Priglašitev varnostnih incidentov: ključna obveznost po ZInfV-1
Eno od kritičnih izhodišč v ZInfV-1 je obveza, da zavezane organizacije takoj priglasijo resne varnostne incidente SI-CERT-u. To ni opcija – je zakonska obveza s jasnimi rokami in sankcijami. Kaj se šteje za incident? Kako ga priglasiti? Kaj se zgodi po prijavi? Ta članek prinaša konkretne odgovore.
Ključne točke:
- Varnostni incident je vsak dogodek, ki pripelje do neizpuščenega dostopa, spremembe ali izgubitka podatkov
- Kritični incidenti se morajo priglasiti SI-CERT-u v 24 urah od odkritja
- Ne-kritični incidenti se poročajo v rednih letnih poročilih
- Kaj je “kritičan” definira SI-CERT na osnovi resnosti posledic
- Neprijava resnega incidenta je huda kršitev zakona s kazni do 200.000 eur
- Prijava ne pomeni avtomatske sankcije – pomeni iskanje pomoči
Kaj se šteje za varnostni incident?
Varnostni incident je vsak dogodek, ki ima resne posledice za varnost informacijskih sistemov ali podatkov.
Kibernetski napadi
- Ransomware napad, ki šifrira podatke na strežnikih
- Vdirek nepooblaščenega oseba v sistem
- Ddos napad, ki ustavi delovanje storitve
- Malware infekcija, ki se širi po omrežju
- Sql injection, ki omogoči dostop do baze podatkov
Problemi z dostopom in podatki
- Nepooblaščen dostop zaposlenega do občutljivih podatkov
- Izguba fizičnega nadzora nad strežnikom ali napravami
- Puščanje ali kraja podatkov strank ali partnerjev
- Izbris ali spreminjanje kritičnih podatkov
Razlika med kritičnimi in manj resnimi incidenti
Zakon razlikuje med dvema vrstama incidentov:
Kritični incidenti – rok 24 ur
Kritični incidenti so tisti, ki:
- Prizadenejo dostopnost, celovitost ali zaupnost kritičnih informacijskih sistemov
- Povzročijo resne posledice za kontinuiteto poslovanja
- Vključujejo krajo ali izgubo občutljivih podatkov v večjih količinah
- Prizadenejo oskrbo kritičnih storitev (npr. elektrika, zdravstvo, finance)
- Prizadenejo osebne podatke večjega števila oseb
Praktični primeri kritičnih incidentov:
- Ransomware napad, ki zaustavlja delovanje bolnišnice – kritičan (24-urni rok)
- Ransomware napad na manjše podjetje brez kritičnih storitev – ni kritičan (letno poročanje)
- Kraja podatkov 100.000 strank – kritičan (24-urni rok)
- Vdirek v katerega podatke enega zaposlenega – ni kritičan (letno poročanje)
- Ddos napad na banko – kritičan (24-urni rok)
Redni incidenti – letno poročanje
Redni incidenti so tisti, ki ne vplivajo direktno na dostopnost, celovitost ali zaupnost kritičnih sistemov in jih priporočite v letnem poročilu SI-CERT-u.
Proces priglašitve kritičnih incidentov
Korak 1: ugotovitev incidenta (ura 0)
Incident je odkrit – to je trenutek, ko vaša ekipa ali avtomatizirani nadzor zazna anomalijo. Na tem mestu se začne 24-urni rok.
Korak 2: ocena resnosti (prvo uro)
V prvi uri od odkritja mora vodstvo odločiti, ali je incident kritičan. Vprašanja za oceno:
- Ali je prizadenjena dostopnost kritičnih sistemov?
- Ali so prizadeti osebni ali poslovni podatki?
- Koliko oseb ali podatkov je prizadetih?
- Ali je incident prizadel partnerje, stranke ali javnost?
- Kakšne so finančne posledice za organizacijo?
Korak 3: priglašitev SI-CERT-u (do 24 ur)
Če je incident kritičan, ga morate priglasiti SI-CERT-u do 24 ur od odkritja. Prijava se opravi preko:
- E-pošta: [email protected]
- Spletni portal: https://www.SI-CERT.si
Kaj vključiti v prijavo
Prijava mora vključevati naslednje podatke:
- Osnovni podatki: Naziv organizacije, kontakt oseba, telefon, e-pošta
- Opis incidenta: Kaj se je točno zgodi – v enostavnem jeziku
- Čas incidenta: Kdaj je incident verjetno začelo in kdaj je bil odkrit
- Prizadeti sistemi: Kateri sistemi so bili prizadeti in katere podatke?
- Dokazila: Obseg prizadetih podatkov, stranke ali oseb
- Trenutne ukrepe: Kaj ste že storili za zaustavljanje incidenta
- Zunanji dejavniki: Ali je incident prizadel tudi druge organizacije ali javnost
Zahteve za dokumentacijo in sledenje
Poleg prijave, zakon zahteva, da dokumentirate ves incident:
- Časovna os: Točni čas vsakega koraka v incidentu in odzivu
- Vpleteni sistemi: Seznami vseh sistemov, podatkov in oseb, ki so bili prizadeti
- Izvršeni ukrepi: Kaj je naredila vaša ekipa za zaustavljanje in obnovitev
- Korijen vzroka: Kako je bil incident možen in zakaj nadzor ni preprečil
- Preprečevalni ukrepi: Kaj boste spremenili, da se to ne bi ponovilo
- Komuniciranje: Kaj ste sporočili strankam, zaposlenim ali javnosti
Kaj se zgodi po prijavi?
SI-CERT odziv
Ko SI-CERT prejme prijavo, se zgodi naslednje:
- SI-CERT acknowledgira prijavo in vas vpraša za dodatne informacije, če jih potrebuje
- SI-CERT analizira incident in dejansko odgovornost
- SI-CERT prouči, ali je incident prizadel tudi druge organizacije ali kritično infrastrukturo
- SI-CERT morda preusmeri informacije drugim organom (npr. informacijski pooblaščenec za gdpr kršitve)
Opozorila in sankcije
Prijava ne pomeni avtomatske sankcije. Vendar pa:
- Če je bil incident posledica zanemarjene obveznosti, SI-CERT lahko izda opozorilo ali zahtevo za pripravo uredbe
- Če je incident resna kršitev, SI-CERT lahko izda kaznovanje
- Če ste namerno skrili incident, je to hujša kršitev zakona
Napake pri prijavi, ki se izogibate
Napaka 1: odlašanje z prijavo
Rok je 24 ur od odkritja, ne od zaustavljanja incidenta. Odlašanje je kršitev zakona.
Napaka 2: neprijava “manjših” incidentov
Če je incident kritičan po definiciji zakona, se ga mora priglasiti, tudi če se vam zdi “manjší”.
Napaka 3: nepopolna prijava
Prijava mora biti dovolj natančna, da SI-CERT razume obseg incidenta.
Zaključek in priporočila
Priglašitev varnostnih incidentov je ključni del skladnosti s ZInfV-1. Najbolje je:
- Vzpostaviti jasne postopke za odkrivanje in oceno incidentov
- Imenovati osebo, odgovorno za komunikacijo s SI-CERT-om
- Imeti šablone za prijavo, da zajamčite, da vključite vse potrebne informacije
- Redne vaje incidentov, da so ekipe pripravljene
- Dokumentirano vedenje, kaj je “kritičan incident” v vašem kontekstu
Potrebujete pomoč pri postopkih za priglašitev incidentov? Kontaktirajte nas →