ramy  2018-07-08 16:40:43  网络安全 |   查看评论   

GDPR成黑客勒索「神助攻」帮手

▲GDPR 成黑客勒索「神助攻」帮手

 

曾经引起网络灾难的勒索病毒相信大家还记忆犹新,而现在黑客再度卷土重来,但并不是绑架机密数据文件威胁撕票,而是采用新方法:威胁给钱,不然他们就会「把数据公诸于世」。

 

 

锁定中大型企业,窃取个资要挟公开

 

来自保加利亚的资安公司 TadGroup 于 6 月 22 日发布了一份 报告 ,文中提到了一种新形态的黑客勒索攻击,被称为「Ransomhack」。

 

这种攻击型态的前期与勒索病毒类似,黑客找寻受害者计算机的弱点,并试图送入恶意软件。但不同于勒索病毒在入侵后加密并锁定所有文件,执行勒索攻击的黑客会将计算机中的数据窃取出来,并以此作为勒索条件。

 

GDPR「神助攻」,企业若不从将遭受巨额罚款

 

过往,这样的勒索并不会造成中大企业过于巨大的损失,尤其受影响的数据并非公司本身机密,而是一般用户数据;然而自从 GDPR 施行之后,若是企业发生个人数据外泄事件,将面临欧盟针对企业开罚全球年营业额 4%,或是最高达 2000 万欧元(约为台币 7.09 亿元)的罚款,这对于企业而言是一笔庞大的开销。

 

相较之下,通常执行勒索攻击的黑客,要求大多是透过无法追踪的加密货币,支付约 30,500 到 61 万台币价值不等的赎金,与 GDPR 罚款相比真的是太小了,许多受到攻击的企业最后都会选择支付赎金,息事宁人。

 

「通报义务」规定再补刀,企业怎么做都亏钱

 

然而,这样还没完,因为根据 GDPR 的规定,一旦企业遭遇数据窃取事件时,必须于 72 小时内向主管机关通报相关事件。在 TadGroup 报告中举例,他们保加利亚国内企业在相关事件中的主管机关,就是个人数据保护委员会,而委员会收到报告后,就会依据企业的违规程度,给予一定的惩罚。

 

换句话说,若是企业被攻击后,通报了主管机关,将会被惩处;但若是付钱息事宁人,之后如果被查出来,还是会被惩处,而且惩罚是加重的,企业不管是想坦然面对,或是私下解决,最终似乎都逃不了被罚的命运。

 

隐私权政策符合 GDPR 了,那资安呢?

 

报告中也提到,根据可信的消息来源,这些受到攻击的企业均是在 GDPR 法规上路后,有采取对应的规定修改与其它调整,以符合 GDPR 针对个人数据保护的规范,然而这些公司却大多没有评估到透过网络、黑客攻击所造成的数据外泄可能性。

 

若是想避免相关的情况发生,报告中建议企业可以进行自我渗透测试,执行模拟的黑客攻击,并且从中发现漏洞,及时修补,避免自家企业成为下一个受害者。

  
 

除特别注明外,本站所有文章均为 人工智能学习网 原创,转载请注明出处来自GDPR成黑客勒索「神助攻」帮手

留言与评论(共有 0 条评论)
   
验证码: