Un investigador ha sugerido que la estructura fina de GDPR podría llevar a que los ciberdelincuentes reciban puntos de precio para establecer sus rescates porque ahora saben cuánto dinero deberían pedir.

RGPD

El Reglamento General de Protección de Datos (RGPD) de la UE entra en vigor el 25 de mayo de 2017. Como parte del mecanismo de aplicación, se ha publicado una estructura fina para fomentar el cumplimiento del Reglamento. La estructura de multas del RGPD en realidad está escalonada según el alcance de la infracción, pero se ha publicado y difundido ampliamente que las infracciones menores generarán multas del 2 % de la facturación global, y las infracciones más graves generarán multas de hasta 20 millones de euros. , o el 4% de su facturación global (lo que sea mayor).

Punto de precio proporcionado

El investigador Mikko Hypponen ha señalado, por lo tanto, que estas cifras podrían dar a los ciberdelincuentes que usan ransomware, o a los piratas informáticos que roban datos, un precio de referencia para establecer el rescate porque ahora saben cuánto dinero deberían pedir.

Hypponen argumenta que debido a que los delincuentes saben cuánto valen los datos / cuánto puede valer encubrir una violación de datos para algunas empresas (probablemente grandes y conocidas), estas empresas pueden estar dispuestas a pagar cualquier cosa menos que la cantidad total de la multa para evitar daños graves a su reputación, pérdida de clientes y más.

Según Hypponen, los rescates podrían, por lo tanto, establecerse en hasta el 2% o el 3% de la facturación anual global de la organización objetivo. Esto podría equivaler a millones de dólares en algunos casos.

No tan descabellado

Tomando un incidente reciente como ejemplo, las predicciones de Hypponen pueden no parecer demasiado descabelladas. La red de HBO fue pirateada y se informa que los piratas exigieron 5.5 millones de dólares por la liberación de los datos robados. Aunque esto suena como una suma muy grande, todavía es menos del 2% o 3% de los ingresos anuales de la compañía en 2014.

Ciertamente, es posible que algunas empresas paguen un rescate para mantener en silencio una violación, ya que recientemente se informó que Uber pagó a los piratas informáticos $ 100,000 para eliminar los datos de un ataque que tuvo lugar hace 2 años y guardar silencio al respecto.

Hypponen, por lo tanto, ha predicho que, después de la introducción de GDPR el 25 de mayo de 2018, las empresas (particularmente las de gran facturación) serán atacadas por piratas informáticos para obtener información personal y se les exigirán rescates que están cerca de los niveles de multa de GDPR.

Aprovechando el RGPD

Otra predicción de cómo los ciberdelincuentes pueden usar GDPR en su beneficio es que los piratas informáticos / estafadores roben datos con ransomware avanzado y luego chantajeen a las víctimas con la amenaza de informar al comisionado de protección de datos. Esto se debe a que el ransomware puede afectar la disponibilidad, el acceso y la recuperación de datos personales. Estas cosas, además de pasar datos personales a los piratas informáticos a través del ransomware, son infracciones técnicamente graves del RGPD por parte de la empresa víctima.

Ransomware

Además de los piratas informáticos que roban datos directamente, el ransomware se está convirtiendo rápidamente en la forma más popular para que los ciberdelincuentes ganen dinero, y es probable que sea una amenaza mayor después de GDPR. El hecho de que esté automatizado y no requiera ningún derecho de usuario especial para operarlo lo convierte en una opción popular y una forma ideal para que los delincuentes vendan datos al mejor postor (que a menudo es la empresa víctima).

Tienda de bitcoins

Incluso hay informes de que grandes empresas, corporaciones y bancos han estado comprando tiendas de Bitcoin como una forma a corto plazo de hacer frente a ataques cibernéticos basados ​​en violaciones de datos o rescates.

¿Qué significa esto para tu negocio?

En lo que respecta a GDPR (especialmente con la presión de la fecha límite que se acerca), muchas empresas lo ven como una oportunidad para abordar posibles lagunas en la seguridad/privacidad de los datos que podrían dejarlas a merced de los atacantes cibernéticos de todos modos, y para expandir su capacidad de administrar el uso de datos

GDPR podría incluso verse como una forma de desarrollar un estándar global para la protección de datos, lo que podría ser una oportunidad para que las empresas ofrezcan productos y servicios en todo el mundo que cumplan con este estándar.

Aparte del RGPD, las empresas y organizaciones de todo tipo deberían intentar mejorar continuamente su resiliencia cibernética de todos modos.

Las formas en que las empresas podrían protegerse contra las amenazas de piratería / ransomware incluyen solo dar a los usuarios acceso a lo que necesitan y quitarles los privilegios de administrador, hacer copias de seguridad de todos los archivos críticos de manera efectiva y segura, y probar esas copias de seguridad para asegurarse de que la información se pueda restaurar en un forma utilizable.

Una forma en que las empresas pueden probar su respuesta a un troyano ransomware vivo en su red es plantar archivos ficticios en la red que los usuarios legítimos nunca deberían tocar y actuar como alarmas.

Las empresas y organizaciones también deben asegurarse de contar con planes viables de continuidad comercial y recuperación ante desastres, y ser conscientes de que pagar a los piratas informáticos no garantiza la devolución de los datos robados y podría aumentar el daño a la reputación si el público ve esto como una forma de tratando de ocultar una brecha.