Wraz z RODO cyberprzestępcy ruszyli do (cyber)ataku

  • Przez pierwsze pół roku działania RODO zarejestrowano 3 700 skarg związanych z naruszeniem przepisów o ochronie danych osobowych. Wkrótce może zostać nałożona pierwsza duża kara na firmę w Polsce.
  • Ryzyko wysokich kar za uchybienia w RODO to woda na młyn cyberprzestępców, którzy – wykorzystując rozporządzenie – rozwinęli nową metodę ataków.
  • Prowadzący niewielkie firmy nie są na to przygotowani – do niedawna żyli w przekonaniu, że są zbyt mali, żeby cyberprzestępcy ich rozpracowali.

Rozporządzenie o Ochronie Danych Osobowych, w skrócie RODO, obowiązuje od maja 2018 roku, ale postrach wśród przedsiębiorców siało już znacznie wcześniej. Zamieszanie związane z wejściem w życie przepisów zwróciło uwagę cyberprzestępców. Prawdopodobnie wyjątkowo uważnie przeczytali paragraf o karach za złamanie zasad rozporządzenia. Grzywny, jakie mogą być nakładane na przedsiębiorców w związku z uchybieniami RODO rzeczywiście są wysokie i robią wrażenie. Kara 10 000 000 EUR lub 3% całkowitego rocznego światowego obrotu przedsiębiorstwa grozi za naruszenie obowiązków związanych z prawidłowym wdrożeniem RODO z punktu widzenia np. podejmowania właściwych środków ochrony danych. Co więcej organ nadzorczy, czyli Prezes Urzędu Ochrony Danych Osobowych (PUODO) – ma obowiązek dbać o to, by stosowane na mocy RODO administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Grupa art. 29 podkreśla, że kary te wcale nie powinny być używane w ostateczności. Przedsiębiorcy powinni liczyć się z tym, że regulacje RODO dotyczące kar pieniężnych nie pozostaną jedynie martwymi zapisami.

Kary we Francji, Wielkiej Brytanii i… Polsce.

Przedsiębiorcy rzeczywiście mają się czego bać. Jedną z pierwszych firm, która się o tym przekonała, był już w lipcu 2018 r. sklep internetowy z Francji – Optical Center, sprzedający m.in. okulary przeciwsłoneczne. Została na niego nałożona grzywna za niezachowanie bezpieczeństwa danych osobowych klientów sklepu. Druga była amerykańska firma Equifax, działająca także w Europie, np. w Wielkiej Brytanii, zajmującą się doradztwem finansowym. Jej problemem był fakt, że pozwoliła na wyciek danych swoich klientów. Również w Polsce już wkrótce może zostać nałożona pierwsza duża kara – Prezes Urzędu Ochrony Danych Osobowych analizuje sytuację związaną z wyciekiem danych z Morele.net.

W pierwszych miesiącach funkcjonowania RODO do Urzędu Ochrony Danych Osobowych wpływało około 800 skarg co miesiąc. W ciągu pierwszego półrocza, do końca listopada odnotowano 3 700 skarg. Duża część z nich dotyczyła nieuprawnionego udostępnienia danych osobom trzecim. Trzeba jednak pamiętać, że trwa jeszcze okres przejściowy i zarówno liczba skarg, jak i nakładanych kar będzie się zmieniać.

Prawdopodobnie na to liczą cyberprzestępcy, którzy, wykorzystując RODO, ruszyli do ataku. Swoje działania opierają na wykradaniu danych oraz wymuszaniu zapłaty okupu – pod groźbą ujawnienia informacji o wycieku. To mogłoby skutkować karą z tytułu RODO. Taki mechanizm jest przez przestępców coraz częściej stosowany, stał się wręcz atrakcyjnym narzędziem ataku po wejściu w życie nowych przepisów o ochronie danych osobowych.

Cyberprzestępcy uznali, że obawa przedsiębiorców przed wysokimi karami to dla nich szansa na zarobek. W drugim półroczu tego roku odnotowano dużą liczbę ataków i prób ataków polegających na kradzieży danych z zasobów firm i szantażu: zapłaćcie, a nie ujawnimy, że nie zabezpieczyliście danych. Kwoty, jakie cyberprzestępcy próbują w ten sposób wyłudzić, nie są wysokie, mają zachęcać do „załatwienia sprawy” przez szybki przelew lub zapłatę w kryptowalucie. W rzeczywistości przedsiębiorca, który raz zapłacił okup, z dużym prawdopodobieństwem zostanie zaatakowany ponownie. Przecież oszuści zarobili na nim łatwe pieniądze. Choć nie są to duże kwoty, to z pewnością znacznie większe niż koszt skutecznej cyberochrony, na którą w modelu abonamentowym stać dzisiaj każdego przedsiębiorcę – ocenia Wojciech Gołębiowski, dyrektor zarządzający Veronym, firmy zapewniającej najnowocześniejsze i kompleksowe chmurowe cyberbezpieczeństwo w modelu subskrypcji usługi.

Zbyt mały, by go zaatakowali?

Niestety rzeczywiście efektem ubocznym przepisów RODO jest fakt, że rozwinęły nową kategorię cyberataków, skierowanych na małe firmy. Do niedawna funkcjonował mit, że mali przedsiębiorcy nie muszą się obawiać ataków, bo ich przychody nie wzbudzą zainteresowania cyberprzestępców. Teraz jednak takie myślenie wydaje się archaiczne i nieodpowiedzialne, a dla biznesu bardzo niebezpieczne. W efekcie RODO, a dokładnie kar, jakie grożą z tytułu rozporządzenia, coraz więcej firm może być teraz na celowniku hakerów. Dotyczy to nawet jednoosobowych działalności, które do tej pory nie były dla nich interesujące.

Zwrócił się do nas fotograf prowadzący kilkuosobową firmę, któremu hakerzy zablokowali dostęp do obrobionej i przygotowanej już do przekazania zleceniodawcy sesji zdjęciowej. Kilkadziesiąt zdjęć, umieszczonych na dysku własnego komputera, nad którymi pracował dwa tygodnie. Zażądali kilku tysięcy złotych za odblokowanie dostępu do fotografii. Sam okup dla firmy to sporo pieniędzy, ale niedotrzymanie terminu oddania zdjęć, może być druzgocące dla przyszłości w tym zawodzie. Nie mówiąc już o groźbie kary z tytułu RODO, bo jest duże prawdopodobieństwo, że hakerzy przejęli dane klientów firmy fotograficznej. Gdyby trafił do nas trochę wcześniej, problemu by nie było, nasza ochrona wykryłaby próbę ataku i zablokowała ją. Jak widać nawet najmniejsza firma może być przedmiotem zainteresowania hakerów i bynajmniej nie jest za mała, żeby paść ofiarą ataku – Wojciech Gołębiowski z Veronym.

Rozporządzenie RODO ma zwiększyć kontrolę nad własnymi danymi i bezpieczeństwo poufnych informacji także w sieci, jednak niesie ze sobą też nowe wyzwania dla przedsiębiorców. Ci, którzy nie zapewnią cyberochrony swojej firmie, mogą mieć kłopoty.

Veronym to światowy dostawca rewolucyjnych chmurowych usług cyberbezpieczeństwa, które nie wymagają od konsumentów specjalistycznej wiedzy, ani wydatków inwestycyjnych (CAPEX). Za pośrednictwem intuicyjnej aplikacji klienci otrzymują szybki i łatwy dostęp do zaawansowanych rozwiązań bezpieczeństwa w formie subskrypcji usługi. Wszystkie dane zapisane w chmurze, na infrastrukturze klienta lub urządzeniach mobilnych są objęte ochroną na całym świecie.