Art. 23 NIS 2

Ataki DDoS na gruncie NIS 2

Sygnały wykrywania, warstwy łagodzenia i decyzja o zgłoszeniu na podstawie artykułu 23 NIS 2 oraz artykułu 11 ust. 6 CIR 2024/2690.

Simon OrzelSimon Orzel·

Dlaczego DDoS sytuuje się jednoznacznie w artykule 23

Rozproszony atak typu odmowa usługi nasyca cel ruchem z wielu źródeł tak, że uprawnieni użytkownicy nie mogą już dotrzeć do usługi. Na gruncie NIS 2 kategoria techniczna jest mniej interesująca niż skutek. Gdy DDoS w sposób wymierny degraduje lub przerywa usługę świadczoną przez podmiot, artykuł 23 NIS 2 czyni z niego zdarzenie podlegające zgłoszeniu z ustaloną kaskadą.

Artykuł 11 ust. 6 rozporządzenia wykonawczego Komisji (UE) 2024/2690 (CIR) wymienia odmowę usługi wprost jako jedną z kategorii, która, dla infrastruktury cyfrowej i dostawców usług ICT, liczy się jako poważny incydent. Dla pozostałych podmiotów kluczowych i ważnych stosuje się ogólny test istotności z artykułu 23 ust. 3 NIS 2. Wpływ na dostępność usługi jest dominującym wyzwalaczem w obu przypadkach.

Podmiot, który obsługuje stronę internetową, API, portal internetowy, bramkę płatności, resolver DNS lub jakąkolwiek inną usługę eksponowaną w internecie, zwykle osiąga próg zgłoszenia szybciej, niż jest w stanie skalować obronę. Kaskada prawna zaczyna zatem biec równolegle z łagodzeniem, a nie po nim.

Zaczepienie prawne
Dyrektywa UE, rozporządzenie wykonawcze UE oraz przykład niemieckiej transpozycji. Warstwa UE jest wiążąca we wszystkich państwach członkowskich.

Dyrektywa UE (wiążąca w całej Unii)

Państwa członkowskie zapewniają, aby podmioty kluczowe i ważne przekazywały CSIRT lub, w stosownych przypadkach, organowi właściwemu: (a) bez zbędnej zwłoki i w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie wczesne ostrzeżenie; (b) bez zbędnej zwłoki i w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie zgłoszenie incydentu; (c) sprawozdanie okresowe dotyczące odpowiednich aktualizacji statusu na żądanie CSIRT lub, w stosownych przypadkach, organu właściwego; (d) sprawozdanie końcowe nie później niż miesiąc po przekazaniu zgłoszenia incydentu na podstawie lit. b); (e) w przypadku incydentu trwającego w chwili przekazania sprawozdania końcowego, o którym mowa w lit. d), państwa członkowskie zapewniają, aby zainteresowane podmioty przekazały sprawozdanie z postępów w tym czasie oraz sprawozdanie końcowe w ciągu miesiąca od zakończenia obsługi incydentu.

Artykuł 23 ust. 4 NIS 2. Zegar zgłoszenia rozpoczyna bieg w chwili, gdy podmiot poweźmie wiedzę o poważnym incydencie, a nie gdy łagodzenie się rozpoczyna lub kończy. DDoS, który trwa w punkcie miesięcznym, uruchamia wariant sprawozdania z postępów z lit. e).

Rozporządzenie wykonawcze UE (wiążący szczegół techniczny)

Atak typu odmowa usługi lub rozproszony atak typu odmowa usługi uznaje się za poważny incydent dla podmiotów świadczących usługi infrastruktury cyfrowej oraz podmiotów świadczących usługi zarządzania ICT, gdy atak powoduje całkowitą niedostępność usługi lub znaczącą degradację usługi.

Artykuł 11 ust. 6 rozporządzenia wykonawczego Komisji (UE) 2024/2690. CIR stosuje się bezpośrednio do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i serwisów społecznościowych. Dla tych typów podmiotów DoS lub DDoS z całkowitą niedostępnością lub znaczącą degradacją jest, z nazwy, poważny.

Przykład krajowy (Niemcy)

Wesentliche und wichtige Einrichtungen melden dem Bundesamt erhebliche Sicherheitsvorfälle. Die Meldung erfolgt unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme als Frühwarnung, innerhalb von 72 Stunden als Meldung mit erster Bewertung und innerhalb eines Monats als Abschlussbericht.

§ 32 BSIG (NIS2UmsuCG). Niemiecka transpozycja dosłownie odzwierciedla kaskadę z artykułu 23 ust. 4. Zgłoszenia trafiają do BSI poprzez Meldeportal. Inne państwa członkowskie korzystają z własnego krajowego CSIRT lub kierowania do organu właściwego. Treść jest identyczna.

Trzy elementy operacyjne
Wykrywanie, łagodzenie i zgłaszanie biegną równolegle podczas zdarzenia DDoS. Każdy ma własne kryteria decyzyjne.
Wykrywaj

Sygnały wykrywania na poziomie SOC

Typowe wskaźniki wychwytywane przez monitoring sieci lub SOC obejmują nagły skok wolumenu ruchu przychodzącego, spadek wskaźnika udanych żądań, nietypową liczbę połączeń na urządzeniach brzegowych, falę identycznych agentów użytkownika lub wzorców zapytań, zwiększone opóźnienia lub utratę pakietów na łączach brzegowych oraz alerty nasycenia od dostawców nadrzędnych. W połączeniu z wymiernym spadkiem dostępności usługi wskaźniki te przekształcają zdarzenie w incydent w rozumieniu artykułu 6 ust. 6 NIS 2.

Łagodź

Warstwy łagodzenia w powszechnym użyciu

Powszechne schematy łagodzenia obejmują filtrowanie ruchu na poziomie nadrzędnym u dostawcy usług internetowych, czyszczenie przez zewnętrzną usługę ochrony przed DDoS, ograniczanie tempa i dławienie połączeń na brzegu, anycast i rozproszenie geograficzne, blackholing lub null-routing źródeł ataku na poziomie operatora oraz zabezpieczenia na warstwie aplikacji, takie jak zarządzanie botami. Obrona warstwowa jest tu opisana, a nie zalecana; proporcjonalne połączenie zależy od oceny ryzyka podmiotu na podstawie artykułu 21 NIS 2.

Zgłaszaj

Decyzja o zgłoszeniu na podstawie artykułu 23

Gdy dostępność usługi zostaje naruszona w sposób spełniający artykuł 23 ust. 3 NIS 2 lub, dla podmiotów infrastruktury cyfrowej, artykuł 11 ust. 6 CIR, rozpoczyna się kaskada: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin, sprawozdanie okresowe na żądanie, sprawozdanie końcowe w ciągu miesiąca, sprawozdanie z postępów, jeżeli incydent nadal trwa w punkcie miesięcznym.

Dwie zasady strukturalne
Obie wynikają z tekstu dyrektywy i kształtują sposób klasyfikacji DDoS.

Wyzwalaczem jest wpływ na usługę, a nie wolumen ataku

Artykuł 23 ust. 3 NIS 2 definiuje istotność poprzez skutek dla usługi: poważne zakłócenie operacyjne, straty finansowe lub istotne szkody materialne lub niematerialne dla innych osób fizycznych lub prawnych. Atak o przepustowości 500 Gb/s, który zostaje w pełni pochłonięty, sam w sobie nie jest poważnym incydentem. Atak o przepustowości 5 Gb/s, który wyłącza portal na godzinę, zazwyczaj jest. Test z §11 ust. 6 CIR dla podmiotów infrastruktury cyfrowej jest jeszcze bardziej bezpośredni: całkowita niedostępność lub znacząca degradacja.

DDoS często maskuje zdarzenie drugiego etapu

Ataki wolumetryczne bywają wykorzystywane jako przykrycie dla credential stuffing, eksfiltracji danych lub wdrożenia ransomware. Przegląd poincydentalny wymagany przez artykuł 23 ust. 4 lit. d NIS 2 w sprawozdaniu końcowym zazwyczaj rozróżnia widoczne zdarzenie dotyczące dostępności i wszelkie wtórne zdarzenie dotyczące dostępu lub integralności wykryte podczas lub po zalewie.

Krajowa warstwa operacyjna
Dyrektywa to prawo UE. Krajowe organy obsługują przyjmowanie zgłoszeń przez CSIRT, współpracę z dostawcami usług internetowych oraz wytyczne techniczne.
DE

BSI jako krajowy CSIRT i punkt zgłoszeniowy

W Niemczech BSI przyjmuje zgłoszenia z artykułu 23 poprzez Meldeportal na podstawie § 32 BSIG. BSI publikuje również wytyczne dotyczące obsługi incydentów, takie jak BSI-Standard 200-4 (BCM), oraz operacyjne noty techniczne; są to wytyczne, a nie dodatkowe obowiązki zgłoszeniowe. Inne państwa członkowskie mają równoległe struktury (NCSC-NL, ANSSI, NCSC-IE itd.).

EU

Współpraca z dostawcami usług internetowych i filtrowanie na poziomie nadrzędnym

Dostawcy usług internetowych mogą pochłonąć lub odfiltrować ruch ataku, zanim dotrze on do brzegu klienta. W Niemczech dostawcy łączności elektronicznej działają na podstawie TKG i współpracują z BSI w zakresie reagowania na zagrożenia; BSI TR-03103 obejmuje interfejsy techniczne dla niektórych kategorii. Istotne dla podmiotu zgłaszającego jest to, że łagodzenie po stronie dostawcy usług internetowych nie usuwa obowiązku zgłoszenia z artykułu 23, jeżeli usługa była już naruszona.

EU

Wytyczne techniczne ENISA i krajobraz zagrożeń

ENISA publikuje coroczny raport Threat Landscape oraz wytyczne dotyczące reagowania na incydenty na podstawie artykułu 18 NIS 2. Threat Landscape 2024 potwierdza DDoS jako jedną z najczęściej obserwowanych kategorii zagrożeń w sektorach UE. Dokumenty ENISA stanowią materiał referencyjny; nie zmieniają kaskady z artykułu 23.

Częste pułapki
Schematy obserwowane wielokrotnie w analizach poincydentalnych DDoS w podmiotach NIS 2.
  • Dostawca usług internetowych się tym zajmie, więc nie trzeba niczego zgłaszać

    Filtrowanie po stronie dostawcy usług internetowych zmniejsza wpływ, lecz nie zmienia wyzwalacza prawnego. Jeżeli usługa była niedostępna lub znacząco zdegradowana między początkiem ataku a łagodzeniem przez dostawcę usług internetowych, artykuł 23 ust. 3 NIS 2 lub artykuł 11 ust. 6 CIR zostaje uruchomiony. Kaskada zgłoszeniowa biegnie równolegle z reakcją na poziomie operatora.

  • Leczenie wyłącznie objawu wystarczy

    Ograniczanie tempa i czyszczenie zatrzymują zalew, lecz rzadko ustalają, czy DDoS był dywersją. Przegląd poincydentalny, który nie sprawdza logów uwierzytelniania, anomalii ruchu wychodzącego i zmian konfiguracji w oknie ataku, pozostawia zdarzenie wtórne niewykryte. Sprawozdanie końcowe na podstawie artykułu 23 ust. 4 lit. d jest udokumentowanym punktem kontrolnym dla tego.

  • Gdy ruch wróci do normy, incydent jest zamknięty

    Artykuł 23 ust. 4 lit. d NIS 2 wymaga sprawozdania końcowego w ciągu miesiąca od zgłoszenia incydentu. Sprawozdanie to obejmuje przyczynę źródłową, podjęte łagodzenie i wyciągnięte wnioski. Podmiot, który zamyka zgłoszenie w chwili spadku ruchu, zazwyczaj nie ma czego złożyć, co samo w sobie jest udokumentowanym niespełnieniem wymogów.

Notatki praktyka

Dwa nawyki operacyjne oddzielają podmioty obsługujące DDoS sprawnie od tych, które działają w pośpiechu. Po pierwsze, zegar zgłoszeniowy i zegar łagodzenia są śledzone osobno. Łagodzenie może zająć godziny; 24-godzinne wczesne ostrzeżenie ma własnego właściciela i gotowy szablon jeszcze przed zdarzeniem. Po drugie, przegląd poincydentalny jest planowany w chwili wykrycia, a nie po zakończeniu zalewu. Termin w kalendarzu 25 dni po wykryciu wymusza napisanie sprawozdania końcowego, nawet przy spokojnym incydencie.

Konfiguracja DNS i brzegu ma większe znaczenie niż decyzje podejmowane w czasie ataku. Routing anycast, osobni autorytatywni dostawcy DNS, przetestowane ustalenie o filtrowaniu na poziomie nadrzędnym z dostawcą usług internetowych oraz udokumentowana ścieżka kontaktu do NOC operatora są zazwyczaj na miejscu na długo przed nadejściem pierwszego pakietu ataku. To samo dotyczy szablonów sprawozdań: pola wczesnego ostrzeżenia i zgłoszenia wymagane na podstawie § 32 BSIG i równoważnych portali krajowych są na tyle statyczne, że można je wstępnie wypełnić.

Jak nisd2.eu to wspiera

Moduł incydentów w nisd2.eu prowadzi kaskadę z artykułu 23 ust. 4 jako ustrukturyzowany przepływ pracy: wczesne ostrzeżenie w 24h, zgłoszenie incydentu w 72h, sprawozdanie okresowe na żądanie, sprawozdanie końcowe w miesiąc, wariant z postępami, jeżeli incydent nadal trwa. Platforma oznacza znacznikiem czasu każdy krok względem chwili powzięcia wiedzy, a nie chwili ataku, co właśnie mierzy dyrektywa.

Odniesienia do aktywów przy incydencie łączą dotkniętą usługę z wpisami w inwentarzu aktywów zbudowanym na podstawie RSK 2.2, dzięki czemu przegląd poincydentalny może prześledzić, które aktywa, dostawcy i procesy były zaangażowane, bez odbudowywania kontekstu od zera.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 6 ust. 6 (definicja incydentu), artykuł 21 (środki zarządzania ryzykiem), artykuł 23 (zgłaszanie). EUR-Lex: eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Rozporządzenie wykonawcze Komisji (UE) 2024/2690, artykuł 11 ust. 6 (odmowa usługi wymieniona jako poważny incydent dla infrastruktury cyfrowej i dostawców usług ICT). EUR-Lex: eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSIG (NIS2UmsuCG), § 32 (obowiązki zgłaszania do BSI). gesetze-im-internet.de
  • BSI Meldeportal i wytyczne operacyjne dotyczące zgłaszania incydentów. bsi.bund.de
  • ENISA Threat Landscape 2024, rozdział o DDoS. enisa.europa.eu
  • BSI-Standard 200-4 (Business Continuity Management). bsi.bund.de
  • BSI TR-03103 (seria wytycznych technicznych). bsi.bund.de
Najpierw sprawdź stosowalność
Artykuł 23 ma zastosowanie wyłącznie do podmiotów kluczowych i ważnych w zakresie NIS 2. Dwuminutowy test stosowalności potwierdza, czy dany podmiot jest objęty.