Ma zapewnić lepszą ochronę informacji o obywatelach Unii Europejskiej, a może wywołać falę negatywnych zachowań. Mowa o unijnej regulacji o ochronie danych osobowych, która wejdzie w życie w przyszłym roku. Zdaniem specjalistów z laboratorium Mediarecovery, otwiera ona cyberprzestępcom furtkę do… szantażu. Przewidują, że liczba ataków na bazy danych znacznie się zwiększy.
– Możemy mieć do czynienia z paradoksem – zauważa Przemysław Krejza, dyrektor ds. badań i rozwoju w Mediarecovery. Unijne prawo, mające na celu lepszą ochronę danych, może w większym stopniu zaktywizować cyberprzestępców. – Firmy będące ofiarą cyberkradzieży będą mieć poważny dylemat: czy zgłosić ten fakt odpowiednim organom i zapłacić wielomilionową karę, czy też lepiej zapłacić okup – tłumaczy.
Monetyzacja cyberprzestępczości
Wystarczy przejrzeć nagłówki prasowe z ostatnich miesięcy, żeby zaobserwować informacje o firmach szantażowanych przez cyberprzestępców. Jest to coraz częściej wykorzystywany sposób na to, by zarobić na swojej działalności.
Cyberprzestępcy mają kilka sposobów, żeby zmonetyzować swoją działalność.
– Wśród nich znajdziemy sieci komputerów zombie do wynajęcia, serwisy aukcyjne gdzie można sprzedać skradzione dane, programy szyfrujące dane i żądające pieniędzy za ponowny dostęp do nich, a wreszcie żądania okupu za skradzione informacje – wylicza Krejza.
Cyberszantaż stanie się bardziej zyskowny?
Wysokie kary, jakie przewiduje unijne rozporządzenie, mogą wpłynąć na podatność firm na szantaż. Cybeprzestępcy nie będą żądać aż tak wielkich sum.
– Zwykle żądania okupu w przypadku kradzieży danych osobowych to kwoty rzędu od kilkudziesięciu do kilkuset tysięcy złotych w zależności od rozmiaru skradzionej bazy danych – tłumaczy dyrektor ds. badań i rozwoju w Mediarecovery.
W porównaniu z 20 milionami euro kary, która jest planowana, są to kwoty stosunkowo małe.
Cyberprzestępcy po dokonaniu kradzieży lub znalezieniu luki pozwalającej na taką kradzież, mogą szantażować firmę, że zgłoszą to do odpowiednich organów. Wówczas przed firmą stanie dylemat: narazić się na karę ze strony urzędu, czy po cichu zapłacić okup i załatać lukę w systemie? Można zakładać, że duża część z nich ulegnie szantażowi.
– Jednak firma łamiąca prawo nie ma gwarancji, że cyberprzestępca nie zgłosi niedostatecznego zabezpieczenia danych osobowych odpowiednim służbom – dodaje Krejza.
Jak zwiększyć bezpieczeństwo danych osobowych?
Firmy mają do dyspozycji wiele rozwiązań. Od najprostszych, poprzez bardziej rozwinięte np. EnCase eDiscovery pozwalający przeprowadzać złożone analizy incydentów dotyczących danych, po naprawdę zaawansowane, takie jak GRC (Governance, Risk, Compliance). Te ostatnie pozwalają w większym stopniu przygotować całą organizację, a nie tylko jej wycinek związany z bazami danych osobowych, do zgodności z unijną regulacją o ochronie danych osobowych.
GRC łączy w sobie zarówno rozwiązania techniczne, jak i te prawno-organizacyjne. Opisuje zestaw najlepszych praktyk i narzędzi służących do zarządzania przedsiębiorstwem w trzech wymiarach biznesowych: zarządzanie organizacją (normy i procedury), ryzyko (w szczególności operacyjne) i zgodność (z prawem i wymaganiami).
– W kontekście regulacji unijnej, GRC wydaje się optymalnym rozwiązaniem dla dojrzałych i dostatecznie dużych firm, ze szczególnym uwzględnieniem bankowości i finansów – wyjaśnia dyrektor ds. badań i rozwoju w Mediarecovery.
Źródło: Mediarecovery