Бизнесът изнудван по нова схема - „рансъмхак“

ransomhack
Дата на публикуване 2018-06-22

С влизане в сила на новия европейски регламент за защита на личните данни GDPR, който по идея трябва да повиши информационната сигурност, се появи и нов метод за изнудване на бизнеса.

Собственици на фирми споделят, че са обект на хакерски атаки от типа „рансъмуер“, при които се изтеглят личните данни на потребителите или клиентите на дадена компания и се иска откуп. Този път обаче той не е за декриптиране на файловете с данните, а за да не бъде оповестен пробивът публично.

Ако жертвата откаже да заплати, хакерите заплашват с публикуване на цялото съдържание на базата с лични данни в публичен сървър, което съгласно регламента, означава на фирмата да бъде наложена солена глоба.

Потърпевши са средни и големи български фирми, от които хакерите искат откуп в непроследима криптовалута. Исканите суми варират от 1000 до 20 000 лв., а глобите, които според еврорегламента заплашват фирмите, са в размер на 4% от оборота за предходната година или до 20 млн. евро. За краткост, може да наричаме този тип хакерски атаки „рансъмхак“ („ransomhack“).

От допълнителни източници става ясно, че атакуваните фирми са взели мерки за защита съгласно GDPR, като са си създали политики за съхраняване на личната информация, подсигурявайки данните в офисите си, но не са направили тестове за информационна сигурност, за да проверят дали реално не са уязвими от виртуални престъпници.

Иначе казано, направили са това, което би ги спасило при евентуална проверка на Комисията за защита на личните данни. Те обаче не са помислили за подсигуряване на достъпната от интернет инфраструктура. Единственият начин да си гарантират по-голяма сигурност срещу кибератаки е извършване на тестове на информационната им сигурност или така наречените пенетрейшън тестове.

Тестовете представляват симулация на реални кибератаки. Целта е като се използват всички методи и техники на злонамерените хакери, да се открият и поправят уязвимостите.

Тъй като често пробивът в киберсигурността е последица от човешка грешка, допълнителна полза би донесло и прилагането на т.нар. тестове за социално инженерство. Те представляват комплекс от тестове на терен, по телефон или имейл, които се провеждат на персонала без неговото знание. Чрез различни техники се правят опити за подвеждане на служителите да разкрият чувствителна или конфиденциална за фирмата информация на подставени лица, които не би трябвало да имат достъп до нея.

Фирмите, при които вече е станал киберинцидент, според регламента са длъжни в срок до 72 часа да информират регулиращия орган. За България това е Комисията за защита на личните данни, която трябва да прецени какви санкции да наложи. Ако обаче не я уведомят, санкциите са сигурни и ще бъдат в пъти по-големи.

Коментари

Няма публикувани коментари.

Нов коментар