Resposta a ransomware ao abrigo da NIS 2
A mecânica das primeiras 24 horas: o que conter, a quem avisar, e o que a diretiva realmente exige.
O que é esta página
O ransomware não é uma categoria regulatória separada. A NIS 2 trata-o como um incidente significativo entre outros. O Regulamento de Execução (UE) 2024/2690 da Comissão lista o ransomware explicitamente na secção 11.6 do Anexo como um tipo reconhecido de incidente significativo para as entidades de infraestrutura digital, mas as obrigações situam-se no artigo 21.o (medidas de gestão de riscos) e no artigo 23.o (cascata de comunicação) da própria diretiva.
A página é escrita para um diretor-geral, um responsável de TI ou um CISO numa empresa de 50 a 250 pessoas que ou acabou de ser atingida ou quer saber como devem ser as primeiras horas. Não é aconselhamento jurídico e não substitui um contrato de retenção de resposta a incidentes. É a mecânica legal em torno do trabalho técnico.
A frase mais útil de todas: contenção, comunicação, decisão da direção e aplicação da lei correm em paralelo, não em sequência. A diretiva não o deixa terminar uma antes de começar a seguinte.
Diretiva (UE) 2022/2555 (NIS 2)
Artigo 21.o, n.o 2, alínea c): políticas e procedimentos relativos à continuidade do negócio, como a gestão de cópias de segurança e a recuperação após desastre, e a gestão de crises. Artigo 21.o, n.o 2, alínea i): políticas e procedimentos relativos à utilização de criptografia e, se for caso disso, de cifragem.
O artigo 21.o, n.o 2, alínea c) é onde vive a obrigação de cópia de segurança recuperável. A existência de uma cópia de segurança não é o teste. A restaurabilidade sob condições de ataque é. O artigo 21.o, n.o 2, alínea i) cobre a postura de cifragem que decide se o atacante lê tudo o que toca. O artigo 23.o fixa depois a cascata de comunicação em quatro fases: aviso prévio no prazo de 24 horas, notificação de incidente no prazo de 72 horas, relatório intermédio a pedido, relatório final no prazo de um mês.
Regulamento de Execução (UE) 2024/2690 da Comissão
A secção 11.6 do Anexo lista o ransomware entre os cenários de incidente que constituem um incidente significativo para as entidades que prestam serviços de infraestrutura digital.
O CIR é vinculativo sem transposição nacional e diz-lhe o que conta como significativo para os tipos de entidade que cobre (essencialmente as 11 categorias de infraestrutura digital e de serviços digitais). Para os setores fora do seu âmbito, o teste de significância do artigo 23.o, n.o 3 da NIS 2 continua a aplicar-se: perturbação operacional grave, perda financeira, ou dano material não material a outros. O ransomware que bloqueia a produção cumpre quase sempre esse teste.
BSIG (Alemanha)
§30 BSIG: medidas técnicas e organizacionais adequadas ao risco. §32 BSIG: notificação ao BSI através do Meldeportal em bsi.bund.de. §44 BSIG: cooperação do BSI com as autoridades de aplicação da lei.
O BSIG é o exemplo de transposição alemã. Os Países Baixos e a Áustria têm os seus próprios. A cascata de 24 / 72 horas / intermédio / um mês é de nível da diretiva e idêntica em todos os Estados-Membros. O canal de comunicação é nacional: na Alemanha o Meldeportal do BSI, separadamente a autoridade de controlo da proteção de dados ao abrigo do artigo 33.o do GDPR se houver dados pessoais envolvidos, separadamente de novo a Polícia Criminal do Land (LKA) ou o BKA se quiser uma investigação criminal.
Contenção técnica e preservação forense
Isole os segmentos afetados sem os apagar. O erro mais comum sob pânico é desligar e reinstalar antes de qualquer imagem ser tirada, o que destrói tanto a prova de que o BSI e a aplicação da lei precisam como os indicadores de compromisso que lhe dizem o que mais o atacante tocou. Desligue da rede, não desligue a alimentação. Tire imagens de memória e de disco antes da remediação. Inicie o restauro a partir da cópia de segurança limpa verificada mais recente em infraestrutura isolada. O artigo 21.o, n.o 2, alínea c) da NIS 2 exige que a cópia de segurança seja recuperável, não apenas presente. O modo de falha mais comum em incidentes auditados são cópias de segurança que estavam online e foram cifradas a par da produção.
Decisão do órgão de direção
O artigo 20.o da NIS 2 responsabiliza o órgão de direção. Num incidente de ransomware em curso há três decisões que só o órgão de direção pode assinar: declarar um incidente significativo ao abrigo do artigo 23.o, autorizar a despesa externa de resposta a incidentes, e recusar ou ponderar qualquer pedido de resgate. A decisão e o raciocínio têm de ser documentados em tempo real. O rasto de auditoria da plataforma é construído para isto. O ponto não é ter uma resposta perfeita na segunda hora. O ponto é ter uma decisão registada por uma pessoa responsável.
Cascata de comunicação ao regulador
O artigo 23.o da NIS 2 é uma cascata de quatro fases com relógios rígidos. Aviso prévio ao CSIRT nacional ou à autoridade competente no prazo de 24 horas a partir do conhecimento. Notificação de incidente no prazo de 72 horas com uma avaliação inicial de gravidade e impacto e quaisquer indicadores de compromisso disponíveis. Atualização intermédia a pedido da autoridade. Relatório final no prazo de um mês. Na Alemanha isto passa pelo Meldeportal do BSI ao abrigo do §32 BSIG. Se houver dados pessoais afetados, o artigo 33.o do GDPR corre em paralelo com o seu próprio relógio de 72 horas para a autoridade de controlo da proteção de dados. Os dois relatórios são separados e vão para autoridades separadas.
Rapidez antes de completude
A posição do BSI é explícita: Schnelligkeit vor Vollständigkeit. O aviso prévio de 24 horas ao abrigo do artigo 23.o, n.o 4 da NIS 2 não é um relatório completo. É uma sinalização com o que sabe. Está autorizado a dizer que o âmbito ainda não é conhecido. Não está autorizado a esperar até que seja. Apresentar um aviso prévio incompleto a tempo e atualizá-lo mais tarde é a via conforme à diretiva. Esperar por clareza não é.
O pagamento é uma decisão de negócio, não um atalho de conformidade
O BSI desaconselha o pagamento de resgate e a posição é clara de que os pagamentos de seguros não são uma transferência de risco no sentido do artigo 21.o: pauschaler Risikotransfer ist ausgeschlossen. Pagar não extingue a obrigação de comunicação, não satisfaz a obrigação de cópia de segurança recuperável do artigo 21.o, n.o 2, alínea c), e não para uma investigação criminal. A decisão de pagar ou não é separada das quatro vias paralelas acima e nunca as substitui.
BSI e CERT-Bund (Alemanha)
O Bundesamt für Sicherheit in der Informationstechnik é a autoridade competente para a comunicação da NIS 2 na Alemanha. Os relatórios ao abrigo do §32 BSIG passam pelo Meldeportal do BSI em bsi.bund.de. O CERT-Bund dentro do BSI trata da coordenação da resposta técnica. Para a camada da UE, a rede de CSIRT coordenada pela ENISA é o canal a montante entre os CSIRT nacionais.
BKA e unidades de cibercrime do LKA dos Länder
O ransomware é um crime ao abrigo do §202a, §202b, §303a e §303b do StGB. A investigação criminal corre separadamente do relatório regulatório. Cada Polícia Criminal do Land (LKA) tem um Zentrale Ansprechstelle Cybercrime (ZAC). O BKA executa a via federal de cibercrime. O §44 BSIG prevê explicitamente a cooperação do BSI com a aplicação da lei, o que significa que apresentar a um não apresenta ao outro. Apresentar uma queixa-crime é uma decisão separada que o órgão de direção tem de tomar.
Regulador setorial, autoridade de proteção de dados, cadeia de abastecimento
Três canais adicionais podem estar abertos ao mesmo tempo. Se houver dados pessoais afetados, a notificação do artigo 33.o do GDPR à autoridade de controlo da proteção de dados competente corre no seu próprio relógio de 72 horas. Alguns setores (energia, finanças, saúde) têm comunicação setorial adicional ao abrigo dos seus próprios regimes que a NIS 2 preserva explicitamente. E ao abrigo do artigo 21.o, n.o 2, alínea d) da NIS 2, o ransomware que afeta um fornecedor pode acionar os seus deveres contratuais de notificação aos seus clientes, mesmo que não seja a entidade diretamente afetada.
Pagar o resgate, obter a chave, seguir em frente.
O pagamento não fecha o processo. A cascata de comunicação do artigo 23.o da NIS 2 continua a correr. A obrigação de cópia de segurança recuperável do artigo 21.o, n.o 2, alínea c) continua a ser testada por um auditor no ano seguinte e uma recuperação paga não é prova de uma. A autoridade de proteção de dados vai ainda perguntar ao abrigo do artigo 33.o do GDPR que dados pessoais saíram do perímetro. E na maioria dos casos publicados, os atacantes ou voltam para um segundo pagamento ou vendem o acesso a outro grupo de qualquer forma.
Desligar tudo imediatamente para parar a propagação.
Desligar a alimentação destrói a memória volátil antes de qualquer imagem poder ser tirada. A prova forense de que o BSI precisa para o aviso prévio, os indicadores de compromisso de que o resto do seu parque precisa, e os artefactos de que uma investigação criminal depende estão todos na RAM no momento do ataque. Isole ao nível da rede, preserve imagens de memória e de disco, depois remedeie. Os quinze minutos de prova preservada valem mais do que os quinze minutos de propagação evitada em segmentos já isolados.
Esperar até sabermos o âmbito completo antes de apresentar.
O artigo 23.o, n.o 4 da NIS 2 exige o aviso prévio no prazo de 24 horas a partir do conhecimento, não no prazo de 24 horas a partir do entendimento completo. A diretiva permite explicitamente que o aviso prévio seja um quadro parcial. Esperar para além da marca das 24 horas para obter clareza é a razão mais comum para as entidades falharem o prazo. A posição do BSI, Schnelligkeit vor Vollständigkeit, é a intenção da diretiva.
Uma empresa de engenharia mecânica de 180 pessoas em Baden-Württemberg, classificada como wichtige Einrichtung ao abrigo da NIS 2 porque o setor e o número de colaboradores a colocam no âmbito. 07:42 de uma terça-feira: o ERP de produção lança erros de certificado, partilhas de ficheiros ilegíveis, uma nota de resgate em três servidores. 07:58: o responsável de TI desliga a VLAN afetada no switch, deixa as máquinas a funcionar. 08:15: CEO informado, decide convocar o órgão de direção dentro da hora e contratar o retentor externo de IR que a empresa tinha em arquivo. 09:30: órgão de direção numa sala, três decisões documentadas no registo de auditoria: declarar incidente significativo ao abrigo do artigo 23.o, autorizar o trabalho de IR, ainda sem decisão de resgate. 10:40: o IR externo começa a tirar imagens de memória nos hosts afetados. 12:15: aviso prévio de 24 horas apresentado através do Meldeportal do BSI ao abrigo do §32 BSIG, indicando âmbito desconhecido, família de ransomware suspeita, sem exfiltração de dados pessoais confirmada ainda.
14:00: o encarregado da proteção de dados confirma que há dados pessoais em duas das partilhas de ficheiros afetadas. Notificação do artigo 33.o do GDPR redigida, o relógio de 72 horas começa a contar face à autoridade de controlo da proteção de dados do Land. 16:30: cópias de segurança verificadas limpas em infraestrutura isolada, o restauro começa numa VLAN separada. No dia seguinte: queixa-crime apresentada à unidade de cibercrime do LKA do Land. Dia três: notificação de incidente de 72 horas ao abrigo do artigo 23.o da NIS 2 com um quadro mais nítido: vetor de entrada inicial, âmbito da cifragem, sem perturbação de serviço público (a empresa não opera serviços essenciais para terceiros). Dentro de quatro semanas: o relatório final ao abrigo do artigo 23.o, n.o 4, alínea d). As cópias de segurança recuperáveis, as quatro vias paralelas, as decisões documentadas do órgão de direção, e o rasto de auditoria são o que salvou esta empresa. A postura de cifragem ao abrigo do artigo 21.o, n.o 2, alínea i) é o que limitou a exfiltração de dados. Nada disto exigiu um trabalho de consultoria de seis algarismos antes do incidente. Exigiu quatro coisas escritas na parede: quem liga a quem, o que é comunicado quando, quem pode assinar que decisão, e onde estão de facto as cópias de segurança recuperáveis.
A plataforma armazena as quatro coisas escritas na parede: a lista de contactos do BSI, da autoridade de proteção de dados e do LKA; os modelos de comunicação para a cascata de 24 / 72 horas / um mês ao abrigo do artigo 23.o; a atribuição de qual membro do órgão de direção pode assinar que decisão; e a ligação à prova de configuração de cópias de segurança exigida pelo artigo 21.o, n.o 2, alínea c). Tudo é captado no rasto de auditoria com carimbos de data e hora para que o relatório final pós-incidente possa ser produzido a partir de dados reais, não de memória.
A plataforma é gratuita e de código aberto. Não há nível pago e não há lock-in. O ponto desta página não é vender nada. É garantir que, se um incidente de ransomware atingir na próxima semana, o órgão de direção saiba que quatro chamadas fazer, em que ordem, em que relógio.
- Diretiva (UE) 2022/2555 (NIS 2): artigo 20.o (responsabilidade do órgão de direção), artigo 21.o, n.o 2, alíneas c) e i) (continuidade, cópia de segurança, recuperação, criptografia), artigo 23.o (cascata de comunicação). EUR-Lex.
- Regulamento de Execução (UE) 2024/2690 da Comissão, secção 11.6 do Anexo (ransomware como categoria de incidente significativo para entidades de infraestrutura digital). EUR-Lex.
- BSIG (Alemanha): §30 (medidas de gestão de riscos), §32 (Meldeportal do BSI), §44 (cooperação com a aplicação da lei). Gesetze im Internet.
- Regulamento (UE) 2016/679 (GDPR): artigo 33.o (notificação de uma violação de dados pessoais à autoridade de controlo). EUR-Lex.
- BSI: pacotes de informação NIS 2 sobre Schnelligkeit vor Vollständigkeit e a posição de que pauschaler Risikotransfer não é um substituto das medidas técnicas e organizacionais. bsi.bund.de.
- ENISA: coordenação da rede de CSIRT para incidentes transfronteiriços. enisa.europa.eu.