GDPR 成駭客勒索「神助攻」幫手:錢交出來,不然我就公開公司個資害你受罰

TadGroup 發現新型勒索攻擊「RansomHack」

曾經引起網路災難的勒索病毒相信大家還記憶猶新,而現在駭客再度捲土重來,但並不是綁架機密資料檔案威脅撕票,而是採用新方法:威脅給錢,不然他們就會「把資料公諸於世」。

鎖定中大型企業,竊取個資要脅公開

來自保加利亞的資安公司 TadGroup 於 6 月 22 日發布了一份 報告 ,文中提到了一種新形態的駭客勒索攻擊,被稱為「Ransomhack」。

這種攻擊型態的前期與勒索病毒類似,駭客找尋受害者電腦的弱點,並試圖送入惡意軟體。但不同於勒索病毒在入侵後加密並鎖定所有檔案,執行勒索攻擊的駭客會將電腦中的資料竊取出來,並以此作為勒索條件。

GDPR「神助攻」,企業若不從將遭受巨額罰鍰

過往,這樣的勒索並不會造成中大企業過於巨大的損失,尤其受影響的資料並非公司本身機密,而是一般使用者資料;然而自從 GDPR 施行之後,若是企業發生個人資料外洩事件,將面臨歐盟針對企業開罰全球年營業額 4%,或是最高達 2000 萬歐元(約為台幣 7.09 億元)的罰鍰,這對於企業而言是一筆龐大的開銷。

相較之下,通常執行勒索攻擊的駭客,要求大多是透過無法追蹤的加密貨幣,支付約 30,500 到 61 萬台幣價值不等的贖金,與 GDPR 罰款相比真的是太小了,許多受到攻擊的企業最後都會選擇支付贖金,息事寧人。

「通報義務」規定再補刀,企業怎麼做都虧錢

然而,這樣還沒完,因為根據 GDPR 的規定,一旦企業遭遇資料竊取事件時,必須於 72 小時內向主管機關通報相關事件。在 TadGroup 報告中舉例,他們保加利亞國內企業在相關事件中的主管機關,就是個人資料保護委員會,而委員會收到報告後,就會依據企業的違規程度,給予一定的懲罰。

換句話說,若是企業被攻擊後,通報了主管機關,將會被懲處;但若是付錢息事寧人,之後如果被查出來,還是會被懲處,而且懲罰是加重的,企業不管是想坦然面對,或是私下解決,最終似乎都逃不了被罰的命運。

隱私權政策符合 GDPR 了,那資安呢?

報告中也提到,根據可信的消息來源,這些受到攻擊的企業均是在 GDPR 法規上路後,有採取對應的規定修改與其它調整,以符合 GDPR 針對個人資料保護的規範,然而這些公司卻大多沒有評估到透過網路、駭客攻擊所造成的資料外洩可能性。

若是想避免相關的情況發生,報告中建議企業可以進行自我滲透測試,執行模擬的駭客攻擊,並且從中發現漏洞,及時修補,避免自家企業成為下一個受害者。

─ ─

參考資料來源:
TadGroup Blog:Ransomhack – a new scheme for blackmailing business owners
iThome: 不付贖金就公開個資!GDPR 反成勒索攻擊 Ransomhack 的威脅武器
siliconANGLE:Europe’s GDPR leveraged in new form of cyberattack dubbed a ‘ransomhack’

(本文提供合作夥伴轉載,首圖來源:Flickr,CC Licensed。)


確保台灣半導體優勢!

掌握世界變局下的半導體創新商機 馬上報名 12/8《2019 未來科技展 , 台積電、ARM 講者同步分享!

點關鍵字看更多相關文章: