.34, A.6.3 | Právne stanovisko, záznam sankčnej kontroly, reportingový pracovný hárok |
| 5. Koordinácia poistenia a dodávateľov | Oznámiť poistiteľovi, potvrdiť schválených dodávateľov, koordinovať cloud, MSSP a forenznú podporu | CISO, právne oddelenie, manažér dodávateľov | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Súhlas poistiteľa, dodávateľské tickety, log činností dodávateľa |
| 6. Rozhodovací briefing pre vrcholový manažment | Predložiť možnosti, riziká, právny pohľad, realizovateľnosť obnovy, dopad komunikácie a stanovisko poistiteľa | Veliteľ incidentu, CISO, právne oddelenie, CFO | A.5.1, A.5.2, A.5.26, A.5.31 | Briefingový dokument k rozhodnutiu o ransomvéri |
| 7. Autorizácia a dokumentácia | Výkonná autorita rozhodne, či vyjednávať, odmietnuť, zaplatiť alebo vykonať alternatívne kroky | CEO, vrcholový manažment, predstavenstvo | A.5.2, A.5.3, A.5.26, A.5.31 | Podpísaný záznam rozhodnutia, akceptácia rizika, log činností |
| 8. Uzatvorenie a zlepšenie | Vykonať analýzu koreňovej príčiny, poučenia a aktualizácie kontrol | Manažér ISMS, CISO, interný audit | A.5.27, ISO 27001 clause 10.2 | Správa o poučeniach, plán nápravných opatrení, aktualizované záznamy ISMS |
Cieľom nie je garantovať pohodlné rozhodnutie. Pohodlné rozhodnutie nemusí existovať. Cieľom je zabezpečiť, aby rozhodnutie bolo autorizované, založené na dôkazoch, právne informované a obhájiteľné.
90-minútové stolové cvičenie, ktoré preukáže pripravenosť
Najjednoduchším spôsobom, ako otestovať riadenie rozhodovania o platbách pri ransomvéri, nie je technický red team. Je to rozhodovacie stolové cvičenie.
Použite Zenith Blueprint, fáza Kontroly v praxi, krok 23, na validáciu schopnosti riadenia incidentov. Vyberte ransomvérový scenár a vykonajte časovo ohraničené cvičenie. Cieľom nie je vopred rozhodnúť, že organizácia by zaplatila alebo nikdy nezaplatila. Cieľom je preukázať, že organizácia vie dospieť k riadenému rozhodnutiu.
Scenár: zákaznícka databáza prevádzkovaná v cloudovom prostredí je zašifrovaná, útočník tvrdí, že údaje exfiltroval, zálohy existujú, ale ich integrita ešte nebola otestovaná, poistiteľ nebol informovaný a útočník poskytuje adresu peňaženky so 48-hodinovou lehotou.
Kontrolný zoznam cvičenia:
- Vyhlásiť incident a priradiť veliteľa incidentu.
- Otvoriť log rozhodovania o ransomvéri.
- Klasifikovať udalosť podľa kritérií A.5.25.
- Identifikovať dotknuté aktíva a služby organizácie.
- Určiť, či sú dotknuté osobné údaje.
- Spustiť pracovné toky posúdenia podľa GDPR, NIS2, DORA a zmluvných požiadaviek.
- Informovať právne oddelenie, DPO, vrcholový manažment, poistiteľa a poskytovateľa forenznej analýzy.
- Uchovať dôkazy pred deštruktívnymi obnovovacími činnosťami.
- Skontrolovať integritu záloh a možnosti obnovy.
- Vykonať sankčné preverenie pred akýmkoľvek vyjednávaním.
- Zaznamenať, či sa vyžaduje konzultácia s orgánmi činnými v trestnom konaní.
- Pripraviť predbežné vyhlásenia pre zákazníkov a regulátora.
- Predložiť možnosti rozhodnutia výkonnej autorite.
- Zaznamenať rozhodnutie, odôvodnenie, nesúhlasné stanoviská, schválenia a ďalšie kroky.
- Naplánovať poincidentné preskúmanie a činnosti zlepšenia kontrol.
Výstupom má byť úplný dôkazový balík: prezenčná listina, časová os, klasifikačný pracovný hárok, log rozhodnutí, návrhy komunikácie, právne úlohy, úlohy voči poistiteľovi, zistenia o zálohách a poučenia. Takýto balík je auditne veľmi hodnotný, pretože ukazuje, že riadenie funguje ešte pred skutočnou krízou.
Ako audítori a regulátori otestujú proces
Audítori z rôznych prostredí budú ten istý ransomvérový proces skúmať cez rôzne optiky.
| Optika audítora | Čo si vyžiadajú | Ako vyzerajú dobré dôkazy |
|---|---|---|
| Audítor ISO 27001:2022 | Sú plánovanie incidentov, posúdenie udalostí, reakcia, dôkazy, zákonné požiadavky a poučenia pod kontrolou? | Plán reakcie na incidenty, mapovanie SoA, register rizík, záznamy zo stolových cvičení, postup pre dôkazy, logy rozhodnutí, výstupy preskúmania manažmentom |
| Audítor ISMS v štýle ISO/IEC 27007 | Rozumejú ľudia svojim rolám a vedia záznamy preukázať fungovanie? | Rozhovory s CISO, právnym oddelením, DPO, SOC a vrcholovým manažmentom, plus vzorky incidentných ticketov a eskalačných záznamov |
| Posudzovateľ zosúladený s NIST | Sú riadenie, detekcia, reakcia, komunikácia a obnova integrované? | Profil CSF, register rizík, monitorovacie pravidlá, kritériá vyhlásenia incidentu, komunikácia so zainteresovanými stranami, validácia obnovy |
| Audítor COBIT 2019 alebo ISACA | Existuje vlastníctvo manažmentom, riadenie procesu, dostatočnosť dôkazov a neustále zlepšovanie? | RACI, procesné metriky, reporting súladu, poincidentné preskúmanie, sledovanie nápravných opatrení |
| Audítor zameraný na DORA | Sú IKT incidenty klasifikované, eskalované, reportované, obnovené a zlepšované v rámci rámca rizík IKT? | Kritériá klasifikácie incidentov, reporting riadiacemu orgánu, dôkazy komunikácie s klientmi, analýza koreňovej príčiny, testovanie odolnosti |
| Audítor GDPR/ochrany súkromia | Bolo posúdenie porušenia ochrany osobných údajov včasné, založené na riziku a zdokumentované? | Formulár posúdenia porušenia, zapojenie DPO, rozhodnutie o oznámení dozornému orgánu, odôvodnenie komunikácie s dotknutými osobami, záznamy o kontexte spracúvania |
Zenith Controls poskytuje podrobnú metodiku auditu pre A.5.24, A.5.25 a A.5.31. Pri A.5.24 audítori skúmajú plán reakcie na incidenty, klasifikácie závažnosti, roly, kontaktné zoznamy, pokyny pre regulačný reporting, cvičenia a nastavenia externých partnerov. Pri A.5.25 preskúmavajú, či existujú kritériá klasifikácie udalostí, či záznamy o spracovaní upozornení preukazujú vyšetrovanie a rozhodnutia o eskalácii, či sa používa SIEM a spravodajstvo o hrozbách a či sú zapojené tímy DPO alebo právne tímy, keď môžu byť dotknuté osobné údaje. Pri A.5.31 audítori hľadajú právne registre, mapovanie súladu, dôkazy o preskúmaní, pokrytie interným auditom a reporting vrcholovému manažmentu.
Auditným rizikom nie je iba to, že organizácia zaplatila alebo odmietla zaplatiť. Auditným rizikom je, že nikto nevie preukázať, ako bolo rozhodnutie prijaté.
Od vydierania k zlepšeniu kontrol
Riadenie ransomvéru sa nekončí obnovením systémov. ISO 27001 očakáva neustále zlepšovanie. A.5.27 Poučenie z incidentov informačnej bezpečnosti je pre toto očakávanie kľúčové. DORA vyžaduje analýzu koreňovej príčiny a dodatočné kontroly. Záverečný reporting podľa NIS2 očakáva zmierňujúce opatrenia a pravdepodobnú koreňovú príčinu, ak je to uplatniteľné. Preukázateľná zodpovednosť podľa GDPR očakáva dokumentáciu rozhodnutí a ochranných opatrení.
Každé poincidentné preskúmanie ransomvéru má odpovedať na tieto otázky:
- Boli správne identifikované lehoty reportingu?
- Fungovala rozhodovacia právomoc podľa návrhu?
- Prebehlo právne a sankčné preskúmanie dostatočne skoro?
- Pomohla koordinácia s poistiteľom reakcii alebo ju zdržala?
- Boli zálohy úplné, oddelené, obnoviteľné a testované?
- Boli logy dostatočné na posúdenie prístupu a exfiltrácie?
- Reagovali dodávatelia podľa zmluvy?
- Bola komunikácia so zákazníkmi presná a včasná?
- Dostalo vrcholové vedenie správne informácie v správnom čase?
- Ktoré kontroly, politiky, zmluvy alebo školenia sa musia zmeniť?
Tieto odpovede majú aktualizovať register rizík, vyhlásenie o uplatniteľnosti, plán reakcie na incidenty, stratégiu zálohovania, zmluvy s dodávateľmi, komunikačný plán a školiaci program.
Vo fáze Základ a vedenie ISMS, krok 5, Zenith Blueprint zdôrazňuje plánovanie externej komunikácie vrátane identifikácie zákazníkov, regulátorov, partnerov a verejnosti, určenia, čo a kedy komunikovať, a definovania, kto komunikuje. Pri ransomvéri sa tento krok stáva mostom medzi technickou reakciou a zachovaním dôvery.
Vybudujte záznam rozhodnutia skôr, ako príde výkupná správa
Najlepší čas na riadenie rozhodnutia o výkupnom je predtým, ako útočník nastaví lehotu.
Ak váš ransomvérový playbook nedefinuje rozhodovaciu právomoc, právne preskúmanie, sankčné preverenie, schválenie poistiteľom, uchovávanie dôkazov, klasifikáciu podľa NIS2 a DORA, posúdenie porušenia ochrany údajov podľa GDPR a dokumentáciu na úrovni predstavenstva, organizácia má medzeru v riadení, ktorá čaká na krízu.
Clarysec pomáha organizáciám vybudovať túto schopnosť do ISMS pomocou:
- Zenith Blueprint: 30-kroková cestovná mapa audítora na fázovanú implementáciu ISO 27001, ošetrenie rizík, plánovanie komunikácie a validáciu schopnosti riadenia incidentov.
- Zenith Controls: Sprievodca krížovým súladom na mapovanie kontrol ISO 27001 na NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 a auditné dôkazy.
- Podnikové politiky Clarysec a politiky pre MSP vrátane Politika reakcie na incidenty, Politika reakcie na incidenty - MSP, Politika zberu dôkazov a forenznej analýzy, Politika zberu dôkazov a forenznej analýzy - MSP, Politika rolí a zodpovedností v oblasti riadenia, Politika rolí a zodpovedností v oblasti riadenia - MSP a Politika riadenia rizík.
- Praktických šablón ransomvérových stolových cvičení, logov rozhodnutí, matíc právnej eskalácie, dôkazových balíkov a pracovných hárkov krížového reportingu súladu.
Nečakajte na telefonát o tretej ráno, aby ste zistili, kto môže rozhodnúť. Preskúmajte svoj plán reakcie na incidenty voči piatim bránam Clarysec, vykonajte 90-minútové stolové cvičenie platby pri ransomvéri a vybudujte záznam rozhodnutia v súlade so sankčnými požiadavkami a pripravený na audit, ktorý obstojí pred regulátormi, poistiteľmi aj vaším vlastným predstavenstvom.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council