Incydent phishingowy na gruncie NIS 2
Jak phishing przekracza próg incydentu istotnego, czego wymaga kaskada zgłaszania oraz co typowy podręcznik obsługuje równolegle.
Co obejmuje ta strona
Phishing nie jest odrębną kategorią regulacyjną na gruncie NIS 2. Dyrektywa traktuje udaną próbę phishingu jako jeden z możliwych incydentów istotnych spośród innych. Jakościowy test z art. 23 ust. 3 NIS 2 jest tym samym, który musi przejść każdy inny typ incydentu. Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR) wymienia w sekcji 11.6 załącznika kategorie, które dla podmiotów infrastruktury cyfrowej liczą się jako istotne domyślnie.
Wyzwalaczem, który większość operatorów pomija, jest kompromitacja poświadczeń. Wiadomość phishingowa, która przechwyci działający zestaw poświadczeń do krytycznego konta, nie jest sytuacją bliską niebezpieczeństwu. Jest to udane zdarzenie nieuprawnionego dostępu. Czy następnie spełnia próg z art. 23 ust. 3, zależy od tego, do czego konto może sięgnąć, co zostało wydobyte i które usługi zostały dotknięte.
Ta strona przedstawia mechanikę, a nie poradę prawną. Opisuje zegary wczesnego ostrzeżenia, zgłoszenia incydentu i sprawozdania końcowego na podstawie art. 23 ust. 4 NIS 2, jak typowy podręcznik SOC obsługuje powstrzymanie i zabezpieczenie dowodów oraz gdzie art. 33 GDPR przebiega równolegle, gdy w grę wchodzą dane osobowe.
Dyrektywa NIS 2 (UE) 2022/2555, art. 23 ust. 3
Incydent uznaje się za istotny, jeżeli: a) spowodował lub może spowodować poważne zakłócenie operacyjne usług lub straty finansowe dla danego podmiotu; b) wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe lub niemajątkowe.
Jest to jedyna ogólna definicja incydentu istotnego w prawie UE. Oba punkty używają sformułowania "może spowodować", więc szkoda potencjalna liczy się tak samo jak szkoda rzeczywista. Zdarzenie phishingowe, które skompromitowało poświadczenia do konta uprzywilejowanego, może spełnić punkt a) jeszcze zanim jakakolwiek usługa faktycznie się zatrzyma.
CIR (UE) 2024/2690, załącznik sekcja 11.6
Incydent uznaje się za istotny, jeżeli powoduje lub może spowodować poważne zakłócenie operacyjne usług lub straty finansowe dla danego podmiotu, lub jeżeli wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe lub niemajątkowe.
Sekcja 11.6 wymienia kategorie, które zawsze kwalifikują się jako istotne dla podmiotów infrastruktury cyfrowej objętych CIR: ransomware, eksfiltracja danych osobowych lub wrażliwych, odmowa usługi wobec usług kluczowych oraz utrata poufności lub integralności aktywów krytycznych. Przypadek phishingu, który kończy się którąkolwiek z nich, przekroczył próg z definicji. Dla sektorów poza CIR rządzi sam jakościowy test z art. 23 ust. 3.
§ 32 BSIG (Niemcy)
Podmioty kluczowe i ważne zgłaszają Bundesamt incydenty istotne bez zbędnej zwłoki, najpóźniej w terminach wymienionych w art. 23 ust. 4 dyrektywy (UE) 2022/2555.
Niemcy przejmują kaskadę dyrektywy w niezmienionej postaci i kierują zgłaszanie przez portal BSI pod adresem meldung.bsi.bund.de. § 32 BSIG jest niemiecką kotwicą. Materialne terminy pozostają tymi z art. 23 ust. 4 NIS 2: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu jednego miesiąca.
Triaż i decyzja o progu
Zegar rusza, gdy podmiot poweźmie wiedzę o incydencie. Powzięcie wiedzy następuje, gdy kompetentna osoba wewnątrz organizacji wie wystarczająco dużo, aby podejrzewać incydent istotny, a nie gdy dochodzenie zostanie zakończone. Triaż odpowiada na trzy pytania: które konta zostały skompromitowane, do czego te konta mogą sięgnąć i czy pasuje którakolwiek kategoria z załącznika CIR sekcja 11.6. Jeśli tak, pytanie o próg jest zamknięte, a wczesne ostrzeżenie jest przygotowywane.
Powstrzymanie i dowody
Typowy podręcznik SOC resetuje skompromitowane poświadczenia, unieważnia aktywne sesje, blokuje domenę nadawcy, izoluje dotknięte punkty końcowe od sieci i zabezpiecza skrzynkę pocztową, obraz dysku punktu końcowego oraz dzienniki uwierzytelniania przed jakimkolwiek ponownym obrazowaniem. Wyczyszczenie maszyny dotkniętej phishingiem przed jej zobrazowaniem niszczy zapis kryminalistyczny, który później odpowiada na pytanie, do czego atakujący faktycznie sięgnął.
Kaskada 24 godz. / 72 godz. / 1 miesiąc
Artykuł 23 ust. 4 NIS 2 ustala trzy terminy od momentu powzięcia wiedzy. W ciągu 24 godzin podmiot składa wczesne ostrzeżenie wskazujące, czy podejrzewa się, że incydent jest spowodowany działaniami bezprawnymi lub złośliwymi albo ma skutek transgraniczny. W ciągu 72 godzin zgłoszenie incydentu aktualizuje wczesne ostrzeżenie o ocenę wstępną, wskaźniki kompromitacji i dotkliwość. W ciągu jednego miesiąca sprawozdanie końcowe opisuje przyczynę źródłową, działania ograniczające oraz wszelki skutek transgraniczny.
Zakres szkody jest tym, co czyni phishing istotnym
Artykuł 23 ust. 3 nie dba o technikę. Dba o skutek. Wiadomość phishingowa otwarta przez jednego pracownika księgowości nie jest istotna. Ta sama wiadomość, jeśli przechwyciła działające poświadczenia umożliwiające dostęp do systemu rozliczeniowego, listy płac lub bazy danych klientów, może spełnić punkt a) o potencjalnym zakłóceniu operacyjnym lub punkt b) o szkodzie dla osób fizycznych lub prawnych. Pytanie o zakres brzmi: do czego skompromitowane poświadczenie mogło sięgnąć przed unieważnieniem i do czego sięgnięto w oknie dostępu.
Szybkość bije kompletność
Stanowisko BSI to "Schnelligkeit vor Vollständigkeit". Wczesne ostrzeżenie 24-godzinne jest stworzone na moment, gdy obraz jest niepełny. Formularz prosi o wstępną klasyfikację i znane fakty, a nie o końcową analizę przyczyny źródłowej. Wstrzymywanie wczesnego ostrzeżenia, aż wszystko będzie wiadome, oznacza niedotrzymanie terminu; terminu nie można nadrobić później, nawet jeśli incydent okaże się później nieistotny.
BSI: zgłaszanie NIS 2 pod meldung.bsi.bund.de
BSI prowadzi jednolity kanał z § 32 BSIG do zgłaszania incydentów NIS 2. Portal wstępnie strukturyzuje zgłoszenia 24 godz., 72 godz. i jednomiesięczne oraz przechowuje ścieżkę audytu. Publiczne wytyczne BSI powtarzają brzmienie art. 23 ust. 3 i potwierdzają "Schnelligkeit vor Vollständigkeit". Incydenty napędzane phishingiem, które spełniają test jakościowy, przechodzą przez ten kanał, niezależnie od tego, czy dotykają również danych osobowych.
BfDI / krajowy DPA: równoległy art. 33 GDPR
Jeśli zdarzenie phishingowe ujawniło dane osobowe, art. 33 GDPR przebiega obok NIS 2. Zgłoszenie naruszenia ochrony danych trafia do właściwego organu nadzorczego w ciągu 72 godzin od powzięcia wiedzy, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla osób fizycznych. Zgłoszenie NIS 2 i zgłoszenie GDPR to odrębne dokumenty do odrębnych organów; fakty bazowe się pokrywają, formalne kanały nie.
ZAC LKA: zawiadomienie o przestępstwie jako osobna decyzja
Udany atak phishingowy jest zwykle czynem przestępczym na podstawie § 202a, § 202b lub § 263a StGB. Zentrale Ansprechstelle Cybercrime (ZAC) właściwego Landeskriminalamt jest punktem wejścia dla zawiadomienia o przestępstwie. Jego złożenie jest osobną decyzją kierownictwa od zgłaszania regulacyjnego i nie zatrzymuje żadnego z zegarów.
"To był tylko jeden użytkownik, nieistotne"
Test z art. 23 ust. 3 pyta, czy incydent może spowodować poważne zakłócenie operacyjne lub znaczną szkodę dla osób trzecich. Działający zestaw poświadczeń do konta uprzywilejowanego w rękach atakującego może spowodować oba, niezależnie od tego, ilu użytkowników padło ofiarą phishingu. O istotności decyduje to, do czego poświadczenie może sięgnąć, a nie wielkość populacji, która kliknęła.
"Od razu sformatuj laptopa, żeby było bezpiecznie"
Wyczyszczenie punktu końcowego przed wykonaniem obrazu kryminalistycznego niszczy jedyny zapis tego, co atakujący faktycznie zrobił w oknie dostępu. Zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu jednego miesiąca oba proszą o wskaźniki kompromitacji i przyczynę źródłową. Bez obrazu te odpowiedzi są zgadywaniem. Typowy podręcznik najpierw izoluje, obrazuje punkt końcowy i dotkniętą skrzynkę pocztową, a dopiero potem ponownie obrazuje.
"Cisza jest bezpieczniejsza, nikomu wewnętrznie nie mów"
Artykuł 23 ust. 1 lit. h) NIS 2 zobowiązuje podmiot, w stosownych przypadkach, do informowania odbiorców jego usług, którzy są potencjalnie dotknięci. Milczenie po stronie wewnętrznej opóźnia drugą falę wykrywania: pozostały personel, który otrzymał tę samą wiadomość, pozostałe konta, które mogą już być skompromitowane. Krótka, rzeczowa notatka wewnętrzna w pierwszych godzinach jest częścią reakcji, a nie komunikatem prasowym.
Najbardziej przydatną rzeczą, którą mały zespół może przećwiczyć przed prawdziwym zdarzeniem, jest decyzja o progu. Zapisz z wyprzedzeniem, które konta są "krytyczne" dla podmiotu (konsole administracyjne, systemy płatności, dostawca tożsamości, baza danych klientów, sterowanie OT). Zdarzenie phishingowe, które przechwyci którekolwiek z nich, jest, z twojej własnej definicji, kandydatem do sekcji 11.6 i 24-godzinny zegar rusza.
Drugą najbardziej przydatną rzeczą jest szablon zgłoszenia. Portal BSI prosi o ustrukturyzowany zestaw faktów. Sporządzanie wczesnego ostrzeżenia po raz pierwszy podczas prawdziwego incydentu marnuje pierwsze dwie godziny. Wstępnie wypełniony szablon z identyfikatorami firmy, sektorem, kanałami kontaktowymi i pustą sekcją opisową można złożyć w ciągu trzydziestu minut, gdy fakty są już znane.
Moduł incydentów otwiera sprawę od pojedynczego znacznika czasu "powzięcia wiedzy" i zakotwicza trzy zegary: 24 godziny, 72 godziny, jeden miesiąc. Każdy zegar ma własny szablon, wstępnie wypełniony polami, o które proszą art. 23 ust. 4 oraz załącznik CIR sekcja 11.6. Wprowadzasz to, co jest znane, platforma pokazuje, czego nadal brakuje. Osobny licznik art. 33 GDPR aktywuje się, jeśli na sprawie oznaczone zostaną dane osobowe.
Dziennik sprawy zachowuje łańcuch czasu powzięcia wiedzy, działań powstrzymujących, komunikacji i zgłoszeń. Ten dziennik jest dowodem audytowym, którego portal BSI nie może wygenerować za ciebie, oraz dokumentem, o który audytor poprosi podczas przeglądu z § 61 BSIG.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 23 (zgłaszanie incydentów), artykuł 21 ust. 2 lit. g) (szkolenia uświadamiające w zakresie bezpieczeństwa), motyw 101 (czynniki istotności). EUR-Lex.
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r., załącznik sekcja 11.6 (kategorie incydentów zawsze uznawanych za istotne dla podmiotów infrastruktury cyfrowej). EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), § 32 (zgłaszanie incydentów do BSI). gesetze-im-internet.de.
- Rozporządzenie (UE) 2016/679 (GDPR), artykuł 33 (zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu w ciągu 72 godzin). EUR-Lex.
- BSI, publiczne wytyczne dotyczące kaskady zgłaszania NIS 2 oraz zasady "Schnelligkeit vor Vollständigkeit". bsi.bund.de.
- Strafgesetzbuch (StGB) § 202a Ausspähen von Daten, § 202b Abfangen von Daten, § 263a Computerbetrug. gesetze-im-internet.de.