Reakce na ransomware podle NIS 2
Mechanika prvních 24 hodin: co zadržet, komu to říct a co směrnice skutečně vyžaduje.
Co je tato stránka
Ransomware není samostatná regulatorní kategorie. NIS 2 s ním zachází jako s jedním významným incidentem mezi ostatními. Prováděcí nařízení Komise (EU) 2024/2690 uvádí ransomware výslovně v příloze, oddílu 11.6 jako uznaný typ významného incidentu pro subjekty digitální infrastruktury, ale povinnosti sedí v článku 21 (opatření k řízení rizik) a článku 23 (kaskáda hlášení) samotné směrnice.
Stránka je napsána pro jednatele, IT vedoucího nebo CISO ve společnosti s 50 až 250 zaměstnanci, který byl buď právě zasažen, nebo chce vědět, jak by měly vypadat první hodiny. Není to právní rada a není to náhrada za smlouvu o reakci na incidenty. Je to právní mechanika kolem technické práce.
Jediná nejužitečnější věta: zadržení, hlášení, rozhodnutí vedení a orgány činné v trestním řízení běží souběžně, nikoli za sebou. Směrnice vám nedovoluje dokončit jedno, než začnete další.
Směrnice (EU) 2022/2555 (NIS 2)
Článek 21 odst. 2 písm. c): politiky a postupy týkající se kontinuity provozu, jako je správa záloh a obnova provozu po havárii, a krizové řízení. Článek 21 odst. 2 písm. i): politiky a postupy týkající se používání kryptografie a případně šifrování.
Článek 21 odst. 2 písm. c) je místo, kde žije povinnost obnovitelné zálohy. Testem není existence zálohy. Je jím obnovitelnost za podmínek útoku. Článek 21 odst. 2 písm. i) pokrývá nastavení šifrování, které rozhoduje, zda útočník čte vše, čeho se dotkne. Článek 23 poté stanoví čtyřstupňovou kaskádu hlášení: včasné varování do 24 hodin, oznámení o incidentu do 72 hodin, průběžnou zprávu na vyžádání, závěrečnou zprávu do jednoho měsíce.
Prováděcí nařízení Komise (EU) 2024/2690
Příloha, oddíl 11.6 uvádí ransomware mezi scénáři incidentů, které představují významný incident pro subjekty poskytující služby digitální infrastruktury.
CIR je závazné bez vnitrostátní transpozice a říká vám, co se počítá za významné u typů subjektů, které pokrývá (v podstatě 11 kategorií digitální infrastruktury a digitálních služeb). U sektorů mimo jeho působnost se stále uplatní test významnosti podle článku 23 odst. 3 NIS 2: vážné narušení provozu, finanční ztráta nebo věcná či nehmotná škoda jiným. Ransomware, který zamkne výrobu, tento test téměř vždy splňuje.
BSIG (Německo)
§30 BSIG: technická a organizační opatření přiměřená riziku. §32 BSIG: oznámení BSI prostřednictvím Meldeportal na bsi.bund.de. §44 BSIG: spolupráce BSI s orgány činnými v trestním řízení.
BSIG je německý transpoziční příklad. NL a AT mají vlastní. Kaskáda 24 / 72 hodin / průběžná / jeden měsíc je na úrovni směrnice a je ve všech členských státech identická. Kanál hlášení je vnitrostátní: v Německu Meldeportal BSI, samostatně dozorový úřad pro ochranu osobních údajů podle článku 33 GDPR, jsou-li zapojeny osobní údaje, a opět samostatně zemský úřad kriminální policie (LKA) nebo BKA, chcete-li trestní vyšetřování.
Technické zadržení a forenzní zajištění
Izolujte zasažené segmenty, aniž byste je mazali. Jediná nejčastější chyba v panice je vypnout a přeinstalovat dříve, než je pořízen jakýkoli obraz, což zničí jak důkazy, které BSI a orgány činné v trestním řízení potřebují, tak indikátory kompromitace, které vám řeknou, čeho dalšího se útočník dotkl. Odpojte od sítě, nevypínejte. Pořiďte obrazy paměti a disků před nápravou. Spusťte obnovu z nejnovější ověřené čisté zálohy na izolované infrastruktuře. Článek 21 odst. 2 písm. c) NIS 2 vyžaduje, aby záloha byla obnovitelná, nikoli jen přítomná. Jediným nejčastějším režimem selhání u auditovaných incidentů jsou zálohy, které byly online a byly zašifrovány spolu s produkcí.
Rozhodnutí řídícího orgánu
Článek 20 NIS 2 činí řídící orgán odpovědným. V živém ransomwarovém incidentu jsou tři rozhodnutí, která může podepsat pouze řídící orgán: prohlásit významný incident podle článku 23, schválit výdaje na externí reakci na incidenty a odmítnout nebo zvážit jakýkoli požadavek na výkupné. Rozhodnutí a odůvodnění musí být zdokumentováno v reálném čase. Auditní stopa platformy je pro toto stavěna. Smysl není mít dokonalou odpověď ve druhé hodině. Smysl je mít zaznamenané rozhodnutí odpovědnou osobou.
Kaskáda hlášení regulátorovi
Článek 23 NIS 2 je čtyřstupňová kaskáda s pevnými hodinami. Včasné varování vnitrostátnímu CSIRT nebo příslušnému orgánu do 24 hodin od okamžiku, kdy se o tom dozvíte. Oznámení o incidentu do 72 hodin s počátečním posouzením závažnosti a dopadu a jakýmikoli dostupnými indikátory kompromitace. Průběžná aktualizace na vyžádání orgánu. Závěrečná zpráva do jednoho měsíce. V Německu to probíhá přes Meldeportal BSI podle §32 BSIG. Jsou-li zasaženy osobní údaje, článek 33 GDPR běží souběžně s vlastními 72hodinovými hodinami k dozorovému úřadu pro ochranu osobních údajů. Obě hlášení jsou samostatná a míří k samostatným orgánům.
Rychlost před úplností
Postoj BSI je výslovný: Schnelligkeit vor Vollständigkeit. 24hodinové včasné varování podle článku 23 odst. 4 NIS 2 není úplná zpráva. Je to upozornění s tím, co víte. Smíte říct, že rozsah ještě není znám. Nesmíte čekat, dokud znám nebude. Podání neúplného včasného varování včas a jeho pozdější aktualizace je cestou v souladu se směrnicí. Čekání na jasnost nikoli.
Platba je obchodní rozhodnutí, nikoli zkratka ke shodě
BSI doporučuje výkupné neplatit a postoj je jasný, že pojistná plnění nejsou přenosem rizika ve smyslu článku 21: pauschaler Risikotransfer ist ausgeschlossen. Platba nezaniká povinnost hlášení, neuspokojuje povinnost obnovitelné zálohy podle článku 21 odst. 2 písm. c) a nezastaví trestní vyšetřování. Rozhodnutí platit, či neplatit, je oddělené od čtyř souběžných stop výše a nikdy je nenahrazuje.
BSI a CERT-Bund (Německo)
Bundesamt für Sicherheit in der Informationstechnik je příslušným orgánem pro hlášení podle NIS 2 v Německu. Hlášení podle §32 BSIG probíhají přes Meldeportal BSI na bsi.bund.de. CERT-Bund uvnitř BSI řeší koordinaci technické reakce. Pro vrstvu EU je síť CSIRT koordinovaná ENISA navazujícím kanálem mezi vnitrostátními CSIRT.
BKA a zemské jednotky LKA pro kyberkriminalitu
Ransomware je trestným činem podle §202a, §202b, §303a a §303b StGB. Trestní vyšetřování běží odděleně od regulatorního hlášení. Každý zemský úřad kriminální policie (LKA) má Zentrale Ansprechstelle Cybercrime (ZAC). BKA vede spolkovou stopu kyberkriminality. §44 BSIG výslovně počítá se spoluprací BSI s orgány činnými v trestním řízení, což znamená, že podání u jednoho nepodává u druhého. Podání trestního oznámení je samostatné rozhodnutí, které musí učinit řídící orgán.
Sektorový regulátor, úřad pro ochranu osobních údajů, dodavatelský řetězec
Tři dodatečné kanály mohou být otevřeny zároveň. Jsou-li zasaženy osobní údaje, oznámení podle článku 33 GDPR příslušnému dozorovému úřadu pro ochranu osobních údajů běží na vlastních 72hodinových hodinách. Některé sektory (energetika, finance, zdravotnictví) mají dodatečné sektorově specifické hlášení podle vlastních režimů, které NIS 2 výslovně zachovává. A podle článku 21 odst. 2 písm. d) NIS 2 může ransomware zasahující dodavatele spustit vaše smluvní oznamovací povinnosti vůči vašim zákazníkům, i když nejste přímo zasaženým subjektem.
Zaplaťte výkupné, získejte klíč, jděte dál.
Platba spis neuzavírá. Kaskáda hlášení podle článku 23 NIS 2 stále běží. Povinnost obnovitelné zálohy podle článku 21 odst. 2 písm. c) je příští rok stále testována auditorem a zaplacená obnova není jejím důkazem. Úřad pro ochranu osobních údajů se podle článku 33 GDPR stále zeptá, jaké osobní údaje opustily perimetr. A ve většině zveřejněných případů se útočníci buď vrátí pro druhou platbu, nebo přístup stejně prodají jiné skupině.
Okamžitě vše vypněte, aby se zastavilo šíření.
Vypnutí zničí těkavou paměť dříve, než lze pořídit jakýkoli obraz. Forenzní důkazy, které BSI potřebuje pro včasné varování, indikátory kompromitace, které potřebuje zbytek vašeho majetku, a artefakty, na nichž závisí trestní vyšetřování, jsou všechny v RAM v okamžiku útoku. Izolujte na úrovni sítě, zajistěte obrazy paměti a disků, poté provádějte nápravu. Patnáct minut zajištěných důkazů má větší hodnotu než patnáct minut zabráněného šíření na již izolovaných segmentech.
Než podáme hlášení, počkejme, až budeme znát plný rozsah.
Článek 23 odst. 4 NIS 2 vyžaduje včasné varování do 24 hodin od okamžiku, kdy se o tom dozvíte, nikoli do 24 hodin od plného pochopení. Směrnice výslovně umožňuje, aby včasné varování bylo částečným obrazem. Čekání za 24hodinovou hranici kvůli získání jasnosti je jediným nejčastějším důvodem, proč subjekty zmeškají lhůtu. Postoj BSI, Schnelligkeit vor Vollständigkeit, je záměrem směrnice.
Strojírenská společnost se 180 zaměstnanci v Bádensku-Württembersku, klasifikovaná jako wichtige Einrichtung podle NIS 2, protože sektor a počet zaměstnanců ji staví do působnosti. 07:42 v úterý: produkční ERP hází chyby certifikátů, sdílené disky nečitelné, výkupní zpráva na třech serverech. 07:58: IT vedoucí odpojí zasaženou VLAN na přepínači, stroje nechá běžet. 08:15: generální ředitel informován, rozhodne svolat řídící orgán do hodiny a aktivovat externí smlouvu o reakci na incidenty, kterou měla společnost na seznamu. 09:30: řídící orgán v místnosti, tři rozhodnutí zdokumentována v auditním logu: prohlásit významný incident podle článku 23, schválit externí reakci na incidenty, rozhodnutí o výkupném zatím ne. 10:40: externí reakce na incidenty zahajuje pořizování obrazu paměti na zasažených hostech. 12:15: 24hodinové včasné varování podáno přes Meldeportal BSI podle §32 BSIG, s uvedením, že rozsah je neznámý, rodina ransomwaru je podezřelá, exfiltrace osobních údajů zatím nepotvrzena.
14:00: pověřenec pro ochranu osobních údajů potvrzuje, že osobní údaje jsou na dvou ze zasažených sdílených disků. Oznámení podle článku 33 GDPR připraveno, 72hodinové hodiny začínají odpočet vůči zemskému dozorovému úřadu pro ochranu osobních údajů. 16:30: zálohy ověřeny jako čisté na izolované infrastruktuře, obnova zahájena na samostatné VLAN. Následující den: trestní oznámení podáno u zemské jednotky LKA pro kyberkriminalitu. Den tři: 72hodinové oznámení o incidentu podle článku 23 NIS 2 s ostřejším obrazem: počáteční vektor vstupu, rozsah šifrování, žádné narušení veřejné služby (společnost neprovozuje nezbytné služby pro třetí strany). Do čtyř týdnů: závěrečná zpráva podle článku 23 odst. 4 písm. d). Obnovitelné zálohy, čtyři souběžné stopy, zdokumentovaná rozhodnutí řídícího orgánu a auditní stopa jsou tím, co tuto společnost zachránilo. Nastavení šifrování podle článku 21 odst. 2 písm. i) je tím, co omezilo exfiltraci údajů. Nic z toho nevyžadovalo šestimístnou poradenskou zakázku před incidentem. Vyžadovalo to čtyři napsané věci na zdi: kdo komu volá, co se hlásí kdy, kdo může podepsat které rozhodnutí a kde jsou obnovitelné zálohy ve skutečnosti.
Platforma ukládá čtyři napsané věci na zdi: seznam kontaktů pro BSI, úřad pro ochranu osobních údajů a LKA; šablony hlášení pro kaskádu 24 / 72 hodin / jeden měsíc podle článku 23; přiřazení, který člen řídícího orgánu může podepsat které rozhodnutí; a odkaz na důkaz o konfiguraci zálohování vyžadovaný článkem 21 odst. 2 písm. c). Vše je zachyceno v auditní stopě s časovými razítky, aby závěrečnou zprávu po incidentu bylo možné vytvořit ze skutečných dat, nikoli z paměti.
Platforma je zdarma a open source. Není žádná placená úroveň a žádný lock-in. Smyslem této stránky není cokoli prodat. Je jím zajistit, že pokud příští týden udeří ransomwarový incident, řídící orgán bude vědět, které čtyři telefonáty udělat, v jakém pořadí, na kterých hodinách.
- Směrnice (EU) 2022/2555 (NIS 2): článek 20 (odpovědnost řídícího orgánu), článek 21 odst. 2 písm. c) a i) (kontinuita, zálohy, obnova, kryptografie), článek 23 (kaskáda hlášení). EUR-Lex.
- Prováděcí nařízení Komise (EU) 2024/2690, příloha, oddíl 11.6 (ransomware jako kategorie významného incidentu pro subjekty digitální infrastruktury). EUR-Lex.
- BSIG (Německo): §30 (opatření k řízení rizik), §32 (Meldeportal BSI), §44 (spolupráce s orgány činnými v trestním řízení). Gesetze im Internet.
- Nařízení (EU) 2016/679 (GDPR): článek 33 (oznámení porušení zabezpečení osobních údajů dozorovému úřadu). EUR-Lex.
- BSI: informační balíčky NIS 2 k Schnelligkeit vor Vollständigkeit a postoj, že pauschaler Risikotransfer není náhradou za technická a organizační opatření. bsi.bund.de.
- ENISA: koordinace sítě CSIRT pro přeshraniční incidenty. enisa.europa.eu.