RODO, czyli woda na młyn dla cyberprzestępcy

Przeczytaj także: Polskie firmy nie są liderami cyberbezpieczeństwa

Wprawdzie RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, obowiązuje dopiero od maja 2018 roku, ale postrachem przedsiębiorców stało się już znacznie wcześniej. Zamieszanie powstałe wokół nowych przepisów zainteresowało również cyberprzestępców, którzy - jak można podejrzewać - dość wnikliwie zapoznali się z karami grożącymi za niestosowanie się do reguł zawartych w rozporządzeniu.

Grzywny grożące przedsiębiorcom niestosującym się do wymogów RODO rzeczywiście są imponujące. Naruszenie obowiązków związanych z prawidłowym wdrożeniem nowych przepisów (np. niepodejmowanie wymaganych środków ochrony danych) może kosztować nawet 10 000 000 EUR lub 3% całkowitego rocznego światowego obrotu przedsiębiorstwa. Co więcej organ nadzorczy, a więc w przypadku naszego kraju Prezes Urzędu Ochrony Danych Osobowych (PUODO), jest zobowiązany do tego, aby stosowane na mocy RODO administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Grupa art. 29 podkreśla, że kary te wcale nie powinny być używane w ostateczności. Przedsiębiorcy powinni liczyć się z tym, że regulacje RODO dotyczące kar pieniężnych nie pozostaną jedynie martwymi zapisami.

Kary we Francji, Wielkiej Brytanii i… Polsce.

Przedsiębiorcy rzeczywiście mają się czego bać. Jedną z pierwszych firm, która się o tym przekonała, był już w lipcu 2018 r. sklep internetowy z Francji - Optical Center, sprzedający m.in. okulary przeciwsłoneczne. Została na niego nałożona grzywna za niezachowanie bezpieczeństwa danych osobowych klientów sklepu. Druga była amerykańska firma Equifax, działająca także w Europie, np. w Wielkiej Brytanii, zajmującą się doradztwem finansowym. Jej problemem był fakt, że pozwoliła na wyciek danych swoich klientów. Również w Polsce już wkrótce może zostać nałożona pierwsza duża kara - Prezes Urzędu Ochrony Danych Osobowych analizuje sytuację związaną z wyciekiem danych z Morele.net.

W pierwszych miesiącach funkcjonowania RODO do Urzędu Ochrony Danych Osobowych wpływało około 800 skarg co miesiąc. W ciągu pierwszego półrocza, do końca listopada odnotowano 3 700 skarg. Duża część z nich dotyczyła nieuprawnionego udostępnienia danych osobom trzecim. Trzeba jednak pamiętać, że trwa jeszcze okres przejściowy i zarówno liczba skarg, jak i nakładanych kar będzie się zmieniać.

Prawdopodobnie na to liczą cyberprzestępcy, którzy, wykorzystując RODO, ruszyli do ataku. Swoje działania opierają na wykradaniu danych oraz wymuszaniu zapłaty okupu – pod groźbą ujawnienia informacji o wycieku. To mogłoby skutkować karą z tytułu RODO. Taki mechanizm jest przez przestępców coraz częściej stosowany, stał się wręcz atrakcyjnym narzędziem ataku po wejściu w życie nowych przepisów o ochronie danych osobowych.

– Cyberprzestępcy uznali, że obawa przedsiębiorców przed wysokimi karami to dla nich szansa na zarobek. W drugim półroczu tego roku odnotowano dużą liczbę ataków i prób ataków polegających na kradzieży danych z zasobów firm i szantażu: zapłaćcie, a nie ujawnimy, że nie zabezpieczyliście danych. Kwoty, jakie cyberprzestępcy próbują w ten sposób wyłudzić, nie są wysokie, mają zachęcać do „załatwienia sprawy” przez szybki przelew lub zapłatę w kryptowalucie. W rzeczywistości przedsiębiorca, który raz zapłacił okup, z dużym prawdopodobieństwem zostanie zaatakowany ponownie. Przecież oszuści zarobili na nim łatwe pieniądze. Choć nie są to duże kwoty, to z pewnością znacznie większe niż koszt skutecznej cyberochrony, na którą w modelu abonamentowym stać dzisiaj każdego przedsiębiorcę – ocenia Wojciech Gołębiowski, dyrektor zarządzający Veronym, firmy zapewniającej najnowocześniejsze i kompleksowe chmurowe cyberbezpieczeństwo w modelu subskrypcji usługi.

Zbyt mały, by go zaatakowali?

Niestety rzeczywiście efektem ubocznym przepisów RODO jest fakt, że rozwinęły nową kategorię cyberataków, skierowanych na małe firmy. Do niedawna funkcjonował mit, że mali przedsiębiorcy nie muszą się obawiać ataków, bo ich przychody nie wzbudzą zainteresowania cyberprzestępców. Teraz jednak takie myślenie wydaje się archaiczne i nieodpowiedzialne, a dla biznesu bardzo niebezpieczne. W efekcie RODO, a dokładnie kar, jakie grożą z tytułu rozporządzenia, coraz więcej firm może być teraz na celowniku hakerów. Dotyczy to nawet jednoosobowych działalności, które do tej pory nie były dla nich interesujące.

– Zwrócił się do nas fotograf prowadzący kilkuosobową firmę, któremu hakerzy zablokowali dostęp do obrobionej i przygotowanej już do przekazania zleceniodawcy sesji zdjęciowej. Kilkadziesiąt zdjęć, umieszczonych na dysku własnego komputera, nad którymi pracował dwa tygodnie. Zażądali kilku tysięcy złotych za odblokowanie dostępu do fotografii. Sam okup dla firmy to sporo pieniędzy, ale niedotrzymanie terminu oddania zdjęć, może być druzgocące dla przyszłości w tym zawodzie. Nie mówiąc już o groźbie kary z tytułu RODO, bo jest duże prawdopodobieństwo, że hakerzy przejęli dane klientów firmy fotograficznej. Gdyby trafił do nas trochę wcześniej, problemu by nie było, nasza ochrona wykryłaby próbę ataku i zablokowała ją. Jak widać nawet najmniejsza firma może być przedmiotem zainteresowania hakerów i bynajmniej nie jest za mała, żeby paść ofiarą ataku – Wojciech Gołębiowski z Veronym.

Rozporządzenie RODO ma zwiększyć kontrolę nad własnymi danymi i bezpieczeństwo poufnych informacji także w sieci, jednak niesie ze sobą też nowe wyzwania dla przedsiębiorców. Ci, którzy nie zapewnią cyberochrony swojej firmie, mogą mieć kłopoty.