Zlouporaba GDPR-a nova je potencijalna sigurnosna prijetnja

Stupanjem na snagu GDPR-a podaci koji se nekad smatrani nezanimljivim ili bezvrijednim, poput adresa stanovanja i sličnih, naglo su dobili na vrijednosti i postali potencijalni izvor prihoda kriminalaca

u 5:35 Zadnja izmjena: 04.10.2018 u 5:35
192
zlouporaba GDPR-a

Zaboravite na ransomware. Popularnost zlonamjernog softvera vezanog uz kriptovalute opada u korelaciji s njihovom cijenom. Čak su se i DDoS napadi primirili. U novom izvješću tvrtke Malwarebytes navodi se da je u posljednjih nekoliko mjeseci vladalo zatišje u kiberkriminalim aktivnostima.

Ali nakon što je svjetsko prvenstvo u nogometu završeno i kriminalci se vraćaju na posao, postavlja se pitanje može li im Opća uredba o zaštiti podataka (GDPR), koja je stupila na snagu u svibnju, ponuditi nove potencijalne izvore prihoda, piše IDGconnect.

Budući da se mnoge tvrtke još uvijek nisu uskladile s GDPR-om i prijete im visoke novčana kazne, neki stručnjaci za informacijsku sigurnost predviđaju da bi kriminalci mogli zarađivati tražeći novac u zamjenu za svoju šutnju.

Prijetnja na obzoru

GDPR je stupio na snagu 25. svibnja ove godine. Još tijekom pripremnog razdoblja lažne poruke u kojima se traže osobni podaci korisnika, dizajnirane kao da su ih poslali Apple, Google, Airbnb i druge velike kompanije, pokazale su da kriminalci i te kako prate promjene na regulatornoj razini.

No, pravila su stupila na snagu i većina potrošača zaboravila je na GDPR – ako je o njemu ikada ozbilnjije razmišljala. Kriminalcima se otvara prostor da se usmjere na zrelije tržište – poduzeća i druge psolovne subjekte.

>>Što biste trebali znati o novoj Uredbi o zaštiti osobnih podataka

Istraživanje provedeno u lipnju koje je obuhvatilo šest stotina IT i pravnih stručnjaka u Velikoj Britaniji, Sjedinjenim Američkim Državama i Europskoj uniji pokazalo je da samo 20 posto ispitanih tvrtki vjeruje da su usklađeni s GDPR-om. Nešto više od pola ih je u fazi usklađivanja, a četvrtina nije ni započela proces. Među manjim poduzećima i u regijama kao što su Bliski Istok, Latinska Amerika i Azijsko-pacifička regija postotak tvrtki koje su uskladile poslovanje s Općom uredbom još je niži. To nudi niz potencijalnih meta.

>>Poduzeća još uvijek zanemaruju zaštitu privatnosti podataka

Mnogi predviđaju da bi novi propisi mogli potaknuti val ucjena zbog neusklađenosti s Uredbom, ucjena u kojima bi kriminalci tražili novac kako ne bi prijavili tvrtku nadzornim regulatornim tijelima.

Stupanjem na snagu GDPR-a podaci koji se nekad smatrani nezanimljivim ili bezvrijednim, poput adresa stanovanja i sličnih, naglo su dobili na vrijednosti i postali potencijalni izvor prihoda kriminalaca.

Tko će biti mete

U globalnom istraživanju tvrtke Logicalis 72 posto direktora nadležnih za informacije navelo je iznude i ucjene kao najznačajnije rizike za svoje tvrtke. Istraživanje je obuhvatilo 900 Chief Information Officera. Tvrtka Kaspersky Lab predviđa da će prije pokušaja iznuđivanja kriminalci pokušati prodrijeti u korporativne informacijske sustave metodama koje koriste i danas. Nakon što pronađu put, slijedi traženje otkupnine.

Pri tome će morati otkriti kako su “probili“ zaštitu kako bi dokazali da je tvrtka doista ranjiva i da su u posjedu osjetljivih informacija koje mogu biti zlouporabljene. Time bi pak dokazali da tvrtke nisu uspostavile odgovarajuće mjere zaštite podataka i da su podložne kaznama.

Čak i ako ne bi predočili dokaze, napadnute tvrtke bi bile prisiljene interno istražiti je li doista došlo do probijanja zaštite i kako, što zahtijeva vrijeme i angažiranje sigurnosnog tima. A to, naravno, košta.

Umjesto da izravno obavijeste lokalne regulatore, kriminalci bi informacije o ranjivosti tvrtki anonimno objavljivali na internetu tako da budu dostupne nadležnim tijelima bez opasnosti da izlože svoj identitet.

Stručnjaci za informacijsku sigurnost predviđaju da će na jačem udaru biti mala i srednja poduzeća nego velika, i to ona izvan granica Europske unije i Ujedinjenog Kraljevstva (nakon Brexita). Pretpostavka je, naime, da su europska poduzeća u većoj mjeri usklađena s Uredbom, ali realno ih je (i u Hrvatskoj) još uvijek mnogo koja to nisu učinila.

>>Malware i ransomware – po čemu se razlikuju i kako se zaštititi

Predviđa se također da bi kriminalci mogli kombinirati iznude s kripto-ransomwareom, što predstavlja dvostruku zamku: ako tvrtka ne plati otkupninu, gubi podatke i netko obavijesti regulatora da su podaci ukradeni. Pri tome treba znati da plaćanje otkupnine i eventualni povrat pristupu podacima ne oslobađa tvrtku zakonske obveze da prijavi sigurnosni propust.

Prijetnja preko potrošača

Opća uredba o zaštiti podataka daje pojedincima i skupinama pravo na naknadu štete u slučaju da je narušeno njihovo pravo na privatnost. To pak otvara prostor kriminalcima za klasičnu prijetnju djelovanjem grupe potrošača koja je pogođena propustima korporacija prilikom usklađivanja s Uredbom.

Kriminalci mogu zaprijetiti da će sigurnosni propust objaviti tisućama ili čak milijunima potrošača. Svaki pojedinac ima pravo znati koje informacije o njemu neka organizacija prikuplja, zašto i s kime ih dijeli. Već samo rješavanje mnogobrojnih zahtjeva u kojima pojedinci traže navedene informacije bio bi veliki financijski udarac za tvrtku, pogotovo ako obradu takvih zahtjeva nije automatizirala, a trošak naknade štete koji bi mogao proizaći iz takve akcije vjerojatno ne bi bio ograničen na 4 posto prihoda.

Koliku bi otkupninu kriminalci mogli tražiti

Poznato je da novčane kazne prema Općoj uredbi iznose do 20 milijuna eura ili 4 posto globalnog prometa. No, postavlja se pitanje koliko bi novaca kriminalci mogli tražiti.

Mikko Hypponen, glavni analitičar tvrtke F-Secure, predvidio je prošle godine da bi zahtjevi za otkupninu mogli dosegnuti dva do tri posto godišnjeg prihoda ciljane organizacije. Pogođene tvrtke ili institucije bi, naravno, lakše platile iznos koji je manji od propisane kazne kako bi prikrile propuste.

>>Sedam alata za zaštitu od cyberkriminala

No, pravi iznosi otkupnina koje će kriminalci tražiti ovisit će o vrsti podataka i realnim visinama kazni koje će regulatori izricati. Visoke kazne regulatora mogle bi biti rijetke, a hakeri ne mogu biti sigurni koliku vrijednost im je neka organizacija spremna platiti kako bi zataškala propuste.

Uvijek će biti nepoznanica je li neka tvrtka spremna riskirati novčanu kaznu ili će radije platiti otkupninu kriminalcima.

U posljednjih nekoliko mjeseci nekoliko je tvrtki, među njima su Telefonica i Ticketmaster, priznalo kršenje Uredbe, a nekoliko tužbi utemeljenih na GDPR-u podneseno je od strane skupina za zaštitu potrošača. Niti jedan slučaj do sada nije rezultirao izricanjem novčane kazne.

Ako regulatori budu izricali veliki broj malih novčanih kazni, kriminalci će vjerojatno procijeniti da to nije vrijedno njihova truda, smatra David Emm iz Kaspersky Laba.

Što učiniti u slučaju napada

Najbolja zaštita od takvih napada je usklađenost s GDPR-om, ali mnoge tvrtke još su u procesu usklađivanja. Što bi, dakle, trebale učiniti ako postane žrtva pokušaja iznude?

Bez obzira je li riječ o stvarnom ili lažnom napadu, treba ga prijaviti policiji i provesti internu istragu kao bi se utvrdilo jesu li prijetnje vjerodostojne. Ako je sustav doista ugrožen, treba ga prijaviti regulatoru. Zataškavanje ili laganje regulatoru može samo stvoriti dugoročne probleme.

Opća uredba o zaštiti podataka prvenstveno nastoji potaknuti tvrtke na bolju praksu u zaštiti podataka, stoga je bolje preuzeti odgovornost, priznati propuste i postupiti ispravno nego gurati stvari pod tepih.

Kada je riječ o plaćanju otkupnine, savjet je isti kao i napada ransomwareom: ne plaćajte. Nikad.

Plaćanje otkupnine samo ohrabruje kriminalce na nove napade, a nema jamstva da će nakon što prime novac ispuniti ono što su obećali.

“Sve dok imate proces i plan koji pokazuje da radite na usklađivanju s GDPR-om, regulatori su najavili da će kazne održavati težinu propusta i ovisit će o kontekstu. Teoretski, kaznu – ako je uopće budete morali platiti -, plaćate samo jednom. Otkupnina pak ovisi o broju slučajnih napada“, poručuje Bas Alberts iz tvrtke Cyxtera, specijalizirane za informacijsku zaštitu.