Reagowanie na ransomware na podstawie NIS 2
Mechanika pierwszych 24 godzin: co powstrzymać, kogo powiadomić i czego dyrektywa faktycznie wymaga.
Czym jest ta strona
Ransomware nie jest odrębną kategorią regulacyjną. NIS 2 traktuje go jako jeden istotny incydent wśród innych. Rozporządzenie wykonawcze Komisji (UE) 2024/2690 wymienia ransomware wprost w sekcji 11.6 załącznika jako uznany typ istotnego incydentu dla podmiotów infrastruktury cyfrowej, ale obowiązki znajdują się w art. 21 (środki zarządzania ryzykiem) i art. 23 (kaskada zgłaszania) samej dyrektywy.
Strona jest napisana dla dyrektora zarządzającego, kierownika IT lub CISO w firmie liczącej od 50 do 250 osób, która albo właśnie została zaatakowana, albo chce wiedzieć, jak powinny wyglądać pierwsze godziny. Nie jest poradą prawną i nie zastępuje umowy retainerowej na reagowanie na incydenty. To mechanika prawna wokół pracy technicznej.
Jedno najbardziej przydatne zdanie: powstrzymanie, zgłaszanie, decyzja kierownictwa i organy ścigania działają równolegle, a nie sekwencyjnie. Dyrektywa nie pozwala ci zakończyć jednego, zanim zaczniesz następne.
Dyrektywa (UE) 2022/2555 (NIS 2)
Art. 21 ust. 2 lit. c): polityki i procedury dotyczące ciągłości działania, takie jak zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, oraz zarządzanie kryzysowe. Art. 21 ust. 2 lit. i): polityki i procedury dotyczące stosowania kryptografii oraz, w stosownych przypadkach, szyfrowania.
Art. 21 ust. 2 lit. c) to miejsce, w którym znajduje się obowiązek odtwarzalnej kopii zapasowej. Testem nie jest istnienie kopii zapasowej. Jest nim odtwarzalność w warunkach ataku. Art. 21 ust. 2 lit. i) obejmuje postawę szyfrowania, która decyduje, czy atakujący odczyta wszystko, czego dotknie. Art. 23 ustala następnie czterostopniową kaskadę zgłaszania: wczesne ostrzeżenie w ciągu 24 godzin, powiadomienie o incydencie w ciągu 72 godzin, sprawozdanie pośrednie na żądanie, sprawozdanie końcowe w ciągu jednego miesiąca.
Rozporządzenie wykonawcze Komisji (UE) 2024/2690
Sekcja 11.6 załącznika wymienia ransomware wśród scenariuszy incydentów, które stanowią istotny incydent dla podmiotów świadczących usługi infrastruktury cyfrowej.
CIR wiąże bez transpozycji krajowej i mówi ci, co liczy się jako istotne dla typów podmiotów, które obejmuje (zasadniczo 11 kategorii infrastruktury cyfrowej i usług cyfrowych). Dla sektorów poza jego zakresem nadal stosuje się test istotności z art. 23 ust. 3 NIS 2: poważne zakłócenie operacyjne, strata finansowa lub szkoda materialna lub niematerialna dla innych. Ransomware, który blokuje produkcję, niemal zawsze spełnia ten test.
BSIG (Niemcy)
§30 BSIG: środki techniczne i organizacyjne odpowiednie do ryzyka. §32 BSIG: powiadomienie do BSI przez Meldeportal pod adresem bsi.bund.de. §44 BSIG: współpraca BSI z organami ścigania.
BSIG to przykład niemieckiej transpozycji. NL i AT mają własne. Kaskada 24 godz. / 72 godz. / pośrednie / jeden miesiąc jest na poziomie dyrektywy i identyczna we wszystkich państwach członkowskich. Kanał zgłaszania jest krajowy: w Niemczech BSI Meldeportal, odrębnie organ nadzorczy ds. ochrony danych na podstawie art. 33 GDPR, jeżeli zaangażowane są dane osobowe, i jeszcze odrębnie krajowy urząd policji kryminalnej (LKA) lub BKA, jeżeli chcesz dochodzenia karnego.
Powstrzymanie techniczne i zabezpieczenie kryminalistyczne
Izoluj dotknięte segmenty bez ich kasowania. Najczęstszym błędem pod presją paniki jest wyłączenie zasilania i ponowne zaimagowanie zanim zostanie wykonany obraz, co niszczy zarówno dowody potrzebne BSI i organom ścigania, jak i wskaźniki kompromitacji, które mówią ci, czego jeszcze dotknął atakujący. Odłącz od sieci, nie wyłączaj zasilania. Wykonaj obrazy pamięci i dysku przed usuwaniem skutków. Rozpocznij przywracanie z najnowszej zweryfikowanej czystej kopii zapasowej na izolowanej infrastrukturze. Art. 21 ust. 2 lit. c) NIS 2 wymaga, by kopia zapasowa była odtwarzalna, a nie tylko obecna. Najczęstszym trybem awarii w audytowanych incydentach są kopie zapasowe, które były online i zostały zaszyfrowane razem z produkcją.
Decyzja organu zarządzającego
Art. 20 NIS 2 czyni organ zarządzający odpowiedzialnym. W trwającym incydencie ransomware są trzy decyzje, które może podpisać tylko organ zarządzający: zadeklarowanie istotnego incydentu na podstawie art. 23, autoryzacja wydatków na zewnętrzne reagowanie na incydent oraz odmowa lub rozważenie żądania okupu. Decyzja i jej uzasadnienie muszą być dokumentowane w czasie rzeczywistym. Ślad audytowy platformy jest do tego zbudowany. Sensem nie jest posiadanie idealnej odpowiedzi w drugiej godzinie. Sensem jest posiadanie zarejestrowanej decyzji odpowiedzialnej osoby.
Kaskada zgłaszania do regulatora
Art. 23 NIS 2 to czterostopniowa kaskada z twardymi zegarami. Wczesne ostrzeżenie do krajowego CSIRT lub właściwego organu w ciągu 24 godzin od powzięcia wiedzy. Powiadomienie o incydencie w ciągu 72 godzin ze wstępną oceną wagi i skutków oraz wszelkimi dostępnymi wskaźnikami kompromitacji. Aktualizacja pośrednia na żądanie organu. Sprawozdanie końcowe w ciągu jednego miesiąca. W Niemczech przebiega to przez BSI Meldeportal na podstawie §32 BSIG. Jeżeli dotknięte są dane osobowe, art. 33 GDPR działa równolegle z własnym 72-godzinnym zegarem do organu nadzorczego ds. ochrony danych. Oba zgłoszenia są odrębne i trafiają do odrębnych organów.
Szybkość przed kompletnością
Stanowisko BSI jest jednoznaczne: Schnelligkeit vor Vollständigkeit. 24-godzinne wczesne ostrzeżenie na podstawie art. 23 ust. 4 NIS 2 nie jest pełnym sprawozdaniem. Jest flagą z tym, co wiesz. Wolno ci powiedzieć, że zakres nie jest jeszcze znany. Nie wolno ci czekać, aż będzie. Złożenie niekompletnego wczesnego ostrzeżenia na czas i zaktualizowanie go później jest ścieżką zgodną z dyrektywą. Czekanie na jasność nie jest.
Zapłata to decyzja biznesowa, a nie skrót w zgodności
BSI odradza płacenie okupu, a stanowisko jest jasne, że wypłaty z ubezpieczenia nie są transferem ryzyka w rozumieniu art. 21: pauschaler Risikotransfer ist ausgeschlossen. Zapłata nie wygasza obowiązku zgłoszenia, nie spełnia obowiązku odtwarzalnej kopii zapasowej na podstawie art. 21 ust. 2 lit. c) i nie zatrzymuje dochodzenia karnego. Decyzja o zapłacie lub nie jest odrębna od czterech równoległych ścieżek powyżej i nigdy ich nie zastępuje.
BSI i CERT-Bund (Niemcy)
Bundesamt für Sicherheit in der Informationstechnik jest właściwym organem dla zgłaszania na podstawie NIS 2 w Niemczech. Zgłoszenia na podstawie §32 BSIG przebiegają przez BSI Meldeportal pod adresem bsi.bund.de. CERT-Bund wewnątrz BSI obsługuje koordynację reagowania technicznego. Dla warstwy unijnej sieć CSIRT koordynowana przez ENISA jest kanałem nadrzędnym między krajowymi CSIRT.
BKA oraz jednostki cyberprzestępczości krajowych LKA
Ransomware jest przestępstwem na podstawie §202a, §202b, §303a i §303b StGB. Dochodzenie karne biegnie odrębnie od zgłoszenia regulacyjnego. Każdy krajowy urząd policji kryminalnej (LKA) ma Zentrale Ansprechstelle Cybercrime (ZAC). BKA prowadzi federalną ścieżkę cyberprzestępczości. §44 BSIG wprost przewiduje współpracę BSI z organami ścigania, co oznacza, że zgłoszenie u jednego nie zgłasza u drugiego. Złożenie zawiadomienia o przestępstwie jest odrębną decyzją, którą musi podjąć organ zarządzający.
Regulator sektorowy, organ ochrony danych, łańcuch dostaw
Trzy dodatkowe kanały mogą być otwarte w tym samym czasie. Jeżeli dotknięte są dane osobowe, powiadomienie na podstawie art. 33 GDPR do właściwego organu nadzorczego ds. ochrony danych biegnie na własnym 72-godzinnym zegarze. Niektóre sektory (energetyka, finanse, zdrowie) mają dodatkowe zgłaszanie sektorowe na podstawie własnych reżimów, które NIS 2 wprost zachowuje. A na podstawie art. 21 ust. 2 lit. d) NIS 2 ransomware dotykający dostawcy może uruchomić twoje umowne obowiązki powiadomienia wobec klientów, nawet jeżeli nie jesteś podmiotem bezpośrednio dotkniętym.
Zapłać okup, odzyskaj klucz, idź dalej.
Zapłata nie zamyka teczki. Kaskada zgłaszania na podstawie art. 23 NIS 2 nadal biegnie. Obowiązek odtwarzalnej kopii zapasowej na podstawie art. 21 ust. 2 lit. c) jest nadal testowany przez audytora w przyszłym roku, a opłacone odzyskanie nie jest jej dowodem. Organ ochrony danych nadal zapyta na podstawie art. 33 GDPR, jakie dane osobowe opuściły obwód. A w większości opublikowanych przypadków atakujący albo wracają po drugą zapłatę, albo i tak sprzedają dostęp innej grupie.
Natychmiast wyłącz wszystko, żeby zatrzymać rozprzestrzenianie.
Wyłączenie zasilania niszczy pamięć ulotną, zanim będzie można wykonać jakikolwiek obraz. Dowody kryminalistyczne, których BSI potrzebuje do wczesnego ostrzeżenia, wskaźniki kompromitacji, których potrzebuje reszta twoich zasobów, oraz artefakty, na których opiera się dochodzenie karne, są w chwili ataku w pamięci RAM. Izoluj na poziomie sieci, zabezpiecz obrazy pamięci i dysku, a następnie usuń skutki. Piętnaście minut zabezpieczonych dowodów jest warte więcej niż piętnaście minut uniknionego rozprzestrzeniania na już izolowanych segmentach.
Poczekaj, aż poznamy pełny zakres, zanim złożysz zgłoszenie.
Art. 23 ust. 4 NIS 2 wymaga wczesnego ostrzeżenia w ciągu 24 godzin od powzięcia wiedzy, a nie w ciągu 24 godzin od pełnego zrozumienia. Dyrektywa wprost dopuszcza, by wczesne ostrzeżenie było obrazem częściowym. Czekanie poza znacznik 24 godzin, by uzyskać jasność, jest najczęstszym powodem przekraczania terminu przez podmioty. Stanowisko BSI, Schnelligkeit vor Vollständigkeit, jest intencją dyrektywy.
180-osobowa firma budowy maszyn w Baden-Württemberg, sklasyfikowana jako wichtige Einrichtung na podstawie NIS 2, ponieważ sektor i liczba pracowników umieszczają ją w zakresie. 07:42 we wtorek: produkcyjny ERP zgłasza błędy certyfikatów, udziały plikowe nieczytelne, nota okupowa na trzech serwerach. 07:58: kierownik IT odłącza dotknięty VLAN na przełączniku, pozostawia maszyny uruchomione. 08:15: CEO poinformowany, decyduje o zwołaniu organu zarządzającego w ciągu godziny i o zaangażowaniu zewnętrznego retainera IR, który firma miała w aktach. 09:30: organ zarządzający w pokoju, trzy decyzje udokumentowane w logu audytowym: zadeklarować istotny incydent na podstawie art. 23, autoryzować zaangażowanie IR, brak decyzji o okupie na razie. 10:40: zewnętrzny IR rozpoczyna imagowanie pamięci na dotkniętych hostach. 12:15: 24-godzinne wczesne ostrzeżenie złożone przez BSI Meldeportal na podstawie §32 BSIG, stwierdzające: zakres nieznany, podejrzewana rodzina ransomware, brak potwierdzonej eksfiltracji danych osobowych na razie.
14:00: inspektor ochrony danych potwierdza, że dane osobowe znajdują się na dwóch z dotkniętych udziałów plikowych. Powiadomienie na podstawie art. 33 GDPR sporządzone, 72-godzinny zegar zaczyna biec wobec krajowego organu nadzorczego ds. ochrony danych. 16:30: kopie zapasowe zweryfikowane jako czyste na izolowanej infrastrukturze, przywracanie rozpoczyna się na odrębnym VLAN. Następnego dnia: zawiadomienie o przestępstwie złożone w jednostce cyberprzestępczości krajowego LKA. Dzień trzeci: 72-godzinne powiadomienie o incydencie na podstawie art. 23 NIS 2 z ostrzejszym obrazem: początkowy wektor wejścia, zakres szyfrowania, brak zakłócenia usługi publicznej (firma nie prowadzi usług kluczowych dla stron trzecich). W ciągu czterech tygodni: sprawozdanie końcowe na podstawie art. 23 ust. 4 lit. d). Odtwarzalne kopie zapasowe, cztery równoległe ścieżki, udokumentowane decyzje organu zarządzającego oraz ślad audytowy to, co uratowało tę firmę. Postawa szyfrowania na podstawie art. 21 ust. 2 lit. i) to, co ograniczyło eksfiltrację danych. Nic z tego nie wymagało sześciocyfrowego zaangażowania doradczego przed incydentem. Wymagało czterech spisanych rzeczy na ścianie: kto dzwoni do kogo, co jest zgłaszane i kiedy, kto może podpisać którą decyzję i gdzie faktycznie znajdują się odtwarzalne kopie zapasowe.
Platforma przechowuje cztery spisane rzeczy na ścianie: listę kontaktów do BSI, organu ochrony danych i LKA; szablony zgłoszeń do kaskady 24 godz. / 72 godz. / jeden miesiąc na podstawie art. 23; przypisanie, który członek organu zarządzającego może podpisać którą decyzję; oraz link do dowodów konfiguracji kopii zapasowych wymaganych przez art. 21 ust. 2 lit. c). Wszystko jest rejestrowane w śladzie audytowym ze znacznikami czasu, tak aby sprawozdanie końcowe po incydencie mogło zostać sporządzone z prawdziwych danych, a nie z pamięci.
Platforma jest darmowa i open source. Nie ma poziomu płatnego i nie ma lock-in. Sensem tej strony nie jest niczego sprzedać. Jest nim zapewnienie, że jeżeli incydent ransomware uderzy w przyszłym tygodniu, organ zarządzający będzie wiedział, które cztery telefony wykonać, w jakiej kolejności, na którym zegarze.
- Dyrektywa (UE) 2022/2555 (NIS 2): art. 20 (odpowiedzialność organu zarządzającego), art. 21 ust. 2 lit. c) i i) (ciągłość, kopie zapasowe, odtwarzanie, kryptografia), art. 23 (kaskada zgłaszania). EUR-Lex.
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690, sekcja 11.6 załącznika (ransomware jako kategoria istotnego incydentu dla podmiotów infrastruktury cyfrowej). EUR-Lex.
- BSIG (Niemcy): §30 (środki zarządzania ryzykiem), §32 (BSI Meldeportal), §44 (współpraca z organami ścigania). Gesetze im Internet.
- Rozporządzenie (UE) 2016/679 (GDPR): art. 33 (powiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych). EUR-Lex.
- BSI: pakiety informacyjne NIS 2 o Schnelligkeit vor Vollständigkeit oraz stanowisko, że pauschaler Risikotransfer nie zastępuje środków technicznych i organizacyjnych. bsi.bund.de.
- ENISA: koordynacja sieci CSIRT dla incydentów transgranicznych. enisa.europa.eu.