Risposta al ransomware ai sensi della NIS2
La meccanica delle prime 24 ore: cosa contenere, chi avvisare, e cosa la direttiva richiede effettivamente.
Cos'è questa pagina
Il ransomware non è una categoria regolatoria separata. La NIS2 lo tratta come un incidente significativo tra gli altri. Il Regolamento di esecuzione (UE) 2024/2690 della Commissione elenca esplicitamente il ransomware nella sezione 11.6 dell'Allegato come tipo riconosciuto di incidente significativo per i soggetti di infrastruttura digitale, ma gli obblighi risiedono nell'articolo 21 (misure di gestione del rischio) e nell'articolo 23 (cascata di segnalazione) della direttiva stessa.
La pagina è scritta per un amministratore delegato, un responsabile IT o un CISO in un'azienda da 50 a 250 persone che è appena stata colpita o vuole sapere come dovrebbero presentarsi le prime ore. Non è una consulenza legale e non sostituisce un contratto di servizio di risposta agli incidenti. È la meccanica giuridica attorno al lavoro tecnico.
La frase più utile in assoluto: contenimento, segnalazione, decisione della direzione e forze dell'ordine corrono in parallelo, non in sequenza. La direttiva non ti consente di concludere uno prima di iniziare il successivo.
Direttiva (UE) 2022/2555 (NIS2)
Articolo 21(2)(c): politiche e procedure relative alla continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi. Articolo 21(2)(i): politiche e procedure relative all'uso della crittografia e, se del caso, della cifratura.
L'articolo 21(2)(c) è dove risiede l'obbligo del backup ripristinabile. L'esistenza di un backup non è il test. Lo è la ripristinabilità in condizioni di attacco. L'articolo 21(2)(i) copre la postura di cifratura che decide se l'attaccante legge tutto ciò che tocca. L'articolo 23 fissa poi la cascata di segnalazione in quattro fasi: preallarme entro 24 ore, notifica dell'incidente entro 72 ore, relazione intermedia su richiesta, relazione finale entro un mese.
Regolamento di esecuzione (UE) 2024/2690 della Commissione
La sezione 11.6 dell'Allegato elenca il ransomware tra gli scenari di incidente che costituiscono un incidente significativo per i soggetti che forniscono servizi di infrastruttura digitale.
La CIR è vincolante senza trasposizione nazionale e ti dice cosa conti come significativo per i tipi di soggetti che copre (essenzialmente le 11 categorie di infrastruttura digitale e di servizi digitali). Per i settori fuori dal suo ambito, si applica comunque il test di significatività dell'articolo 23(3) NIS2: grave perturbazione operativa, perdita finanziaria, o danno materiale o immateriale ad altri. Il ransomware che blocca la produzione soddisfa quasi sempre quel test.
BSIG (Germania)
§30 BSIG: misure tecniche e organizzative adeguate al rischio. §32 BSIG: notifica al BSI tramite il Meldeportal su bsi.bund.de. §44 BSIG: cooperazione del BSI con le autorità di contrasto.
Il BSIG è l'esempio di trasposizione tedesca. NL e AT hanno le proprie. La cascata di 24 / 72 ore / intermedia / un mese è di livello direttiva e identica in tutti gli Stati membri. Il canale di segnalazione è nazionale: in Germania il BSI Meldeportal, separatamente l'autorità di controllo per la protezione dei dati ai sensi dell'articolo 33 GDPR se sono coinvolti dati personali, separatamente ancora la Polizia criminale del Land (LKA) o il BKA se vuoi un'indagine penale.
Contenimento tecnico e preservazione forense
Isola i segmenti colpiti senza cancellarli. L'errore più comune in assoluto sotto panico è spegnere e reimmagine prima che venga acquisita un'immagine, il che distrugge sia l'evidenza di cui il BSI e le forze dell'ordine hanno bisogno sia gli indicatori di compromissione che ti dicono cos'altro l'attaccante ha toccato. Scollega dalla rete, non spegnere. Acquisisci immagini di memoria e disco prima della remediation. Avvia il ripristino dal backup pulito verificato più recente su infrastruttura isolata. L'articolo 21(2)(c) NIS2 richiede che il backup sia ripristinabile, non semplicemente presente. La modalità di guasto più comune in assoluto negli incidenti sottoposti ad audit sono i backup che erano online e sono stati cifrati insieme alla produzione.
Decisione dell'organo di direzione
L'articolo 20 NIS2 pone l'organo di direzione sotto responsabilità. In un incidente ransomware in corso ci sono tre decisioni che solo l'organo di direzione può firmare: dichiarare un incidente significativo ai sensi dell'articolo 23, autorizzare la spesa per la risposta esterna agli incidenti, e rifiutare o prendere in considerazione qualsiasi richiesta di riscatto. La decisione e le sue motivazioni devono essere documentate in tempo reale. La pista di controllo della piattaforma è costruita per questo. Il punto non è avere una risposta perfetta all'ora due. Il punto è avere una decisione registrata da una persona responsabile.
Cascata di segnalazione al regolatore
L'articolo 23 NIS2 è una cascata in quattro fasi con orologi rigidi. Preallarme allo CSIRT nazionale o all'autorità competente entro 24 ore dal venirne a conoscenza. Notifica dell'incidente entro 72 ore con una valutazione iniziale di gravità e impatto e gli eventuali indicatori di compromissione disponibili. Aggiornamento intermedio su richiesta dell'autorità. Relazione finale entro un mese. In Germania questo passa attraverso il BSI Meldeportal ai sensi del §32 BSIG. Se sono interessati dati personali, l'articolo 33 GDPR corre in parallelo con il proprio orologio di 72 ore verso l'autorità di controllo per la protezione dei dati. Le due segnalazioni sono separate e vanno ad autorità separate.
Velocità prima della completezza
La posizione del BSI è esplicita: Schnelligkeit vor Vollständigkeit. Il preallarme di 24 ore ai sensi dell'articolo 23(4) NIS2 non è una relazione completa. È una segnalazione con ciò che sai. Ti è consentito dire che l'estensione non è ancora nota. Non ti è consentito aspettare finché non lo sia. Presentare un preallarme incompleto nei tempi e aggiornarlo in seguito è il percorso conforme alla direttiva. Aspettare la chiarezza non lo è.
Il pagamento è una decisione di business, non una scorciatoia di conformità
Il BSI sconsiglia di pagare il riscatto e la posizione è chiara nel senso che i pagamenti assicurativi non sono un trasferimento del rischio nel senso dell'articolo 21: pauschaler Risikotransfer ist ausgeschlossen. Pagare non estingue l'obbligo di segnalazione, non soddisfa l'obbligo del backup ripristinabile ai sensi dell'articolo 21(2)(c), e non ferma un'indagine penale. La decisione di pagare o no è separata dai quattro binari paralleli di cui sopra e non li sostituisce mai.
BSI e CERT-Bund (Germania)
Il Bundesamt für Sicherheit in der Informationstechnik è l'autorità competente per la segnalazione NIS2 in Germania. Le segnalazioni ai sensi del §32 BSIG passano attraverso il BSI Meldeportal su bsi.bund.de. CERT-Bund all'interno del BSI cura il coordinamento della risposta tecnica. Per il livello UE, la rete di CSIRT coordinata da ENISA è il canale a monte tra i CSIRT nazionali.
BKA e unità cybercrime degli LKA dei Länder
Il ransomware è un reato ai sensi dei §202a, §202b, §303a e §303b StGB. L'indagine penale corre separatamente dalla segnalazione al regolatore. Ogni Polizia criminale del Land (LKA) ha uno Zentrale Ansprechstelle Cybercrime (ZAC). Il BKA cura il binario cybercrime federale. Il §44 BSIG prevede esplicitamente la cooperazione del BSI con le forze dell'ordine, il che significa che presentare presso una non presenta presso l'altra. Presentare una denuncia penale è una decisione separata che l'organo di direzione deve prendere.
Regolatore settoriale, autorità per la protezione dei dati, catena di approvvigionamento
Tre canali ulteriori possono essere aperti contemporaneamente. Se sono interessati dati personali, la notifica dell'articolo 33 GDPR all'autorità di controllo competente per la protezione dei dati corre sul proprio orologio di 72 ore. Alcuni settori (energia, finanza, sanità) hanno ulteriori segnalazioni settoriali specifiche nell'ambito dei rispettivi regimi che la NIS2 preserva esplicitamente. E ai sensi dell'articolo 21(2)(d) NIS2, un ransomware che colpisce un fornitore può attivare i tuoi obblighi contrattuali di notifica verso i tuoi clienti, anche se non sei il soggetto direttamente colpito.
Paga il riscatto, ottieni la chiave, vai avanti.
Il pagamento non chiude il fascicolo. La cascata di segnalazione ai sensi dell'articolo 23 NIS2 corre comunque. L'obbligo del backup ripristinabile ai sensi dell'articolo 21(2)(c) viene comunque verificato da un auditor l'anno successivo e un ripristino a pagamento non ne è evidenza. L'autorità per la protezione dei dati chiederà comunque ai sensi dell'articolo 33 GDPR quali dati personali abbiano lasciato il perimetro. E nella maggior parte dei casi pubblicati, gli attaccanti tornano per un secondo pagamento o vendono comunque l'accesso a un altro gruppo.
Spegni subito tutto per fermare la diffusione.
Spegnere distrugge la memoria volatile prima che possa essere acquisita un'immagine. L'evidenza forense di cui il BSI ha bisogno per il preallarme, gli indicatori di compromissione di cui il resto del tuo patrimonio ha bisogno, e gli artefatti da cui dipende un'indagine penale sono tutti nella RAM al momento dell'attacco. Isola a livello di rete, preserva le immagini di memoria e disco, poi esegui la remediation. I quindici minuti di evidenza preservata valgono più dei quindici minuti di diffusione evitata su segmenti già isolati.
Aspetta di conoscere l'intera estensione prima di presentare.
L'articolo 23(4) NIS2 richiede il preallarme entro 24 ore dal venirne a conoscenza, non entro 24 ore dalla piena comprensione. La direttiva consente esplicitamente che il preallarme sia un quadro parziale. Aspettare oltre il limite delle 24 ore per ottenere chiarezza è la ragione più comune in assoluto per cui i soggetti mancano la scadenza. La posizione del BSI, Schnelligkeit vor Vollständigkeit, è l'intento della direttiva.
Un'azienda di ingegneria meccanica di 180 persone in Baden Württemberg, classificata come wichtige Einrichtung ai sensi della NIS2 perché il settore e l'organico la collocano nell'ambito di applicazione. Le 07:42 di un martedì: l'ERP di produzione restituisce errori di certificato, le condivisioni file illeggibili, una nota di riscatto su tre server. 07:58: il responsabile IT scollega la VLAN colpita allo switch, lascia accese le macchine. 08:15: il CEO informato, decide di convocare l'organo di direzione entro l'ora e di attivare il contratto di IR esterno che l'azienda aveva in archivio. 09:30: organo di direzione in una stanza, tre decisioni documentate nel registro di controllo: dichiarare un incidente significativo ai sensi dell'articolo 23, autorizzare l'ingaggio IR, nessuna decisione sul riscatto per ora. 10:40: l'IR esterno avvia l'imaging della memoria sugli host colpiti. 12:15: preallarme di 24 ore presentato attraverso il BSI Meldeportal ai sensi del §32 BSIG, dichiarando estensione ignota, famiglia di ransomware sospettata, nessuna esfiltrazione di dati personali ancora confermata.
14:00: il responsabile della protezione dei dati conferma che ci sono dati personali su due delle condivisioni file colpite. Notifica dell'articolo 33 GDPR redatta, l'orologio di 72 ore inizia a scorrere verso l'autorità di controllo del Land per la protezione dei dati. 16:30: backup verificati puliti su infrastruttura isolata, il ripristino inizia su una VLAN separata. Il giorno successivo: denuncia penale presentata all'unità cybercrime dell'LKA del Land. Giorno tre: notifica dell'incidente di 72 ore ai sensi dell'articolo 23 NIS2 con un quadro più nitido: vettore di ingresso iniziale, estensione della cifratura, nessuna perturbazione del servizio pubblico (l'azienda non eroga servizi essenziali a terzi). Entro quattro settimane: la relazione finale ai sensi dell'articolo 23(4)(d). I backup ripristinabili, i quattro binari paralleli, le decisioni documentate dell'organo di direzione, e la pista di controllo sono ciò che ha salvato questa azienda. La postura di cifratura ai sensi dell'articolo 21(2)(i) è ciò che ha limitato l'esfiltrazione dei dati. Nulla di tutto questo ha richiesto un ingaggio di consulenza da sei cifre prima dell'incidente. Ha richiesto quattro cose scritte sul muro: chi chiama chi, cosa viene segnalato quando, chi può firmare quale decisione, e dove sono effettivamente i backup ripristinabili.
La piattaforma conserva le quattro cose scritte sul muro: la lista dei contatti per BSI, autorità per la protezione dei dati e LKA; i modelli di segnalazione per la cascata di 24 / 72 ore / un mese ai sensi dell'articolo 23; l'assegnazione di quale membro dell'organo di direzione può firmare quale decisione; e il collegamento all'evidenza di configurazione del backup richiesta dall'articolo 21(2)(c). Tutto è catturato nella pista di controllo con marcature temporali in modo che la relazione finale post incidente possa essere prodotta da dati reali, non dalla memoria.
La piattaforma è gratuita e open source. Non c'è alcun livello a pagamento e nessun lock-in. Il punto di questa pagina non è vendere alcunché. È assicurarsi che, se un incidente ransomware colpisce la prossima settimana, l'organo di direzione sappia quali quattro telefonate fare, in quale ordine, su quale orologio.
- Direttiva (UE) 2022/2555 (NIS2): Articolo 20 (responsabilità dell'organo di direzione), Articolo 21(2)(c) e (i) (continuità, backup, ripristino, crittografia), Articolo 23 (cascata di segnalazione). EUR-Lex.
- Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato sezione 11.6 (ransomware come categoria di incidente significativo per i soggetti di infrastruttura digitale). EUR-Lex.
- BSIG (Germania): §30 (misure di gestione del rischio), §32 (BSI Meldeportal), §44 (cooperazione con le forze dell'ordine). Gesetze im Internet.
- Regolamento (UE) 2016/679 (GDPR): Articolo 33 (notifica di una violazione dei dati personali all'autorità di controllo). EUR-Lex.
- BSI: pacchetti informativi NIS 2 su Schnelligkeit vor Vollständigkeit e la posizione secondo cui il pauschaler Risikotransfer non sostituisce le misure tecniche e organizzative. bsi.bund.de.
- ENISA: coordinamento della rete di CSIRT per gli incidenti transfrontalieri. enisa.europa.eu.