Upravljanje odločitev o plačilu odkupnine pri izsiljevalski programski opremi za NIS2 in DORA
Ura je 3:17 zjutraj na delovni dan leta 2026. Mario, vodjo informacijske varnosti hitro rastoče fintech platforme, v krizni klic pritegne sporočilo vodilnega analitika SOC: potrjeno je obsežno šifriranje, ključne storitve ne delujejo, skupina za izsiljevalsko programsko opremo pa trdi, da je ukradla 2 TB podatkov o strankah.
Prvi se klicu pridruži CEO. Sledijo pravna služba, zasebnost, finance, komunikacije, kibernetska zavarovalnica, forenzični ponudnik in ekipa za operacije v oblaku. Portal na temnem spletu prikazuje 48-urno odštevanje in sedemmestni zahtevek v kriptovaluti.
CEO zastavi vprašanje, ki se ga boji vsak vodja informacijske varnosti.
»Ali lahko plačamo in kdo sme o tem odločiti?«
Napačen odgovor je, da se to obravnava kot pogajalski problem. Pravilen odgovor je, da se to obravnava kot vprašanje upravljanja.
Leta 2026 upravljanje odločitev o plačilu odkupnine pri izsiljevalski programski opremi ni več zasebna, tehnična krizna odločitev. Pregledajo jo lahko regulatorji, presojevalci, zavarovalnice, stranke, organi pregona, delničarji in upravni odbor. Odločitev o plačilu se prepleta z izpostavljenostjo sankcijam, oceno kršitve varnosti osebnih podatkov, pogoji kibernetskega zavarovanja, pogodbenimi obveznostmi, kriznim komuniciranjem, ohranjanjem dokazil, faznim poročanjem po NIS2, razvrstitvijo incidenta po DORA, obveščanjem po GDPR in izboljšavami po incidentu.
Zato Clarysec strankam svetuje, naj upravljanje odločitev o plačilu odkupnine pri izsiljevalski programski opremi vgradijo v ISMS pred incidentom. ISO/IEC 27001:2022 zagotavlja strukturo sistema upravljanja. Kontrole ISO/IEC 27002:2022 zagotavljajo operativni model. Zenith Blueprint: 30-koračni načrt presojevalca in Zenith Controls: vodnik za navzkrižno skladnost pomagata to strukturo pretvoriti v praktična, preverljiva dokazila.
Priročnik za odziv na izsiljevalsko programsko opremo, ki pravi le »obvesti pravno službo«, ni dovolj. Organizacija mora vedeti, kdo lahko odobri pogajanja, kako se izvaja preverjanje sankcij, kdaj je potrebna odobritev zavarovalnice, kako se dokumentira razvrstitev po GDPR, NIS2 in DORA ter kako se dokazila zaščitijo, medtem ko ekipe za obnovitev delujejo pod pritiskom.
Zakaj ad hoc odločitve o plačilu odkupnine pri izsiljevalski programski opremi odpovedo
Odločitev o plačilu odkupnine pri izsiljevalski programski opremi se pogosto opisuje kot binarna: plačati ali ne plačati. V resnici ima odločitev vsaj šest plasti:
- Ali je dogodek potrjen, zajezen in pravilno razvrščen?
- Ali so prizadeti osebni podatki, regulirani podatki ali izvajanje kritične storitve?
- Ali je organizaciji pravno dovoljeno komunicirati ali izvesti transakcijo z akterjem grožnje?
- Ali kibernetsko zavarovanje zahteva predhodno obvestilo, odobrene dobavitelje, soglasje ali posebna dokazila?
- Ali bi plačilo zmanjšalo vpliv na poslovanje ali povečalo pravno, finančno in ugledno tveganje?
- Kdo ima pooblastilo za odločitev in kako se ta odločitev evidentira?
Med aktivnim incidentom nepovezane ekipe pogosto vlečejo v različne smeri. CFO lahko odkupnino vidi kot poslovni strošek v primerjavi z naraščajočim izpadom. Pravna služba vidi sankcije, finančni kriminal in regulativno izpostavljenost. DPO presoja, ali šifrirani ali odtujeni podatki pomenijo prijavljivo kršitev varnosti osebnih podatkov. Funkcija skladnosti spremlja roke poročanja po NIS2 in DORA. Vodja informacijske varnosti poskuša ohraniti dokazila in hkrati obnoviti storitve. CEO želi priporočilo, preden se izteče napadalčev časovnik.
Brez formalnega postopka odločanja lahko najglasnejši glas v prostoru postane model upravljanja. Prav takšno situacijo sodobna regulacija kibernetske varnosti poskuša preprečiti.
NIS2 določa, da je kibernetska varnost odgovornost vodstva. Article 20 obravnava upravljanje in odgovornost organov vodenja, Article 21 pa zahteva ukrepe za obvladovanje tveganj, ki zajemajo obravnavanje incidentov, neprekinjeno poslovanje, upravljanje varnostnega kopiranja, krizno upravljanje, varnost dobavne verige, nadzor dostopa, upravljanje sredstev, MFA in oceno učinkovitosti. Article 23 uvaja fazno poročanje o pomembnih incidentih, vključno z zgodnjim opozorilom v 24 urah, obvestilom v 72 urah in končnim poročilom v enem mesecu, kadar je to primerno.
Za finančne subjekte je DORA sektorski pravilnik operativne odpornosti. Article 5 odgovornost za upravljanje tveganj IKT nalaga organu vodenja. Articles 17, 18 in 19 obravnavajo upravljanje incidentov, povezanih z IKT, razvrščanje in poročanje o večjih incidentih, povezanih z IKT. DORA zahteva tudi zmožnosti odziva in obnovitve, varnostno kopiranje in obnovitev, učenje po incidentu, testiranje ter upravljanje tveganj tretjih oseb na področju IKT.
GDPR dodaja ločeno, vendar prekrivajočo se presojo. Če izsiljevalska programska oprema povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, mora upravljavec presoditi, ali je prišlo do kršitve varnosti osebnih podatkov. Če je obvestilo potrebno, rok za nadzorni organ praviloma teče 72 ur od seznanitve. Če obstaja veliko tveganje za posameznike, je lahko potrebno tudi obveščanje prizadetih posameznikov.
Sklep je preprost: vprašanje odkupnine se ne sme prvič zastaviti v krizni sobi.
Kontrole ISO 27001:2022, ki podpirajo upravljanje plačila
ISMS po ISO/IEC 27001:2022 ni kontrolni seznam za presojevalce. Je sistem upravljanja za odločanje na podlagi tveganj. Upravljanje plačila odkupnine pri izsiljevalski programski opremi sodi v ta sistem, ker združuje oceno tveganja, obravnavo tveganja, vloge, zakonske obveznosti, odziv na incidente, neprekinjeno poslovanje, upravljanje dobaviteljev in nenehno izboljševanje.
Najpomembnejše kontrole iz Priloge A ISO 27001:2022 tvorijo povezano verigo kontrol.
| Področje kontrole ISO 27001:2022 | Zakaj je pomembno pri upravljanju plačila odkupnine pri izsiljevalski programski opremi |
|---|---|
| A.5.24 Načrtovanje in priprava upravljanja incidentov informacijske varnosti | Določa okvir odzivanja na incidente, model eskalacije, komunikacije in pripravljenost, preden se začne izsiljevanje. |
| A.5.25 Presoja in odločanje o dogodkih informacijske varnosti | Vzpostavlja, kako dogodki postanejo incidenti, kako se določi resnost in kdaj se sproži eskalacija na izvršno vodstvo. |
| A.5.26 Odziv na incidente informacijske varnosti | Ureja zajezitev, odstranitev, usklajevanje obnovitve in izvajanje operativnih odločitev. |
| A.5.27 Učenje iz incidentov informacijske varnosti | Zagotavlja, da izidi odločanja o odkupnini, skorajšnji incidenti, povratne informacije zavarovalnice in ugotovitve regulatorjev izboljšajo prihodnje kontrole. |
| A.5.28 Zbiranje dokazov | Ohranja dnevnike, slike, korespondenco, vzorce zlonamerne programske opreme in zapise odločitev na pravno zanesljiv način. |
| A.5.29 Informacijska varnost med motnjo | Ohranja delovanje varnostnih kontrol, medtem ko organizacija posluje v degradiranem načinu. |
| A.5.30 Pripravljenost IKT za neprekinjeno poslovanje | Povezuje varnostne kopije, prioritete obnovitve, preklop in načrte neprekinjenega poslovanja s postopkom odločanja o incidentu. |
| A.5.31 Zakonske, statutarne, regulativne in pogodbene zahteve | Zajema preverjanje sankcij, regulativno poročanje, obveznosti do strank, obveznosti do zavarovalnice in pravno odobritev. |
| A.5.34 Zasebnost in varstvo PII | Usmerja oceno kršitve po GDPR in presojo vpliva na zasebnost med izsiljevanjem. |
| A.6.3 Stik z organi | Podpira načrtovano komunikacijo z regulatorji, CSIRT, organi pregona in pristojnimi organi. |
| A.8.13 Varnostno kopiranje informacij | Določa, ali je plačilo operativno relevantno, z dokazovanjem možnosti obnovitve. |
| A.8.15 Beleženje in A.8.16 Dejavnosti spremljanja | Zagotavljata dokazno podlago za obseg, časovnico, vpliv in dejavnost napadalca. |
V Zenith Controls razdelek za A.5.24, načrtovanje in priprava upravljanja incidentov informacijske varnosti, kontrolo razvršča kot korektivno, povezano z zaupnostjo, celovitostjo in razpoložljivostjo ter usklajeno s konceptoma odziva in obnovitve. A.5.24 povezuje tudi z A.5.25 presojo dogodkov, A.5.27 učenjem iz incidentov, A.8.15 beleženjem, A.8.16 spremljanjem, A.5.29 varnostjo med motnjo, neprekinjenim poslovanjem in stikom z organi.
To je pomembno, ker je upravljanje plačila odkupnine pri izsiljevalski programski opremi veriga. Če dogodka ne morete zaznati in razvrstiti, ne morete odločati. Če ne morete ohraniti dokazil, odločitve ne morete zagovarjati. Če zakonske obveznosti niso preslikane, so pogajanja ali plačilo lahko nezakoniti. Če možnosti obnovitve niso testirane, je izvršno vodstvo lahko potisnjeno v odločitev na podlagi strahu namesto dejstev.
Zenith Controls jasno opiše razmerje med pripravo in odločanjem:
“5.25 je točka odločanja, ki določa, kdaj dogodek preseže prag in postane varnostni incident, s čimer se sprožijo ukrepi iz 5.26. Pravočasna in natančna presoja dogodka zagotavlja, da odziv na incident ni niti zakasnjen niti napačno usmerjen.”
Isti vodnik povezuje A.5.31, zakonske, statutarne, regulativne in pogodbene zahteve, z zasebnostjo, hrambo zapisov, neodvisnim pregledom in skladnostjo z notranjimi politikami. Pri izsiljevalski programski opremi je A.5.31 mesto, kjer se preverjanje sankcij, zavarovalne obveznosti, sodelovanje z organi pregona, pogodbe s strankami, obveznosti varstva podatkov in sektorsko regulativno poročanje zajamejo v eno evidenco skladnosti.
Clarysecov petstopenjski model upravljanja plačila odkupnine pri izsiljevalski programski opremi
Clarysecov model upravljanje odločitev o plačilu odkupnine pri izsiljevalski programski opremi razdeli na pet kontrolnih vrat. Namen ni olajšati plačila. Namen je zagotoviti, da je vsaka odločitev, vključno z zavrnitvijo plačila, utemeljena na dokazilih, pravno pregledana, odobrena in primerna za presojo.
| Vrata | Ključno vprašanje | Zahtevana dokazila | Tipični lastnik |
|---|---|---|---|
| Vrata 1: razglasitev incidenta | Ali je bil incident izsiljevalske programske opreme ali izsiljevanja razglašen po določenih merilih? | Opozorila SIEM, telemetrija končnih točk, obvestilo o odkupnini, prizadeta sredstva, začetni zapis resnosti | vodja incidenta ali vodja informacijske varnosti |
| Vrata 2: pravna in regulativna triaža | Ali incident vključuje osebne podatke, regulirane storitve, tveganje sankcij, pogodbeno obvestilo ali sektorsko poročanje? | Preslikava pravne evidence, ocena kršitve po GDPR, razvrstitev po NIS2 ali DORA, zapiski pravnega svetovalca | pravna služba, funkcija skladnosti, DPO |
| Vrata 3: izvedljivost obnovitve | Ali lahko organizacija varno obnovi delovanje brez plačila znotraj sprejemljivih meja vpliva? | Preverjanja celovitosti varnostnih kopij, status RTO/RPO, analiza vpliva na poslovanje, rezultati testov obnovitve | IT, vodja BC/DR |
| Vrata 4: pregled tveganja plačila | Ali so pogajanja ali plačilo pravno dopustni, odobreni s strani zavarovalnice, preverjeni z vidika sankcij in odobreni na ravni upravnega odbora? | Zapis preverjanja sankcij, soglasje zavarovalnice, zapis posvetovanja z organi pregona, finančna odobritev, sprejem tveganja | izvršno vodstvo ali upravni odbor |
| Vrata 5: zaključek in izboljšave | Ali so bile odločitve, komunikacije, temeljni vzrok in pridobljene izkušnje evidentirani? | Poročilo o incidentu, veriga skrbništva, dnevnik komuniciranja, načrt izboljšanja kontrol | vodja informacijske varnosti, vodja ISMS, notranja revizija |
Ta model uporablja logiko obravnave tveganj po ISO 27001. Plačilo odkupnine pri izsiljevalski programski opremi ni varnostna kontrola. Je kvečjemu krizna možnost, obravnavana v okviru obravnave tveganj in obnovitve. Organizacija bi morala že pred incidentom odločiti, kako obravnava tveganja izsiljevalske programske opreme: zmanjšati jih s kontrolami, del finančne izpostavljenosti prenesti z zavarovanjem, se izogniti nesprejemljivim odvisnostim od zastarelih sistemov ali izrecno sprejeti preostalo tveganje, kadar je to upravičeno.
V fazi upravljanja tveganj, korak 13, načrtovanje obravnave tveganj in izjava o uporabnosti, Zenith Blueprint organizacijam naroča, naj za vsako tveganje določijo možnosti obravnave in jih dokumentirajo v registru tveganj. Opozarja, da prenos, kot je kibernetsko zavarovanje, ne odpravlja potrebe po kontrolah, ker prenos pogosto obravnava finančni vpliv, ne pa verjetnosti. Navaja tudi:
“Sprejem mora biti izrecen in odobren s strani vodstva, zlasti za vsa srednja tveganja. Visoka tveganja se redko sprejmejo, razen če so resnično neizogibna in dogovorjena na najvišji ravni.”
Ta stavek je neposredno relevanten za upravljanje plačila odkupnine pri izsiljevalski programski opremi. Če se od upravnega odbora zahteva sprejem preostalega tveganja zavrnitve plačila ali pravnega in uglednega tveganja zaradi odobritve pogajanj, mora biti sprejem izrecen, evidentiran in odobren s strani pristojnega organa.
Clarysecova Politika upravljanja tveganj potrjuje isto izhodišče:
“Odločitve o obravnavi tveganj morajo biti usklajene z vnaprej določenimi možnostmi” Iz klavzule 5.5.
Odločitev o odkupnini zato ni bližnjica mimo upravljanja tveganj. Obravnavati jo je treba kot formalno, dokumentirano odločitev o obravnavi tveganja v okviru določenih pooblastil.
Pooblastila v politiki: kdo lahko odloča pod pritiskom?
Številni neuspehi pri izsiljevalski programski opremi so neuspehi upravljanja, prikriti kot tehnične napake. Nekdo stopi v stik z napadalcem zunaj odobrenega kanala. Nekdo obljubi plačilo pred odobritvijo zavarovalnice. Nekdo obnovi sisteme in prepiše forenzične dokaze. Nekdo stranke obvesti prezgodaj, prepozno ali z netočnimi dejstvi.
Politike Clarysec so zasnovane tako, da odpravijo to dvoumnost.
Za MSP Politika vlog in odgovornosti upravljanja za MSP določa preprosto pravilo:
“Vse pomembne varnostne odločitve, izjeme in eskalacije morajo biti evidentirane in sledljive.” Iz razdelka “Zahteve upravljanja”, klavzula politike 5.5.
Politika odzivanja na incidente za MSP za MSP dodeljuje pooblastilo za eskalacijo:
“Generalni direktor (GM) je odgovoren za odobritev vseh odločitev o eskalaciji incidentov, regulativnih obvestil in zunanjega komuniciranja.” Iz razdelka “Zahteve upravljanja”, klavzula politike 5.1.1.
Povezuje tudi incidente s podatki strank z regulativnimi obveznostmi:
“Kadar so vključeni podatki strank, mora generalni direktor oceniti zakonske obveznosti obveščanja glede na uporabljivost GDPR, NIS2 ali DORA.” Iz razdelka “Obravnava tveganj in izjeme”, klavzula politike 7.4.1.
Za večje organizacije Politika vlog in odgovornosti upravljanja zahteva takojšnjo eskalacijo, kadar lahko obstaja pravna izpostavljenost ali prijavljive kršitve podatkov:
“Pravna/regulativna eskalacija: incidenti, ki vključujejo morebitno pravno izpostavljenost ali prijavljive kršitve podatkov, se morajo nemudoma eskalirati pravni službi in funkciji skladnosti ter izvršnemu vodstvu.” Iz razdelka “Zahteve za izvajanje politike”, klavzula politike 6.4.3.
Politika odzivanja na incidente za večje organizacije določa izvršno pooblastilo med hudimi incidenti. Klavzula 4.6.1 določa, da je vloga ekipe izvršnega vodstva:
“Sprejemati strateške odločitve med incidenti visoke resnosti, vključno z odobritvijo obvestil in javnega komuniciranja.”
V kontekstu izsiljevalske programske opreme Clarysec obravnava razpravo o plačilu, odobritev pogajanj, obvestilo strankam, regulativno izjavo in javno komuniciranje kot strateške odločitve, ne kot tehnična dejanja.
Iz tega sledi praktično pravilo upravljanja: vodja informacijske varnosti lahko priporoča, ekipa za incidente lahko presoja, pravna služba lahko svetuje, finance lahko preverijo plačilne mehanizme, zavarovalnica lahko soglaša ali zavrne kritje, vendar mora odločitev glede na vnaprej določena pooblastila pripadati izvršnemu vodstvu ali upravnemu odboru.
Eskalacija, skladna s sankcijskimi omejitvami, pred kakršnimi koli pogajanji
Proces za izsiljevalsko programsko opremo, skladen s sankcijskimi omejitvami, se začne s prepovedjo: noben zaposleni, pogodbeni izvajalec, dobavitelj, posrednik, pogajalec ali član ekipe za odzivanje na incidente ne sme pogajati, obljubiti, omogočiti ali prenesti vrednosti akterju grožnje brez odobrenega pravnega pregleda.
Pravna kontrolna točka mora nastopiti pred vsakim aktivnim stikom z napadalcem, ne šele po tem, ko se pojavi naslov denarnice. Proces mora vključevati:
- Vključitev pravnega svetovalca pred kakršno koli komunikacijo, ki presega pasivno zajemanje dokazil.
- Identifikacijo akterja grožnje z uporabo forenzičnih, obveščevalnih in, kjer so na voljo, informacij organov pregona.
- Preverjanje sankcij in omejenih strank za imena skupin, vzdevke, naslove denarnic, infrastrukturo, posrednike in plačilne kanale.
- Obravnavo in evidentiranje posvetovanja z organi pregona.
- Obveščanje kibernetske zavarovalnice skladno s pogoji police pred imenovanjem dobaviteljev ali začetkom pogajanj.
- Vključitev DPO ali vodje zasebnosti, če so lahko vključeni osebni podatki.
- Potrditev plačilnih kontrol, ločevanja dolžnosti, preverjanj proti goljufijam in zahtev za odobritev upravnega odbora s strani CFO ali finančnega vodje.
- Evidentiranje izvršne odločitve z obravnavanimi alternativami, vključno z obnovitvijo, zajezitvijo, začasno ustavitvijo storitve, komunikacijo s strankami in zavrnitvijo plačila.
- Ohranjanje dokazil o komunikaciji z napadalcem, kazalnikih, podrobnostih denarnice, sestankih odločanja, odobritvah in zunanjih nasvetih.
Pri izsiljevalski programski opremi mora pravna evidenca vključevati najmanj naslednje vire obveznosti.
| Vir obveznosti | Vpliv na upravljanje plačila |
|---|---|
| Zahteve glede sankcij in finančnega kriminala | Brez pravnega preverjanja in dokumentirane odobritve ni pogajanj ali plačila. |
| Pogodba o kibernetskem zavarovanju | Obvestilo zavarovalnici, odobreni dobavitelji, predhodno soglasje, zahteve glede dokazil in pogoji kritja. |
| GDPR | Ocena kršitve varnosti osebnih podatkov, obvestilo nadzornemu organu, komunikacija s posamezniki, na katere se nanašajo osebni podatki, in zapisi odgovornosti. |
| NIS2 | Razvrstitev pomembnega incidenta, 24-urno zgodnje opozorilo, 72-urno obvestilo in končno poročilo v enem mesecu, kjer je primerno. |
| DORA | Razvrstitev večjega incidenta, povezanega z IKT, poročanje pristojnemu organu, komunikacija s strankami in analiza temeljnega vzroka po incidentu. |
| Pogodbe s strankami | Obvestilo o varnostnem incidentu, zaveze glede ravni storitev, pravice do revizije in obveznosti komuniciranja s strankami. |
| Pričakovanja organov pregona | Ohranjanje dokazil, obravnava komunikacije z napadalcem in evidence usklajevanja. |
Organizacije morajo določiti tudi, kdo lahko zaustavi odločanje o plačilu. Pravna služba, funkcija skladnosti, DPO, svetovalec za sankcije ali upravni odbor morajo imeti izrecno pooblastilo, da začasno ustavijo pogajanja ali plačilo, če je preverjanje nepopolno, dokazila nezanesljiva, pogoji zavarovalnice neizpolnjeni ali bi dejanje lahko kršilo zakon ali pogodbo.
Ohranjanje dokazil: med obnovo storitve ne uničite dokazov
Ekipe pri incidentih izsiljevalske programske opreme naravno hitijo z obnovitvijo poslovanja. Toda če obnovitev uniči dnevnike, posnetke, obvestila o odkupnini, vzorce zlonamerne programske opreme, slike pomnilnika ali sporočila napadalca, lahko organizacija izgubi zmožnost dokazati, kaj se je zgodilo.
V fazi Kontrole v praksi, korak 23, organizacijski ukrepi, Zenith Blueprint organizacijam nalaga, naj validirajo in testirajo zmožnosti upravljanja incidentov z opredelitvijo prijavljivih varnostnih dogodkov, dokumentiranjem odločanja in ohranjanjem forenzičnih dokazov. Ekipam naroča, naj:
“Zajamejo in evidentirajo vse odločitve, vloge in komunikacije (5.26) ter posodobijo načrt s pridobljenimi izkušnjami (5.27). Potrdijo, da so vzpostavljeni postopki za ohranjanje forenzičnih dokazov (5.28), vključno s posnetki dnevnikov, varnostnimi kopijami in varno izolacijo prizadetih sistemov.”
Isti korak A.5.28 pojasni z jezikom, ki ga razume vsak upravni odbor:
“to, kar lahko dokažete, je enako pomembno kot to, kar se je dejansko zgodilo”
Clarysecova Politika zbiranja dokazov in forenzike za večje organizacije poudarja, da morajo dokazila ostati sledljiva:
“Zapis verige skrbništva mora spremljati vse fizične ali digitalne dokaze od trenutka pridobitve do arhiviranja ali prenosa in mora dokumentirati:” Iz razdelka “Zahteve upravljanja”, klavzula politike 5.6.
Za MSP je Politika zbiranja dokazov in forenzike za MSP namerno praktična:
“Forenzična kopija ali izvoz mora biti vedno ustvarjen; izvirnega dokaza se nikoli ne sme neposredno urejati.” Iz razdelka “Zahteve za izvajanje politike”, klavzula politike 6.1.1.
Zahteva tudi pravno posvetovanje, kadar lahko obstaja kadrovski, pravni vpliv ali vpliv na stranke:
“Če incident vključuje morebiten vpliv na kadrovsko področje (HR), pravni vpliv ali vpliv na stranke, se mora generalni direktor pred nadaljevanjem uveljavljanja ukrepov ali eskalacijo posvetovati s pravnim svetovalcem.” Iz razdelka “Zahteve upravljanja”, klavzula politike 5.4.2.
Praktičen paket dokazil je treba odpreti med vrati 2. Ustvarite omejeno mapo dokazil incidenta. Izvozite časovnice SIEM, zaznave EDR, revizijske dnevnike v oblaku, prijavne dnevnike ponudnika identitet, stanje opravil varnostnega kopiranja, obvestila o odkupnini, posnetke zaslona, sporočila napadalca, naslove denarnic, vzorce datotek, sklice na pravno svetovanje, korespondenco z zavarovalnico in odločitve s sestankov. Dodelite skrbnika. Po potrebi evidentirajte zgoščene vrednosti. Administratorjem ne dovolite čiščenja prizadetih sistemov pred forenzičnim zajemom, razen če to zahtevajo varnost življenja, zaščita kritične storitve ali zajezitev, ki jo je odobrilo izvršno vodstvo.
En klasifikacijski delovni list za NIS2, DORA in GDPR
Incident izsiljevalske programske opreme lahko sproži več rokov. Izziv ni le poznavanje rokov. Izziv je vedeti, kdaj se je organizacija seznanila z incidentom, kaj je takrat vedela in kako so bile sprejete odločitve o razvrstitvi.
NIS2 Article 23 od bistvenih in pomembnih subjektov zahteva, da CSIRT ali pristojni organ brez nepotrebnega odlašanja obvestijo o pomembnih incidentih. Pomembnost je povezana s hudo operativno motnjo, finančno izgubo ali znatno materialno ali nematerialno škodo za druge. Fazni model vključuje zgodnje opozorilo v 24 urah, obvestilo v 72 urah, vmesne posodobitve, če so zahtevane, in končno poročilo v enem mesecu od obvestila o incidentu, kjer je primerno.
DORA od finančnih subjektov zahteva, da opredelijo in izvajajo upravljanje incidentov, povezanih z IKT, evidentirajo incidente in pomembne kibernetske grožnje, razvrščajo incidente po merilih, kot so prizadete stranke, trajanje, geografska razširjenost, izguba podatkov, kritičnost in ekonomski vpliv, ter pristojnim organom poročajo o večjih incidentih, povezanih z IKT, z začetnimi, vmesnimi in končnimi poročili.
GDPR postavlja drugačno, vendar prekrivajoče se vprašanje: ali je incident povzročil kršitev varnosti osebnih podatkov? Če jo je, ali je verjetno, da bo povzročila tveganje za posameznike? Če je prag za obvestilo dosežen, je treba obvestilo nadzornemu organu presoditi glede na 72-urni rok. Če obstaja veliko tveganje, je lahko potrebno tudi obveščanje posameznikov.
Clarysec priporoča uporabo enotnega klasifikacijskega delovnega lista za izsiljevalsko programsko opremo z ločenimi razdelki za vsak režim.
| Področje razvrstitve | Primer vprašanja pri izsiljevalski programski opremi | Izhod |
|---|---|---|
| Operativni vpliv | Ali so kritične storitve motene ali je verjetno, da bodo motene? | Vhodni podatek za pomembnost po NIS2 in kritičnost po DORA |
| Finančni vpliv | Ali je incident povzročil ali bi lahko povzročil znatno finančno izgubo? | Vhodni podatek za resnost po NIS2 in DORA |
| Vpliv na stranke | Ali so prizadeti prejemniki storitev, stranke, nasprotne stranke ali transakcije? | Vhodni podatek za NIS2, DORA in pogodbena obvestila |
| Osebni podatki | Ali je bil do osebnih podatkov omogočen dostop, so bili odtujeni, spremenjeni, uničeni ali nedostopni? | Vhodni podatek za oceno kršitve po GDPR |
| Občutljivost podatkov | Ali prizadeti podatki vključujejo posebne vrste podatkov, poverilnice, finančne podatke, osebne dokumente ali podatke otrok? | Vhodni podatek za tveganje in komunikacijo po GDPR |
| Čezmejni vpliv | Ali je prizadetih več držav članic, jurisdikcij, strank ali lokacij storitev? | Vhodni podatek za poročanje po NIS2 in DORA |
| Stopnja zanesljivosti dokazil | Katera dejstva so potrjena, domnevna ali neznana? | Podlaga za fazno poročanje in posodobitve |
Ta pristop ustreza klavzulam ISO 27001 o oceni tveganja, obravnavi tveganja in dokumentiranih informacijah. Usklajen je tudi z NIST CSF 2.0. Funkcija GOVERN v NIST CSF 2.0 pričakuje, da organizacije razumejo zainteresirane strani, zakonske in regulativne obveznosti, apetit po tveganju, vloge, politike, nadzor in tveganja tretjih oseb. Njeni rezultati na področjih zaznavanja, odziva in obnovitve podpirajo razglasitev incidenta, analizo, usklajevanje odziva, obveščanje zainteresiranih strani, izvajanje obnovitve in preverjanje obnovitve.
Za finančne subjekte lahko DORA deluje kot sektorski režim kibernetske varnosti za prekrivajoče se obveznosti NIS2, vendar to ne odpravlja potrebe po razumevanju uporabljivosti NIS2 za subjekte v skupini, ponudnike IKT, upravljane storitve ali odvisnosti od storitev v oblaku. Praktičen odgovor ni vzdrževanje ločenih priročnikov. Praktičen odgovor je en model dokazil ISMS, preslikan na vse relevantne obveznosti.
Kibernetsko zavarovanje in usklajevanje z dobavitelji sta kontroli upravljanja
Kibernetsko zavarovanje je lahko dragoceno, vendar ni strategija za izsiljevalsko programsko opremo. Je mehanizem prenosa tveganja s pogoji. Med dogodkom izsiljevalske programske opreme lahko zavarovalnica zahteva takojšnje obvestilo, uporabo ponudnikov s seznama zavarovalnice, predhodno odobritev pogajanj, ohranjanje dokazil, dokaz o odpovedi varnostnih kopij, dokaz o razumnih kontrolah in pravni pregled pred kakršno koli obravnavo plačila.
DORA tveganje tretjih oseb na področju IKT postavlja kot prvovrstno področje skladnosti. NIS2 Article 21 zahteva tudi varnost dobavne verige in upoštevanje ranljivosti dobaviteljev ter njihovih praks kibernetske varnosti. ISO 27001 podpira isto logiko prek kontrol za dobavitelje in oblak, kot so A.5.19 do A.5.23, skupaj s kontrolami incidentov, neprekinjenega poslovanja in pravnimi kontrolami.
Zenith Controls povezuje pripravo na incidente z zunanjimi partnerji, vključno s forenzičnimi podjetji, pravno službo, PR in stikom z organi. Z vidika presoje se lahko odsotnost vnaprej določenih zunanjih partnerjev obravnava kot vrzel v pripravljenosti, ker lahko med dejanskim incidentom zakasni odziv.
Za upravljanje plačila odkupnine pri izsiljevalski programski opremi Clarysec priporoča vnaprejšnjo ureditev:
- Pogodbe o pripravljenosti forenzičnega ponudnika ali pogojev hitrega odziva.
- Razpoložljivosti zunanjega pravnega svetovalca za kršitve, sankcije in strategijo privilegiranosti.
- Poti obveščanja kibernetske zavarovalnice in seznama odobrenih dobaviteljev.
- Eskalacijske poti ponudnika oblaka za posnetke, dnevnike, izolacijo in obnovitev.
- Postopkov sodelovanja pri incidentih z MSSP ali MDR.
- Postopka pregleda PR in kriznega komuniciranja.
- Bančnih ali finančnih odobritvenih kontrol za vsako izredno plačilo.
- Protokola za stik z organi pregona.
To se dobro preslika na rezultate NIST CSF 2.0 za dobavno verigo, vključno z vlogami in odgovornostmi dobaviteljev, skrbnim pregledom, pogodbenimi zahtevami kibernetske varnosti, usklajevanjem dobaviteljev pri incidentih in dejavnostmi po prenehanju.
Praktičen priročnik za eskalacijo plačila odkupnine pri izsiljevalski programski opremi
Pet vrat je mogoče prevesti v operativni priročnik. Vsak korak mora biti dokumentiran, imeti lastnika in biti izvajan v vajah.
| Faza | Ključno dejanje | Odgovorna vloga | Ključne kontrole ISO 27001:2022 | Dokazilo ali izhod |
|---|---|---|---|---|
| 1. Triaža in razglasitev | Oceniti dogodek glede na merila, razglasiti pomemben ali večji incident, aktivirati ekipo za odziv | vodja SOC, vodja incidenta | A.5.24, A.5.25 | Zahtevek incidenta, dnevnik razglasitve, začetno poročilo o stanju |
| 2. Analiza vpliva na poslovanje | Kvantificirati operativni vpliv, oceniti položaj RTO/RPO, določiti kritičnost podatkov in storitev | lastniki poslovnih procesov, vodja informacijske varnosti, vodja BC/DR | A.5.29, A.5.30, A.8.13 | Analiza vpliva na poslovanje, ugotovitve o celovitosti varnostnih kopij |
| 3. Ohranjanje dokazil | Izvoziti dnevnike, ohraniti sisteme, zavarovati dokazila in vzdrževati verigo skrbništva | vodja forenzike, ekipa za odzivanje na incidente | A.5.28, A.8.15, A.8.16 | Forenzične slike, izvozi dnevnikov, zapis verige skrbništva |
| 4. Pravna preveritev in preverjanje sankcij | Vključiti pravnega svetovalca, identificirati akterja grožnje, preveriti sankcije, oceniti obveznosti poročanja | pooblaščenec za pravne zadeve, DPO, funkcija skladnosti, zunanji pravni svetovalec | A.5.31, A.5.34, A.6.3 | Pravno mnenje, zapis preverjanja sankcij, delovni list poročanja |
| 5. Usklajevanje z zavarovalnico in dobavitelji | Obvestiti zavarovalnico, potrditi odobrene dobavitelje, uskladiti podporo oblaka, MSSP in forenzike | vodja informacijske varnosti, pravna služba, upravljavec dobaviteljev | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | Soglasje zavarovalnice, zahtevki pri dobaviteljih, dnevnik ukrepov dobaviteljev |
| 6. Povzetek za izvršno odločitev | Predstaviti možnosti, tveganja, pravno stališče, izvedljivost obnovitve, vpliv na komunikacije in položaj zavarovalnice | vodja incidenta, vodja informacijske varnosti, pravna služba, CFO | A.5.1, A.5.2, A.5.26, A.5.31 | Dokument za odločanje o izsiljevalski programski opremi |
| 7. Odobritev in dokumentiranje | Izvršni organ odloči, ali se bo pogajal, zavrnil plačilo, plačal ali izvedel alternativne ukrepe | CEO, izvršno vodstvo, upravni odbor | A.5.2, A.5.3, A.5.26, A.5.31 | Podpisan zapis odločitve, sprejem tveganja, dnevnik ukrepov |
| 8. Zaključek in izboljšave | Izvesti analizo temeljnega vzroka, pridobljene izkušnje in posodobitve kontrol | vodja ISMS, vodja informacijske varnosti, notranja revizija | A.5.27, klavzula ISO 27001 10.2 | Poročilo o pridobljenih izkušnjah, načrt korektivnih ukrepov, posodobljeni zapisi ISMS |
Cilj ni zagotoviti udobne odločitve. Morda udobne odločitve sploh ni. Cilj je zagotoviti, da je odločitev odobrena, utemeljena na dokazilih, pravno informirana in zagovorljiva.
90-minutna namizna vaja, ki dokaže pripravljenost
Najpreprostejši način za testiranje upravljanja plačila odkupnine pri izsiljevalski programski opremi ni tehnična vaja red team. To je namizna vaja odločanja.
Uporabite Zenith Blueprint, fazo Kontrole v praksi, korak 23, za validacijo zmožnosti upravljanja incidentov. Izberite scenarij izsiljevalske programske opreme in izvedite časovno omejeno vajo. Cilj ni vnaprej odločiti, da bi organizacija plačala ali nikoli plačala. Cilj je dokazati, da lahko organizacija pride do upravljane odločitve.
Scenarij: v oblaku gostovana podatkovna baza strank je šifrirana, napadalec trdi, da je podatke odtujil, varnostne kopije obstajajo, vendar njihova celovitost še ni testirana, zavarovalnica ni bila obveščena, napadalec pa zagotovi naslov denarnice z 48-urnim rokom.
Kontrolni seznam vaje:
- Razglasite incident in dodelite vodjo incidenta.
- Odprite dnevnik odločanja o izsiljevalski programski opremi.
- Razvrstite dogodek z merili A.5.25.
- Identificirajte prizadeta sredstva in poslovne storitve.
- Ugotovite, ali so vključeni osebni podatki.
- Sprožite delovne tokove presoje po GDPR, NIS2, DORA in pogodbah.
- Obvestite pravno službo, DPO, izvršno vodstvo, zavarovalnico in forenzičnega ponudnika.
- Ohranite dokazila pred destruktivnimi dejanji obnovitve.
- Preverite celovitost varnostnih kopij in možnosti obnovitve.
- Izvedite preverjanje sankcij pred kakršnimi koli pogajanji.
- Evidentirajte, ali je potrebno posvetovanje z organi pregona.
- Pripravite začetne izjave za stranke in regulatorje.
- Predstavite možnosti odločanja izvršnemu organu.
- Evidentirajte odločitev, utemeljitev, nestrinjanja, odobritve in naslednje ukrepe.
- Načrtujte pregled po incidentu in ukrepe za izboljšanje kontrol.
Izhod mora biti popoln sveženj dokazil: seznam udeležencev, časovnica, klasifikacijski delovni list, dnevnik odločanja, osnutki komunikacij, pravne naloge, naloge za zavarovalnico, ugotovitve o varnostnih kopijah in pridobljene izkušnje. Tak sveženj je revizijsko zlato, ker prikazuje delovanje upravljanja pred resnično krizo.
Kako bodo presojevalci in regulatorji testirali proces
Presojevalci z različnih področij bodo isti proces za izsiljevalsko programsko opremo pregledovali skozi različne vidike.
| Vidik presojevalca | Kaj bodo zahtevali | Kako izgledajo dobra dokazila |
|---|---|---|
| Presojevalec ISO 27001:2022 | Ali so načrtovanje incidentov, presoja dogodkov, odziv, dokazila, zakonske zahteve in pridobljene izkušnje nadzorovani? | Načrt odzivanja na incidente, preslikava SoA, register tveganj, zapisi namiznih vaj, postopek dokazil, dnevniki odločanja, rezultati vodstvenega pregleda |
| Presojevalec ISMS po pristopu ISO/IEC 27007 | Ali ljudje razumejo svoje vloge in ali zapisi dokazujejo delovanje? | Intervjuji z vodjo informacijske varnosti, pravno službo, DPO, SOC, izvršnim vodstvom ter vzorčeni zahtevki incidentov in evidence eskalacij |
| Ocenjevalec, usklajen z NIST | Ali so upravljanje, zaznavanje, odziv, komunikacije in rezultati obnovitve integrirani? | Profil CSF, register tveganj, pravila spremljanja, merila razglasitve incidenta, komunikacije z zainteresiranimi stranmi, preverjanje obnovitve |
| Presojevalec COBIT 2019 ali ISACA | Ali obstajajo lastništvo vodstva, nadzor procesa, zadostnost dokazil in nenehno izboljševanje? | RACI, procesni kazalniki, poročanje o skladnosti, pregled po incidentu, sledenje korektivnim ukrepom |
| Presojevalec, osredotočen na DORA | Ali so incidenti IKT razvrščeni, eskalirani, prijavljeni, obnovljeni in izboljšani v okviru IKT-tveganj? | Merila razvrščanja incidentov, poročanje organu vodenja, dokazila komunikacije s strankami, analiza temeljnega vzroka, testiranje odpornosti |
| Presojevalec GDPR/zasebnosti | Ali je bila ocena kršitve varnosti osebnih podatkov pravočasna, temelječa na tveganju in dokumentirana? | Obrazec ocene kršitve, vključenost DPO, odločitev glede nadzornega organa, utemeljitev komunikacije s posamezniki, evidence konteksta obdelave |
Zenith Controls zagotavlja podrobno revizijsko metodologijo za A.5.24, A.5.25 in A.5.31. Pri A.5.24 presojevalci preverijo načrt odzivanja na incidente, razvrstitve resnosti, vloge, sezname kontaktov, navodila za regulativno poročanje, vaje in ureditve z zunanjimi partnerji. Pri A.5.25 pregledajo, ali obstajajo merila razvrščanja dogodkov, ali zapisi obravnave opozoril izkazujejo preiskavo in odločitve o eskalaciji, ali se uporabljajo SIEM in obveščevalni podatki o grožnjah ter ali so vključene ekipe DPO ali pravne službe, kadar so lahko prizadeti osebni podatki. Pri A.5.31 presojevalci iščejo pravne evidence, preslikavo skladnosti, dokazila o pregledu, pokritost notranje revizije in poročanje višjemu vodstvu.
Revizijsko tveganje ni le v tem, da je organizacija plačala ali zavrnila plačilo. Revizijsko tveganje je, da nihče ne more dokazati, kako je bila odločitev sprejeta.
Od izsiljevanja do izboljšanja kontrol
Upravljanje izsiljevalske programske opreme se ne konča, ko so sistemi obnovljeni. ISO 27001 pričakuje nenehno izboljševanje. A.5.27 učenje iz incidentov informacijske varnosti je osrednji del tega pričakovanja. DORA zahteva analizo temeljnega vzroka in dodatne kontrole. Končno poročanje po NIS2 pričakuje omilitvene ukrepe in verjeten temeljni vzrok, kjer je primerno. Odgovornost po GDPR pričakuje dokumentacijo odločitev in varovalnih ukrepov.
Vsak pregled po incidentu izsiljevalske programske opreme mora odgovoriti:
- Ali so bili roki poročanja pravilno identificirani?
- Ali je pooblastilo za odločanje delovalo, kot je bilo zasnovano?
- Ali sta bila pravni pregled in pregled sankcij dovolj zgodnja?
- Ali je usklajevanje z zavarovalnico pomagalo ali upočasnilo odziv?
- Ali so bile varnostne kopije popolne, ločene, obnovljive in testirane?
- Ali so bili dnevniki zadostni za presojo dostopa in odnašanja podatkov?
- Ali so se dobavitelji odzivali skladno s pogodbo?
- Ali so bile komunikacije s strankami točne in pravočasne?
- Ali je izvršno vodstvo prejelo prave informacije ob pravem času?
- Katere kontrole, politike, pogodbe ali usposabljanja je treba spremeniti?
Ti odgovori morajo posodobiti register tveganj, izjavo o uporabnosti, načrt odzivanja na incidente, strategijo varnostnega kopiranja, pogodbe z dobavitelji, komunikacijski načrt in program usposabljanja.
V fazi temeljev in vodenja ISMS, korak 5, Zenith Blueprint poudarja načrtovanje zunanjega komuniciranja, vključno z identifikacijo strank, regulatorjev, partnerjev in javnosti, določanjem, kaj in kdaj komunicirati, ter opredelitvijo, kdo komunicira. Pri izsiljevalski programski opremi ta korak postane most med tehničnim odzivom in ohranjanjem zaupanja.
Zapis odločitve pripravite pred obvestilom o odkupnini
Najboljši čas za upravljanje odločitve o odkupnini je, preden napadalec postavi rok.
Če vaš priročnik za izsiljevalsko programsko opremo ne določa pooblastila za odločanje, pravnega pregleda, preverjanja sankcij, odobritve zavarovalnice, ohranjanja dokazil, razvrstitve po NIS2 in DORA, ocene kršitve po GDPR in dokumentacije na ravni upravnega odbora, ima organizacija vrzel v upravljanju, ki čaka na krizo.
Clarysec organizacijam pomaga to zmožnost vgraditi v ISMS z uporabo:
- Zenith Blueprint: 30-koračni načrt presojevalca za fazno implementacijo ISO 27001, obravnavo tveganja, načrtovanje komunikacij in validacijo zmožnosti obravnave incidentov.
- Zenith Controls: vodnik za navzkrižno skladnost za preslikavo kontrol ISO 27001 na NIS2, DORA, GDPR, NIST CSF, COBIT 2019, ISO/IEC 27035, ISO/IEC 27701, ISO/IEC 27005 in revizijska dokazila.
- Politike Clarysec za večje organizacije in MSP, vključno s Politiko odzivanja na incidente, Politiko odzivanja na incidente za MSP, Politiko zbiranja dokazov in forenzike, Politiko zbiranja dokazov in forenzike za MSP, Politiko vlog in odgovornosti upravljanja, Politiko vlog in odgovornosti upravljanja za MSP in Politiko upravljanja tveganj.
- Praktične predloge namiznih vaj za izsiljevalsko programsko opremo, dnevnike odločanja, matrike pravne eskalacije, pakete dokazil in delovne liste za poročanje o navzkrižni skladnosti.
Ne čakajte na klic ob 3. uri zjutraj, da ugotovite, kdo lahko odloči. Preglejte svoj načrt odzivanja na incidente glede na Clarysecovih pet vrat, izvedite 90-minutno namizno vajo o plačilu odkupnine pri izsiljevalski programski opremi in vzpostavite zapis odločanja, skladen s sankcijskimi omejitvami in pripravljen na presojo, ki vzdrži pregled regulatorjev, zavarovalnic in vašega upravnega odbora.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council