To top

GDPR: új zsarolási lehetőségek a kiberbűnözők előtt?

jan 22

GDPR: új zsarolási lehetőségek a kiberbűnözők előtt?

A GDPR korszakhatár az adatvédelemben: májustól a vállalati ügyfelek adatainak megóvása nemcsak etikai kötelesség, hanem törvényi előírás, aminek meg kell felelni. A kiberbűnözők pedig megpróbálnak majd hasznot húzni ebből is. Még magasabb váltságdíjak a túszul ejtett adatokért, választás a megabüntetések és a zsarolás között – a 2018-as esztendő a vállalatok elleni támadások éve lesz. De hogyan lehetne védekezni?

Az Európai Unió új adatvédelmi szabályozása, a GDPR (General Data Protection Regulation) 2018 májusában lép hatályba, az európai polgárok személyes adatait kezelő vállalatokkal szemben támasztott követelmények szigorúbbak lesznek. Ugyanez vonatkozik más szervezetekre és közintézményekre is. Nemrég írtunk az új szabályozás által hozott alapvető változásokról, valamint az azt övező és a médiában terjedő mítoszokról. Ez alkalommal azt elemezzük, hogyan tudnak a kiberbűnözők hasznot húzni az új szabályozásból.

A kiberzsarolás lehetőségei

A Crowd Research Partners kutatása szerint a szervezetek 30 százaléka nincs felkészülve a GDPR-nek való megfelelésre és jelentős változtatásokat kell eszközölnie a biztonsági politikák és technológiák terén. A vállalatoknak figyelembe kell venniük, hogy ez a szabályozás különös figyelmet szentel a cégek belső adatkezelésének, és az az ügyfelek adatainak nagyon alapos kezelését igényli. Ha a biztonsági eseményekről nem értesítik időben a hatóságokat, az súlyos bírságot eredményezhet. A GDPR-re való felkészülés során a szervezeteknek figyelembe kell venni azt is, milyen lehetőséget látnak mindebben a kiberbűnözők.

Hogyan fordíthatják a bűnözők előnyükre az új szabályozást? A legközvetlenebb út: még magasabb váltságdíjak követelése.

A GDPR megköveteli a szervezetektől, hogy alkalmazottaik és ügyfeleik adatait titkosan kezeljék. A személyes azonosításra alkalmas információkkal (PII) kapcsolatos visszaélések állnak az új keretrendszer középpontjában. Ha a kiberbűnözők rájönnek az információk értékére, lefoglalhatják azokat, a vállalatot pedig azzal fenyegethetik, hogy jelentik a biztonsági rést hatóságoknak. Ha zsarolásuk nem vezet eredményre és nem kapnak váltságdíjat, kiszivárogtatják az adatokat, a vállalat pedig kétszeresen is bajba kerül. Egyrészt az adatszivárgás miatt járó büntetés és az áldozatok által követelt kártérítések magukban is jelentősek lehetnek, másrészt a vállalat reputációját komoly kár érheti, főként amennyiben (ahogy az az Uber esetében történt) fény derül arra, hogy megpróbálták eltitkolni az adatok kiszivárgását. Így a vállalatok hajlanak majd a váltságdíj megfizetésére, aminek összege a büntetésnél jóval kisebb lehet: hiszen az több millió eurót is kóstálhat, amit pedig a legtöbb cég nem engedhet meg magának. Az a tény azonban, hogy semmilyen garancia nincs arra, hogy a hekkerek az adatokat visszaszolgáltatják, és nem próbálkoznak újabb zsarolással a jövőben, még mindig visszatarthatja a vállalatokat.

Az elfeledés joga és az értesítési kötelezettség

Az új szabályozás az elfeledés jogával ruházza fel az európai polgárokat. Ez azt jelenti, hogy a fogyasztónak joga van bármikor azt kérni egy vállalattól vagy más szervezettől, hogy törölje adatbázisából a róla tárolt adatokat. Ha nem tesznek eleget ennek a kérésnek, komoly következményekkel nézhetnek szembe. Például egy kiberbűnöző úgy zsarolhat ki pénzeket egy cégtől, hogy olyan információkat tartalmazó adatbázisokhoz szerez hozzáférést, amelyeket már törölni kellett volna.

Habár az értesítési kötelezettség egy biztonsági eseményről 72 órás határidőt ír elő onnantól kezdődően, hogy a vállalat tudomást szerez róla (és nem feltétlenül annak megtörténtétől számítva), a bejelentés időzített bomba lehet a cég számára. Ha kiszivárgott személyes adatok érintettek, a szervezeteknek dönteniük kell, hogy a váltságdíjat vagy a büntetést választják, a döntés halogatása pedig azt eredményezheti, hogy mindkettőt meg kell fizetniük.

A felkészülés, mint védelmi stratégia

Ahogy a kibervédelem trendjeiről készült anyagunkban rámutattunk, a 2018-as esztendő a vállalati támadások éve lesz. Ennek egyik oka maga a GDPR, és ez nem csupán annyit tesz, hogy számszerűen több támadással kell szembenéznünk: a vállalatok azon része, amely a GDPR hatályba lépését megelőzően mindent megtett, hogy az adatszivárgásokat titokban tartsa, most már törvényileg kötelező jelleggel nyilvánosságra kell hozza ezeket.

A legjobb válasz erre a helyzetre a megfelelő előkészületek megtétele és a védelem. Ezért készítettük el Felkészülési útmutató az új általános európai adatvédelmi szabályozáshoz című anyagunkat (angolul letölthető) az átmenet megkönnyítése érdekében, és azért, hogy segítsünk megérteni mindkét lehetőséget, és azokat a fenyegetéseket, amelyeket az új törvény hoz napvilágra. Azok a vállalatok, amelyek az Adaptive Defense védelmére támaszkodnak, előnyben vannak, mivel minden szükséges megelőző eszközzel rendelkeznek ahhoz, hogy megvédjék a céget – nem utolsó sorban az új Data Control modullal.

A GDPR az adatvédelemben egy korszak határát jelöli ki: 2018 májusától a vállalat ügyféladatainak megóvása immár nem csupán etikai kötelesség lesz, hanem törvényi előírás, aminek meg kell felelni.

Blog
No Comments

Sorry, the comment form is closed at this time.