Răspunsul la ransomware conform NIS 2
Mecanica primelor 24 de ore: ce să izolați, pe cine să anunțați și ce solicită de fapt directiva.
Ce este această pagină
Ransomware nu este o categorie de reglementare separată. NIS 2 îl tratează ca pe un incident semnificativ printre altele. Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei enumeră ransomware explicit în secțiunea 11.6 din Anexă ca un tip recunoscut de incident semnificativ pentru entitățile de infrastructură digitală, dar obligațiile se află în articolul 21 (măsuri de gestionare a riscurilor) și articolul 23 (cascada de raportare) din directiva în sine.
Pagina este scrisă pentru un director general, un responsabil IT sau un CISO dintr-o companie de 50 până la 250 de persoane care fie tocmai a fost lovită, fie vrea să știe cum ar trebui să arate primele ore. Nu este consultanță juridică și nu înlocuiește un contract de răspuns la incidente. Este mecanica juridică din jurul muncii tehnice.
Cea mai utilă propoziție: izolarea, raportarea, decizia conducerii și aplicarea legii rulează în paralel, nu în secvență. Directiva nu vă lasă să terminați una înainte de a o începe pe următoarea.
Directiva (UE) 2022/2555 (NIS 2)
Articolul 21(2)(c): politici și proceduri privind continuitatea activității, cum ar fi gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor. Articolul 21(2)(i): politici și proceduri privind utilizarea criptografiei și, după caz, a criptării.
Articolul 21(2)(c) este locul în care se află obligația de copie de rezervă recuperabilă. Existența unei copii de rezervă nu este testul. Restaurabilitatea în condiții de atac este. Articolul 21(2)(i) acoperă postura de criptare care decide dacă atacatorul citește tot ce atinge. Articolul 23 stabilește apoi cascada de raportare în patru etape: avertizare timpurie în 24 de ore, notificarea incidentului în 72 de ore, raport intermediar la cerere, raport final în termen de o lună.
Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei
Secțiunea 11.6 din Anexă enumeră ransomware printre scenariile de incidente care constituie un incident semnificativ pentru entitățile care furnizează servicii de infrastructură digitală.
CIR este obligatoriu fără transpunere națională și vă spune ce contează ca semnificativ pentru tipurile de entități pe care le acoperă (în esență cele 11 categorii de infrastructură digitală și servicii digitale). Pentru sectoarele din afara domeniului său de aplicare, testul de semnificație din articolul 23(3) NIS 2 se aplică în continuare: perturbare operațională gravă, pierdere financiară sau prejudiciu material ori nematerial adus altora. Ransomware care blochează producția îndeplinește aproape întotdeauna acel test.
BSIG (Germania)
§30 BSIG: măsuri tehnice și organizatorice adecvate riscului. §32 BSIG: notificarea către BSI prin Meldeportal la bsi.bund.de. §44 BSIG: cooperarea BSI cu autoritățile de aplicare a legii.
BSIG este exemplul german de transpunere. NL și AT au propriile lor. Cascada de 24 / 72 de ore / intermediar / o lună este la nivelul directivei și identică în toate statele membre. Canalul de raportare este național: în Germania Meldeportal-ul BSI, separat autoritatea de supraveghere pentru protecția datelor conform articolului 33 GDPR dacă sunt implicate date cu caracter personal, separat din nou Oficiul Criminalistic de Stat (LKA) sau BKA dacă doriți o investigație penală.
Izolarea tehnică și conservarea criminalistică
Izolați segmentele afectate fără a le șterge. Cea mai frecventă greșeală sub panică este oprirea și reimaginarea înainte de a se face o imagine, ceea ce distruge atât dovezile de care au nevoie BSI și autoritățile de aplicare a legii, cât și indicatorii de compromitere care vă spun ce altceva a atins atacatorul. Deconectați-vă de la rețea, nu opriți. Faceți imagini de memorie și de disc înainte de remediere. Începeți restaurarea din cea mai recentă copie de rezervă curată verificată, pe o infrastructură izolată. Articolul 21(2)(c) NIS 2 cere ca copia de rezervă să fie recuperabilă, nu doar prezentă. Cel mai frecvent mod de eșec în incidentele auditate sunt copiile de rezervă care erau online și au fost criptate alături de producție.
Decizia organismului de conducere
Articolul 20 NIS 2 face organismul de conducere răspunzător. Într-un incident de ransomware în desfășurare există trei decizii pe care doar organismul de conducere le poate semna: declararea unui incident semnificativ conform articolului 23, autorizarea cheltuielilor pentru răspuns extern la incidente și refuzarea sau luarea în considerare a oricărei cereri de răscumpărare. Decizia și raționamentul trebuie documentate în timp real. Pista de audit a platformei este construită pentru acest lucru. Ideea nu este să aveți un răspuns perfect în ora a doua. Ideea este să aveți o decizie înregistrată de o persoană răspunzătoare.
Cascada de raportare către autoritatea de reglementare
Articolul 23 NIS 2 este o cascadă în patru etape cu ceasuri ferme. Avertizare timpurie către CSIRT-ul național sau autoritatea competentă în termen de 24 de ore de la luarea la cunoștință. Notificarea incidentului în termen de 72 de ore cu o evaluare inițială a gravității și a impactului și orice indicatori de compromitere disponibili. Actualizare intermediară la cererea autorității. Raport final în termen de o lună. În Germania, acest lucru trece prin Meldeportal-ul BSI conform §32 BSIG. Dacă sunt afectate date cu caracter personal, articolul 33 GDPR rulează în paralel cu propriul ceas de 72 de ore către autoritatea de supraveghere pentru protecția datelor. Cele două rapoarte sunt separate și merg la autorități separate.
Viteza înaintea completitudinii
Poziția BSI este explicită: Schnelligkeit vor Vollständigkeit. Avertizarea timpurie de 24 de ore conform articolului 23(4) NIS 2 nu este un raport complet. Este un semnal cu ceea ce știți. Aveți voie să spuneți că domeniul de aplicare nu este încă cunoscut. Nu aveți voie să așteptați până când este. Depunerea la timp a unei avertizări timpurii incomplete și actualizarea ei ulterioară este calea conformă cu directiva. Așteptarea clarității nu este.
Plata este o decizie de afaceri, nu o scurtătură de conformitate
BSI sfătuiește împotriva plății răscumpărării, iar poziția este clară că plățile de asigurare nu sunt un transfer de risc în sensul articolului 21: pauschaler Risikotransfer ist ausgeschlossen. Plata nu stinge obligația de raportare, nu satisface obligația de copie de rezervă recuperabilă conform articolului 21(2)(c) și nu oprește o investigație penală. Decizia de a plăti sau nu este separată de cele patru piste paralele de mai sus și nu le înlocuiește niciodată.
BSI și CERT Bund (Germania)
Bundesamt für Sicherheit in der Informationstechnik este autoritatea competentă pentru raportarea NIS 2 în Germania. Rapoartele conform §32 BSIG trec prin Meldeportal-ul BSI la bsi.bund.de. CERT Bund din cadrul BSI gestionează coordonarea răspunsului tehnic. Pentru stratul UE, rețeaua CSIRT coordonată de ENISA este canalul din amonte între CSIRT-urile naționale.
BKA și unitățile de criminalitate informatică LKA de stat
Ransomware este o infracțiune conform §202a, §202b, §303a și §303b StGB. Investigația penală se desfășoară separat de raportul de reglementare. Fiecare Oficiu Criminalistic de Stat (LKA) are un Zentrale Ansprechstelle Cybercrime (ZAC). BKA gestionează pista federală de criminalitate informatică. §44 BSIG prevede explicit cooperarea BSI cu autoritățile de aplicare a legii, ceea ce înseamnă că depunerea la una nu depune la cealaltă. Depunerea unei plângeri penale este o decizie separată pe care trebuie să o ia organismul de conducere.
Autoritatea de reglementare sectorială, autoritatea de protecție a datelor, lanțul de aprovizionare
Trei canale suplimentare pot fi deschise în același timp. Dacă sunt afectate date cu caracter personal, notificarea conform articolului 33 GDPR către autoritatea competentă de supraveghere pentru protecția datelor rulează pe propriul ceas de 72 de ore. Unele sectoare (energie, finanțe, sănătate) au raportare sectorială suplimentară specifică conform propriilor regimuri pe care NIS 2 le păstrează explicit. Și conform articolului 21(2)(d) NIS 2, ransomware care afectează un furnizor poate declanșa obligațiile dvs. contractuale de notificare către clienții dvs., chiar dacă nu sunteți entitatea direct afectată.
Plătiți răscumpărarea, obțineți cheia, mergeți mai departe.
Plata nu închide dosarul. Cascada de raportare conform articolului 23 NIS 2 rulează în continuare. Obligația de copie de rezervă recuperabilă conform articolului 21(2)(c) este în continuare testată de un auditor anul viitor, iar o recuperare plătită nu este dovada uneia. Autoritatea de protecție a datelor va întreba în continuare conform articolului 33 GDPR ce date cu caracter personal au părăsit perimetrul. Și în majoritatea cazurilor publicate, atacatorii fie revin pentru o a doua plată, fie vând accesul altui grup oricum.
Opriți totul imediat pentru a opri răspândirea.
Oprirea distruge memoria volatilă înainte ca vreo imagine să poată fi făcută. Dovezile criminalistice de care are nevoie BSI pentru avertizarea timpurie, indicatorii de compromitere de care are nevoie restul parcului dvs. și artefactele de care depinde o investigație penală sunt toate în RAM în momentul atacului. Izolați la nivel de rețea, conservați imaginile de memorie și de disc, apoi remediați. Cele cincisprezece minute de dovezi conservate valorează mai mult decât cele cincisprezece minute de răspândire evitată pe segmente deja izolate.
Așteptați până cunoaștem domeniul complet de aplicare înainte de depunere.
Articolul 23(4) NIS 2 cere avertizarea timpurie în termen de 24 de ore de la luarea la cunoștință, nu în termen de 24 de ore de la înțelegerea completă. Directiva permite explicit ca avertizarea timpurie să fie un tablou parțial. Așteptarea peste pragul de 24 de ore pentru a obține claritate este cel mai frecvent motiv pentru care entitățile ratează termenul. Poziția BSI, Schnelligkeit vor Vollständigkeit, este intenția directivei.
O companie de inginerie mecanică de 180 de persoane din Baden Württemberg, clasificată ca wichtige Einrichtung conform NIS 2 deoarece sectorul și numărul de angajați o pun în domeniul de aplicare. 07:42 într-o marți: ERP-ul de producție aruncă erori de certificat, partajările de fișiere sunt necitibile, o notă de răscumpărare pe trei servere. 07:58: responsabilul IT deconectează VLAN-ul afectat la comutator, lasă mașinile pornite. 08:15: CEO informat, decide să convoace organismul de conducere în decurs de o oră și să angajeze contractul extern de IR pe care compania îl avea la dosar. 09:30: organismul de conducere într-o încăpere, trei decizii documentate în jurnalul de audit: declararea unui incident semnificativ conform articolului 23, autorizarea misiunii IR, încă nicio decizie privind răscumpărarea. 10:40: IR-ul extern începe imaginarea memoriei pe gazdele afectate. 12:15: avertizarea timpurie de 24 de ore depusă prin Meldeportal-ul BSI conform §32 BSIG, declarând domeniu de aplicare necunoscut, familie de ransomware suspectată, încă nicio exfiltrare de date cu caracter personal confirmată.
14:00: responsabilul cu protecția datelor confirmă că date cu caracter personal se află pe două dintre partajările de fișiere afectate. Notificarea conform articolului 33 GDPR redactată, ceasul de 72 de ore începe să ticăie față de autoritatea de stat de supraveghere pentru protecția datelor. 16:30: copiile de rezervă verificate curate pe infrastructură izolată, restaurarea începe pe un VLAN separat. A doua zi: plângere penală depusă la unitatea de criminalitate informatică a LKA de stat. Ziua a treia: notificarea incidentului de 72 de ore conform articolului 23 NIS 2 cu un tablou mai clar: vectorul inițial de intrare, domeniul de aplicare al criptării, nicio perturbare a serviciilor publice (compania nu operează servicii esențiale pentru terți). În patru săptămâni: raportul final conform articolului 23(4)(d). Copiile de rezervă recuperabile, cele patru piste paralele, deciziile documentate ale organismului de conducere și pista de audit sunt cele care au salvat această companie. Postura de criptare conform articolului 21(2)(i) este cea care a limitat exfiltrarea de date. Nimic din toate acestea nu a necesitat o misiune de consultanță de șase cifre înainte de incident. A necesitat patru lucruri scrise pe perete: cine pe cine sună, ce se raportează și când, cine poate semna care decizie și unde se află de fapt copiile de rezervă recuperabile.
Platforma stochează cele patru lucruri scrise pe perete: lista de contacte pentru BSI, autoritatea de protecție a datelor și LKA; șabloanele de raportare pentru cascada de 24 / 72 de ore / o lună conform articolului 23; atribuirea membrului organismului de conducere care poate semna care decizie; și legătura către dovada configurației copiei de rezervă cerută de articolul 21(2)(c). Totul este captat în pista de audit cu marcaje temporale, astfel încât raportul final de după incident să poată fi produs din date reale, nu din memorie.
Platforma este gratuită și open source. Nu există un nivel cu plată și niciun lock-in. Scopul acestei pagini nu este să vândă ceva. Este să se asigure că, dacă un incident de ransomware lovește săptămâna viitoare, organismul de conducere știe care patru apeluri telefonice să dea, în ce ordine, pe care ceas.
- Directiva (UE) 2022/2555 (NIS 2): articolul 20 (răspunderea organismului de conducere), articolul 21(2)(c) și (i) (continuitate, copie de rezervă, recuperare, criptografie), articolul 23 (cascada de raportare). EUR-Lex.
- Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei, secțiunea 11.6 din Anexă (ransomware ca o categorie de incident semnificativ pentru entitățile de infrastructură digitală). EUR-Lex.
- BSIG (Germania): §30 (măsuri de gestionare a riscurilor), §32 (BSI Meldeportal), §44 (cooperarea cu autoritățile de aplicare a legii). Gesetze im Internet.
- Regulamentul (UE) 2016/679 (GDPR): articolul 33 (notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere). EUR-Lex.
- BSI: pachetele de informații NIS 2 privind Schnelligkeit vor Vollständigkeit și poziția conform căreia pauschaler Risikotransfer nu este un substitut pentru măsurile tehnice și organizatorice. bsi.bund.de.
- ENISA: coordonarea rețelei CSIRT pentru incidentele transfrontaliere. enisa.europa.eu.