Общият европейски регламент за защита на личните данни GDPR, който по идея трябва да повиши информационната сигурност, е провокирал нов метод за изнудване на бизнеса. Броени дни след влизането му в сила собственици на фирми споделят, че са обект на хакерски атаки от типа рансъмуер, при които се изтеглят личните данни на потребителите или клиентите на дадена компания и се иска откуп. Този път обаче той не е за получаване на достъп до данните (за който дори при плащане няма гаранция), а за да не бъде оповестен пробивът публично, публикувайки цялото съдържание на базата с лични данни, и съгласно GDPR на фирмата да бъде наложена солена глоба.
За това алармира Иван Тодоров, основател на ТАД ГРУП, една от първите фирми в България, предлагащи специализирани решения за информационна сигурност. Експертите в нея вече използват и нова дума за този вид злоумишлени атаки – „рансъмхак“. По думите му потърпевшите са средни и големи български фирми, от които хакерите искат откуп в непроследима криптовалута. Исканите суми варират от 1000 до 20 000 лв., а глобите, които според еврорегламента заплашват фирмите, са в размер на 4% от оборота за предходната година или до 20 млн. евро.
Според Тодоров атакуваните фирми са взели мерки за защита съгласно GDPR и са направили едната от двете необходими стъпки – създали са политики за съхраняване на личната информация, подсигурявайки първия уязвим вектор (офиса), но не са направили тестове за информационна сигурност. Иначе казано, направили са това, което би ги спасило при евентуална проверка на Комисията за защита на личните данни. Те обаче не са помислили реално за подсигуряването на информацията през втория уязвим вектор – интернет. Единственият начин да си гарантират по-голяма сигурност срещу кибератака е следващата стъпка – извършване на тестове на информационната им сигурност (т. нар. пенетрейшън тестове).
При такъв тест със симулация на реални кибератаки и преглед на възприетите от компанията принципи за обработка на информацията се намират уязвимите места в уебсайтове/сървъри. Реално специалистите по киберсигурност хакват клиента, но не с престъпни намерения, а добронамерено, с негово разрешение и според конкретните му нужди. Целта е като се използват всички методи и техники на злонамерените хакери, да се открият и поправят уязвимостите с гарантирано унищожаване на информация след финализиране на тестовете. Това става с предварителен договор и споразумение за конфиденциалност. Крайният продукт (докладът с информацията за откритите уязвимости) се съхранява в клиентския профил, откъдето може да бъде прегледан и свален, а при желание от страна на клиента може да бъде изтрит от системата на компанията, която има специалисти по киберсигурност и извършва услугата.
„Картината в киберсигурността обаче бързо се мени – ако днес една система не е уязвима, не означава, че след месец няма да е. Всеки ден се откриват нови уязвимости, които водят до възможност за пробив и компрометиране на информацията. Затова, колкото по-често се правят такива тестове, толкова по-сигурни могат да се чустват фирмите“, обяснява Тодоров и препоръчва пенетрейшън тестовете да се правят поне два пъти годишно.
Тъй като често пробивът в киберсигурността е последица от човешка грешка, допълнителна полза би донесло и прилагането на т.нар. тестове за социално инженерство. Те представляват комплекс от тестове на терен, по телефон или имейл, които се провеждат на персонала без неговото знание. При тях чрез различни техники се правят опити за подвеждане на служителите да разкрият чувствителна или конфиденциална за фирмата информация на подставени лица, които не би трябвало да имат достъп до нея.
Фирмите, при които вече е станал киберинцидент, според регламента са длъжни в срок до 72 часа да информират регулиращия орган. За България това е Комисията за защита на личните данни, която трябва да прецени какви санкции да наложи. Ако обаче не я уведомят, санкциите са сигурни и ще бъдат в пъти по-големи.
