Средни и големи български фирми са атакувани от хакери по нова схема с искане на откуп за неразгласяване на пробива
С влизане в сила на новия европейски регламент за защита на личните данни GDPR, който по идея трябва да повиши информационната сигурност, се появи и нов метод за изнудване на бизнеса.
Собственици на фирми споделят, че са обект на хакерски атаки от типа „рансъмуер“, при които се изтеглят личните данни на потребителите или клиентите на дадена компания и се иска откуп. Този път обаче той не е за декриптиране на файловете с данните, а за да не бъде оповестен пробивът публично, разказаха от компанията за информационна сигурност ТАД Груп.
Ако жертвата откаже да заплати, хакерите заплашват с публикуване на цялото съдържание на базата с лични данни в публичен сървър, което съгласно регламента, означава на фирмата да бъде наложена солена глоба, алармира Иван Тодоров, основател на ТАД Груп.
По неговите думи, потърпевши са средни и големи български фирми, от които хакерите искат откуп в непроследима криптовалута. Исканите суми варират от 1000 до 20 000 лв., а глобите, които според еврорегламента заплашват фирмите, са в размер на 4% от оборота за предходната година или до 20 млн. евро. За краткост Иван Тодоров нарича този тип хакерски атаки „рансъмхак“ („ransomhack“).
От допълнителни източници става ясно, че атакуваните фирми са взели мерки за защита съгласно GDPR, като са си създали политики за съхраняване на личната информация, подсигурявайки данните в офисите си, но не са направили тестове за информационна сигурност, за да проверят дали реално не са уязвими от виртуални престъпници.
Иначе казано, направили са това, което би ги спасило при евентуална проверка на Комисията за защита на личните данни. Те обаче не са помислили за подсигуряване на достъпната от интернет инфраструктура. Единственият начин да си гарантират по-голяма сигурност срещу кибератаки е извършване на тестове на информационната им сигурност или така наречените пенетрейшън тестове, посочиха от ТАД Груп.
Тестовете представляват симулация на реални кибератаки. Целта е като се използват всички методи и техники на злонамерените хакери, да се открият и поправят уязвимостите.
Тъй като често пробивът в киберсигурността е последица от човешка грешка, допълнителна полза би донесло и прилагането на т.нар. тестове за социално инженерство. Те представляват комплекс от тестове на терен, по телефон или имейл, които се провеждат на персонала без неговото знание. Чрез различни техники се правят опити за подвеждане на служителите да разкрият чувствителна или конфиденциална за фирмата информация на подставени лица, които не би трябвало да имат достъп до нея.
Фирмите, при които вече е станал киберинцидент, според регламента са длъжни в срок до 72 часа да информират регулиращия орган. За България това е Комисията за защита на личните данни, която трябва да прецени какви санкции да наложи. Ако обаче не я уведомят, санкциите са сигурни и ще бъдат в пъти по-големи.
Бреий, в статията се ползват и сексуални термини – пенетрейшън тестове!! Сигурно скоро ще има и рансъмхак еволюейтс то рансъмфак 🙂
По долу в текста комплекс тестовете на техен терен също са интересни! Следват процедури – от опити за служителите да разкрият чувствителна информация към опити за подвеждане на служителките да разкрият чувствата си с готин плейбой маскиран като разносвач на пица, и от там вече инфилтриране на човек във фирмата, който краде чувствителна информация.
В крайна сметка след серия от тестове на фирмата е силно препоръчано СКЪПО обучение за анти-пенетрейшън, анти-факърейшън и анти-хуманно поведение с цел чувствително намаляване на процентите от риск!
Честито на печелившите! Според много анкетирани риска с човека от пицата си е струвал загубите 🙂