Prvé hodiny po kybernetickom incidente nie sú len IT krízou. Sú právnou, manažérskou a reputačnou udalosťou, pri ktorej každé rozhodnutie zanecháva stopu alebo medzeru, ktorú bude regulátor neskôr hľadať. NIS2 nastavila európsky rámec, no konkrétne oznamovacie povinnosti dnes vyplývajú z národných zákonov.
Je piatok, 17:43. Bezpečnostný systém spúšťa alarm a súbory sa začínajú šifrovať. Zrejme ide o ransomware. Technický tím útok potvrdí o dve hodiny neskôr. A práve v tej chvíli sa začína nielen boj o dáta, ale aj odpočítavanie lehôt, ktoré môžu rozhodovať o pokutách, dôvere partnerov a schopnosti organizácie zvládnuť krízu.
Kybernetický incident si totiž vyžaduje koordinovanú reakciu viacerých organizačných zložiek naraz. Technický tím potrebuje zastaviť útok. Právne oddelenie musí sledovať oznamovacie povinnosti. Vedenie musí prijímať rozhodnutia, ktoré majú strategický, reputačný aj právny význam. Komunikácia musí byť koordinovaná a každý krok musí byť zdokumentovaný.
Smernica NIS2 tento tlak výrazne zvýšila. Pri konkrétnom prípade však organizácia nevychádza iba zo samotného textu smernice. NIS2 je európsky rámec, ktorý členské štáty premietli alebo premietajú do národných právnych predpisov. Povinnosti pri incidente preto treba posudzovať podľa národnej legislatívy, sektorovej regulácie a pravidiel dohľadového orgánu.
Čo vyžaduje právny rámec po transpozícii NIS2
Európsky rámec NIS2 zaviedol prísnejší mechanizmus oznamovania významných kybernetických incidentov. Nejde však o každý technický problém ani každý bezpečnostný alarm. Oznamovacie povinnosti sa viažu na incident, ktorý napĺňa kritériá stanovené príslušnou právnou úpravou.
Základná logika je trojstupňová. Najskôr prichádza včasné varovanie. Cieľom nie je úplná forenzná analýza, ale rýchly signál príslušnému orgánu, že incident nastal alebo pravdepodobne nastal, a môže mať širšie bezpečnostné dôsledky.
Nasleduje podrobnejšie oznámenie s prvotným hodnotením incidentu, odhadovaným rozsahom dopadu na služby, systémy alebo dáta a prehľadom prijatých opatrení. Napokon prichádza záverečná správa s analýzou príčin, priebehu útoku, dopadov a nápravných opatrení. Konkrétne lehoty, obsah a forma oznámení sa môžu líšiť podľa národnej legislatívy.
Podstata je však rovnaká: regulátor neočakáva, že organizácia bude v prvých hodinách vedieť všetko. Očakáva však, že bude konať včas, primerane, koordinovane a zdokumentovane. Neúplnosť informácií preto nie je ospravedlnením pre meškanie.
Odpočítavanie: ako vyzerá prvých 72 hodín v praxi
V piatok podvečer bezpečnostný systém detekuje šifrovanie súborov. Alarm sa spúšťa automaticky, no nikto ešte nevie, či ide o izolovaný problém, technickú chybu alebo rozsiahly útok.
O dve hodiny neskôr IT tím potvrdí ransomware a identifikuje prvé postihnuté systémy. Incident je okamžite eskalovaný na úroveň vedenia, právneho tímu a zodpovedných osôb podľa interného Incident Response Planu. Nie preto, aby sa hľadal vinník, ale preto, že ďalšie rozhodnutia presahujú kompetencie technického tímu.
Začína sa posudzovať či incident napĺňa kritériá významného kybernetického incidentu. Dôležité je správne určiť, kedy organizácia nadobudla vedomosť o incidente, ktorý môže spúšťať oznamovaciu povinnosť. Nie každý technický alarm automaticky znamená začiatok plynutia právnej lehoty. Nemôže však čakať na úplnú istotu, ak už okolnosti naznačujú významný incident.
Osemnásť hodín po potvrdení útoku technici ešte nepoznajú plný rozsah škôd. Právne oddelenie však v spolupráci s technickým tímom a vedením pripravujú včasné varovanie. Správa obsahuje to, čo organizácia v danom momente vie, aké opatrenia prijala a aké riziká predbežne identifikovala.
Po šesťdesiatich hodinách tím zisťuje, že pri útoku mohlo dôjsť aj k úniku osobných údajov klientov. Do procesu preto vstupuje posúdenie povinností podľa GDPR. Organizácia pripravuje podrobnejšie oznámenie podľa kybernetickej regulácie a paralelne posudzuje, či vzniká povinnosť oznámiť porušenie ochrany osobných údajov.
Tento scenár má relatívne dobrý koniec nie preto, že organizácia mala šťastie. Ale preto, že niekto vopred vedel čo robiť, koho informovať, ako dokumentovať rozhodnutia a kedy komunikovať s príslušným orgánom.
Kde organizácie zlyhávajú
Organizácie často nezlyhávajú preto, že by útok technicky nezvládli. Zlyhávajú preto, že porušia procesné povinnosti. Najnebezpečnejší prístup je ten, keď sa organizácia rozhodne najprv útok „vyriešiť“, a až potom ho oznámiť. Ak medzičasom zmešká oznamovaciu lehotu, technický úspech neodstráni právny problém.
Ďalším častým zlyhaním je oneskorená eskalácia na úroveň vedenia. Incident zostane príliš dlho uzavretý v technickom tíme, hoci už má právne, reputačné alebo prevádzkové dopady. Rizikom je aj nekoordinovaná komunikácia, keď rôzne oddelenia hovoria navonok rôzne veci alebo komunikujú bez overených informácií.
Osobitnou slabinou býva dokumentácia. Ak organizácia nedokáže spätne preukázať čo vedela, kedy to vedela, kto rozhodol, aké opatrenia boli prijaté a prečo, jej postavenie pri kontrole je oslabené. Dokumentácia nie je byrokracia. Je to najdôležitejší dôkazný prostriedok.
Prečo musí byť rozdelenie práce jasné vopred
Incident Response Plan nie je len interný dokument pre IT oddelenie. V regulovanom prostredí je praktickým predpokladom toho, aby organizácia vedela splniť oznamovacie, dokumentačné a riadiace povinnosti.
Mal by určovať kto má právomoc incident eskalovať, kto posudzuje jeho závažnosť, kto komunikuje s príslušným orgánom, kto informuje vedenie a kto koordinuje reakciu naprieč tímami. V slovenskom prostredí môže ísť napríklad o komunikáciu podľa zákona o kybernetickej bezpečnosti, typicky voči NBÚ alebo príslušnému CSIRT. V iných štátoch bude príslušný orgán vyplývať z lokálnej legislatívy.
V prvých hodinách musia fungovať minimálne tri línie reakcie: technický tím, právne a compliance tímy a vedenie. Technický tím izoluje systémy, zastavuje šírenie útoku a pripravuje podklady. Právne a compliance tímy sledujú oznamovacie lehoty a pripravujú oznámenia. Vedenie prijíma strategické rozhodnutia o prevádzke, komunikácii, zdrojoch a kontinuite služieb.
Tieto línie nemôžu fungovať izolovane. Prvé hodiny po incidente sú testom schopnosti organizácie konať ako jeden koordinovaný celok. Každé rozhodnutie, zistenie a prijaté opatrenie musí mať záznam, aby organizácia dokázala spätne preukázať, že reagovala primerane, včas a na základe dostupných informácií.
Príprava rozhoduje. Nie šťastie
Prvých 72 hodín po významnom kybernetickom incidente nie je len testom technickej obrany. Je to test toho, či organizácia vie konať, rozhodovať, dokumentovať a komunikovať v súlade s právnymi povinnosťami.
V digitálnom prostredí už príprava na incident nie je prejavom pesimizmu. Je základnou súčasťou riadenia rizík. Ak má organizácia vopred nastavený Incident Response Plan, jasné kompetencie, komunikačné scenáre a testované procesy, dokáže premeniť kritických 72 hodín na kontrolovaný postup. Ak ich nemá, technický problém sa rýchlo zmení na právnu, reputačnú a manažérsku krízu.
Nečakajte na prvý útok. Určite si už dnes kto má právo incident eskalovať, komunikovať a riešiť ho. Pretože pri kybernetickom incidente nerozhoduje len to, čo organizácia urobí. Rozhoduje aj to, či vie preukázať kedy, prečo a ako konala.
