Art. 23 NIS 2

Útoky DDoS podle NIS 2

Detekční signály, vrstvy zmírnění a rozhodnutí o hlášení podle článku 23 NIS 2 a článku 11 odst. 6 CIR 2024/2690.

Simon OrzelSimon Orzel·

Proč DDoS sedí přímo uvnitř článku 23

Distribuovaný útok na odepření služby zahlcuje cíl provozem z mnoha zdrojů tak, aby se k službě nemohli dostat legitimní uživatelé. Podle NIS 2 je technická kategorie méně zajímavá než účinek. Jakmile DDoS měřitelně zhorší nebo přeruší službu, kterou subjekt poskytuje, článek 23 NIS 2 z něj činí ohlašovatelnou událost s pevnou kaskádou.

Článek 11 odst. 6 prováděcího nařízení Komise (EU) 2024/2690 (CIR) jmenuje odepření služby výslovně jako jednu z kategorií, která se pro digitální infrastrukturu a poskytovatele služeb IKT považuje za významný incident. Pro ostatní zásadně významné a významné subjekty platí obecný test významnosti v článku 23 odst. 3 NIS 2. Dopad na dostupnost služby je v obou případech dominantním spouštěčem.

Subjekt, který provozuje webovou stránku, API, online portál, platební bránu, DNS resolver nebo jakoukoli jinou službu vystavenou internetu, obvykle dosáhne prahu pro hlášení rychleji, než stihne navýšit obranu. Právní kaskáda proto začíná běžet souběžně se zmírněním, nikoli po něm.

Právní kotva
Směrnice EU, prováděcí nařízení EU a německý transpoziční příklad. Vrstva EU je závazná napříč všemi členskými státy.

Směrnice EU (závazná napříč Unií)

Členské státy zajistí, aby zásadně významné a významné subjekty předkládaly CSIRT nebo, je-li to relevantní, příslušnému orgánu: a) bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy se o významném incidentu dozvěděly, včasné varování; b) bez zbytečného odkladu a v každém případě do 72 hodin od okamžiku, kdy se o významném incidentu dozvěděly, oznámení incidentu; c) průběžnou zprávu o relevantních aktualizacích stavu na žádost CSIRT nebo, je-li to relevantní, příslušného orgánu; d) závěrečnou zprávu nejpozději jeden měsíc po předložení oznámení incidentu podle písmene b); e) v případě probíhajícího incidentu v době předložení závěrečné zprávy uvedené v písmeni d) členské státy zajistí, aby dotčené subjekty v té době poskytly zprávu o pokroku a závěrečnou zprávu do jednoho měsíce od zvládnutí incidentu.

Článek 23 odst. 4 NIS 2. Hodiny pro hlášení začínají v okamžiku, kdy se subjekt o významném incidentu dozví, nikoli když zmírnění začíná nebo končí. DDoS, který stále probíhá v okamžiku jednoho měsíce, spouští variantu zprávy o pokroku v písmeni e).

Prováděcí nařízení EU (závazný technický detail)

Útok na odepření služby nebo distribuovaný útok na odepření služby se považuje za významný incident pro subjekty poskytující služby digitální infrastruktury a subjekty poskytující správu služeb IKT, pokud útok způsobí úplnou nedostupnost služby nebo významné zhoršení služby.

Článek 11 odst. 6 prováděcího nařízení Komise (EU) 2024/2690. CIR se uplatňuje přímo na poskytovatele služeb DNS, registry jmen TLD, poskytovatele služeb cloud computingu, poskytovatele služeb datových center, poskytovatele sítí pro doručování obsahu, poskytovatele řízených služeb, poskytovatele řízených bezpečnostních služeb, poskytovatele online tržišť, internetových vyhledávačů a služeb sociálních sítí. Pro tyto typy subjektů je DoS nebo DDoS s úplnou nedostupností nebo významným zhoršením jmenovitě významný.

Vnitrostátní příklad (Německo)

Wesentliche und wichtige Einrichtungen melden dem Bundesamt erhebliche Sicherheitsvorfälle. Die Meldung erfolgt unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme als Frühwarnung, innerhalb von 72 Stunden als Meldung mit erster Bewertung und innerhalb eines Monats als Abschlussbericht.

§ 32 BSIG (NIS2UmsuCG). Německá transpozice zrcadlí kaskádu podle článku 23 odst. 4 doslovně. Zprávy jdou k BSI přes Meldeportal. Ostatní členské státy používají vlastní vnitrostátní CSIRT nebo směrování příslušného orgánu. Podstata je totožná.

Tři provozní prvky
Detekce, zmírnění a hlášení běží během události DDoS souběžně. Každý má vlastní rozhodovací kritéria.
Detekce

Detekční signály na úrovni SOC

Typické indikátory zachycené síťovým monitorováním nebo SOC zahrnují náhlý nárůst objemu příchozího provozu, pokles poměru úspěšných požadavků, abnormální počty spojení na hraničních zařízeních, příval identických user agentů nebo dotazovacích vzorů, zvýšenou latenci nebo ztrátu paketů na perimetrových linkách a výstrahy o saturaci od poskytovatelů upstream. V kombinaci s měřitelným poklesem dostupnosti služby tyto indikátory mění událost v incident ve smyslu článku 6 odst. 6 NIS 2.

Zmírnění

Běžně používané vrstvy zmírnění

Běžné vzorce zmírnění zahrnují filtrování provozu upstream u poskytovatele internetových služeb, čištění (scrubbing) přes službu ochrany DDoS třetí strany, omezování rychlosti a škrcení spojení na hraně, anycast a geografickou distribuci, blackholing nebo null-routing zdrojů útoku na úrovni operátora a ochrany na aplikační vrstvě, jako je správa botů. Vrstvená obrana je zde popsána, nikoli doporučena; přiměřená kombinace závisí na posouzení rizik subjektu podle článku 21 NIS 2.

Hlášení

Rozhodnutí o hlášení podle článku 23

Jakmile je dostupnost služby zasažena způsobem, který splňuje článek 23 odst. 3 NIS 2 nebo, pro subjekty digitální infrastruktury, článek 11 odst. 6 CIR, začíná kaskáda: včasné varování do 24 hodin, oznámení incidentu do 72 hodin, průběžná zpráva na žádost, závěrečná zpráva do jednoho měsíce, zpráva o pokroku, pokud incident v okamžiku jednoho měsíce stále probíhá.

Dvě strukturální zásady
Obě pocházejí z textu směrnice a utvářejí způsob klasifikace DDoS.

Spouštěčem je dopad na službu, nikoli objem útoku

Článek 23 odst. 3 NIS 2 definuje významnost prostřednictvím účinku na službu: vážné narušení provozu, finanční ztráta nebo materiální či nemateriální škoda jiným fyzickým nebo právnickým osobám. Útok o objemu 500 Gbps, který je plně absorbován, není sám o sobě významným incidentem. Útok o objemu 5 Gbps, který na hodinu odstaví portál, obvykle ano. Test podle § 11 odst. 6 CIR pro subjekty digitální infrastruktury je ještě přímější: úplná nedostupnost nebo významné zhoršení.

DDoS často maskuje událost druhé fáze

Objemové útoky se někdy používají jako krytí pro credential stuffing, exfiltraci dat nebo nasazení ransomwaru. Přezkum po incidentu vyžadovaný článkem 23 odst. 4 písm. d) NIS 2 v závěrečné zprávě obvykle rozlišuje mezi viditelnou událostí dostupnosti a jakoukoli sekundární událostí přístupu nebo integrity zjištěnou během záplavy nebo po ní.

Vnitrostátní provozní vrstva
Směrnice je právem EU. Vnitrostátní orgány zajišťují příjem na CSIRT, spolupráci s poskytovateli internetových služeb a technické pokyny.
DE

BSI jako vnitrostátní CSIRT a kontaktní místo pro hlášení

V Německu BSI přijímá zprávy podle článku 23 přes Meldeportal podle § 32 BSIG. BSI rovněž vydává pokyny pro zvládání incidentů, jako je BSI-Standard 200-4 (BCM) a provozní technické poznámky; jde o pokyny, nikoli o dodatečné povinnosti hlášení. Ostatní členské státy mají paralelní struktury (NCSC-NL, ANSSI, NCSC-IE a tak dále).

EU

Spolupráce s poskytovateli internetových služeb a filtrování upstream

Poskytovatelé internetových služeb mohou absorbovat nebo filtrovat provoz útoku dříve, než dosáhne hrany zákazníka. V Německu poskytovatelé elektronických komunikací působí podle TKG a spolupracují s BSI na reakci na hrozby; BSI TR-03103 pokrývá technická rozhraní pro některé kategorie. Podstatné pro hlásící subjekt je, že zmírnění ze strany poskytovatele internetových služeb neodstraňuje povinnost hlášení podle článku 23, pokud byla služba již zasažena.

EU

Technické pokyny ENISA a prostředí hrozeb

ENISA zveřejňuje výroční zprávu o prostředí hrozeb (Threat Landscape) a pokyny pro reakci na incidenty podle článku 18 NIS 2. Threat Landscape 2024 potvrzuje DDoS jako jednu z nejčastěji pozorovaných kategorií hrozeb napříč sektory EU. Dokumenty ENISA jsou referenčním materiálem; kaskádu podle článku 23 nemění.

Běžná úskalí
Vzorce vídané opakovaně v rozborech DDoS napříč subjekty NIS 2.
  • Poskytovatel internetových služeb to řeší, takže není třeba nic hlásit

    Filtrování na straně poskytovatele internetových služeb snižuje dopad, ale nemění právní spouštěč. Pokud byla služba nedostupná nebo významně zhoršená mezi začátkem útoku a zmírněním ze strany poskytovatele, je v hře článek 23 odst. 3 NIS 2 nebo článek 11 odst. 6 CIR. Kaskáda hlášení běží souběžně s reakcí na úrovni operátora.

  • Léčit jen příznak stačí

    Omezování rychlosti a čištění zastaví záplavu, ale zřídka určí, zda byl DDoS odvedením pozornosti. Přezkum po incidentu, který nezkontroluje protokoly ověřování, anomálie odchozího provozu a změny konfigurace během okna útoku, ponechá sekundární událost neodhalenou. Závěrečná zpráva podle článku 23 odst. 4 písm. d) je zdokumentovaným kontrolním bodem pro tohle.

  • Jakmile se provoz znormalizuje, incident je uzavřen

    Článek 23 odst. 4 písm. d) NIS 2 vyžaduje závěrečnou zprávu do jednoho měsíce od oznámení incidentu. Tato zpráva pokrývá hlavní příčinu, přijaté zmírnění a získané poznatky. Subjekt, který uzavře tiket v okamžiku, kdy provoz klesne, obvykle nemá co předložit, což je samo o sobě zdokumentovaný nesoulad.

Poznámky provozovatele

Dva provozní návyky oddělují subjekty, které DDoS zvládají čistě, od těch, které panikaří. Za prvé, hodiny pro hlášení a hodiny pro zmírnění se sledují odděleně. Zmírnění může trvat hodiny; včasné varování do 24 hodin má vlastního vlastníka a šablonu připravenou před událostí. Za druhé, přezkum po incidentu se naplánuje v okamžiku detekce, nikoli na konci záplavy. Slot v kalendáři 25 dní po detekci vynutí napsání závěrečné zprávy, i u tichého incidentu.

DNS a konfigurace hrany záleží více než rozhodnutí v době útoku. Anycast směrování, oddělení autoritativní poskytovatelé DNS, vyzkoušené ujednání o filtrování upstream s poskytovatelem internetových služeb a zdokumentovaná kontaktní cesta na NOC operátora jsou obvykle na místě dlouho předtím, než dorazí první paket útoku. Totéž platí pro šablony zpráv: pole včasného varování a oznámení vyžadovaná podle § 32 BSIG a ekvivalentních vnitrostátních portálů jsou natolik statická, aby se dala předvyplnit.

Jak to nisd2.eu podporuje

Modul incidentů na nisd2.eu nese kaskádu podle článku 23 odst. 4 jako strukturovaný pracovní postup: včasné varování v 24 h, oznámení incidentu v 72 h, průběžná zpráva na žádost, závěrečná zpráva v jednom měsíci, varianta zprávy o pokroku, pokud incident stále probíhá. Platforma opatřuje každý krok časovým razítkem proti okamžiku zjištění, nikoli proti okamžiku útoku, což je to, co směrnice měří.

Odkazy na aktiva u incidentu propojují zasaženou službu se záznamy v inventáři aktiv vybudovaném podle RSK 2.2, takže přezkum po incidentu může vysledovat, která aktiva, dodavatelé a procesy byli zapojeni, aniž by se kontext budoval od nuly.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), článek 6 odst. 6 (definice incidentu), článek 21 (opatření řízení rizik), článek 23 (hlášení). EUR-Lex: eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Prováděcí nařízení Komise (EU) 2024/2690, článek 11 odst. 6 (odepření služby jmenováno jako významný incident pro digitální infrastrukturu a poskytovatele služeb IKT). EUR-Lex: eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSIG (NIS2UmsuCG), § 32 (povinnosti hlášení vůči BSI). gesetze-im-internet.de
  • BSI Meldeportal a provozní pokyny k hlášení incidentů. bsi.bund.de
  • ENISA Threat Landscape 2024, kapitola o DDoS. enisa.europa.eu
  • BSI-Standard 200-4 (řízení kontinuity provozu). bsi.bund.de
  • BSI TR-03103 (série technických směrnic). bsi.bund.de
Nejprve zkontrolujte použitelnost
Článek 23 se vztahuje pouze na zásadně významné a významné subjekty v působnosti NIS 2. Dvouminutová kontrola použitelnosti potvrdí, zda je daný subjekt pokryt.