Малко повече от две години след превръщането на Общия регламент за защита на личните данни(GDPR) в закон, всички държави от Европейския съюз, включително Обединеното кралство, го приеха или го приспособиха към националните си законодателства за защита на данните. Единственатастрана-членка, коятоне е направилатова, е Словения.
Равносметката: Макар по-големите организации като цяло да се адаптират към GDPR, ситуацията при малките и средните предприятия (МСП) е различна. Само една от три малки и средни компании отговарят на изискванията на Регламента. Причините, които изтъкват: липсата на финансови средства, използването на остарели технологии и софтуер, нуждата от постоянно преразглеждане на процесите.
Самото прилагане на Регламентаобаче есамостоятелна отговорност на всяка една държава – членка. Резултатът: липса на последователност и фрагментация, които се отразяват върху трансграничния бизнес, особено що се отнася до новите технологични разработки и продуктите за киберсигурност.
Лични данни, сред които номера на социални осигуровки, на неопределен брой потребители са били източени от резервно копие на база данни на сайта Radio.com. Той е собственост на втората по големина радио компания в САЩ Entercom.
Пробивът в сигурността е осъществен на 4 август 2019 г. и е разкрит. Данните са били съхранявани на хостинг провайдър на компанията и освен номера на социални осигуровки (американският еквивалент на ЕГН) включват имена и номера на шофьорски книжки. Компрометирани са и потребителски имена и пароли.
2020 г. започва с нова тенденция при криптовирусите и начините, по които хакерите изнудват жертвите си за откупи.
Досега, криптовирусите криптираха вашата информация и искаха откуп за нея. Някои плащаха, други не. Сега, за да увеличат шанса да платите, те предприемат нов подход – преди да криптират, източват вашата информация, за да могат да ви изнудват с публикуването й , споделянето й на конкуренти, или излагането й на обществено място с цел да спечелят пари.
За разлика от sextorsion изнудването, където обикновено се играе на блъф, при Sodinokibi, Maze и Nemty заплахата е истинска. Това са първите, но вероятно няма да са последните криптовируси, които източват данните на жертвите си преди да ги криптират.
Как работи измамата
Досега стандартните криптовируси действаха по добре позната система:
Зараза. Най-често през фишинг имейл, в който има прикачен файл – с привидна сметка, фактура и т.н. Ако жертвата направи грешката да отвори файла, без да разберете, вирусът активира payload, който криптира файловете на системата.
В моментът, в който вирусът криптира данните ви, виждате съобщение, в което се описва исканият откуп и bitcoin портфейл, на който да бъде преведен. Откуп, който много хора отказваха да платят, въпреки загубата на снимки или информация.
Новата стъпка. Отворили сте мнимата фактура или сметка, видели сте, че не е за вас и продължавате с обичайните си ангажименти. Междувременно, информацията ви се източва. След източването на информацията ви на хакерски сървър и криптирането на компютъра ви, виждате на екрана си. Ако откажете да платите, както много правеха досега, следва новата измама – заплаха, че данните ви ще бъдат дадени на конкуренцията или ще бъдат използвани срещу вас чрез публикуването им. С това хакерите увеличават вероятността да платите и да спечелят повече.
Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com
Ето и пример. На скрийншота по-горе се вижда как хакерите твърдят, че са откраднали над 50 гигабайта информация. Жертви са компютрите на немската GEDIA Automotive Group, доставчик на компоненти за автомобилно производство с дейност в Германия, Китай, Унгария, Индия, Мексико, Полша, Испания и САЩ. В източените данни фигурират чертежи, данни за служители (над 4 300 души) и клиенти.
Като доказателство за твърдението си, хакерите публикуват Excel файл, в който се съдържа AdRecon репорт за Active Directory средата на GEDIA.
Заплахата е ясна: платете откупа, в противен случай ще пуснем данните за продажба, а седмица по-късно – и напълно безплатно за сваляне.
Групата зад Maze стига още по-далеч. Хакерите публикуваха над 700 мегабайта източена от Allied Universal информация – или 10% от общия обем откраднати и криптирани данни. Те дори са се свързали с bleepingcomputer.com, за да разкажат историята си и да споделят част от източените файлове като доказателство:
Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com
Исканият от тях откуп е бил 300 биткойна или около 2.3 млн. USD.
Най-интересната част от комуникацията, според нас, е зададеният въпрос: какви са гаранциите, че след плащането на откупа източените файлове ще бъдат заличени и, че няма да се поиска откуп повече от веднъж. Отговорът е красноречив:
Не ни интересуват данните. Интересуват ни само парите. Логиката е проста. Ако публикуваме източените данни след откупа, кой ще ни повярва в бъдеще? Нямаме интерес и ще бъде глупаво да публикуваме източените данни, защото няма да спечелим нищо от това. Трием информацията, защото за нас тя не е нещо интересно. Ние не сме шпиони.
Видимо, тактиката има смисъл, защото авторите на третия известен подобен вирус – Nemty – стигат дотам, че планират да създадат собствен сайт, в който под формата на каталог да публикуват данните на жертвите си. Новината е изпратена под формата на пресрилийз, отново до bleepingcomputer.com:
Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com
Подобни планове имат и авторите на Maze.
Nemty е екипиран и да атакува фирми директно. Това ни показва моделът му за централизирана администрация – например, всички засегнати от него компютри в една мрежа, вече могат да бъдат декриптирани с един ключ.
Много повече от криптиране
Основният проблем, с който може да се сблъскате, ако станете жертва на подобен вирус, е че последиците няма да се ограничат до загубата на данни.
След масовите зарази с криптовируси през последните 2 години, поддържането на бекъп се превърна от бутиково начинание в необходимост и вече много фирми го правят по най-различни начини. Навлизането на услуги в облака също спомогна бизнесите да се почувстват една идея по-защитени от потенциални зарази с ransomware. Все пак, в облака се пази резервно копие на информацията им – което дори в очите на някои обезсмисля закупуването на решение за бекъп.
Новата тактика, обаче носи допълнителни главоболия. Дори и да имате актуално копие на информацията, в случай, че не бъде платен откупа, не знаете какви данни може да са били източени от компанията ви. Te може да са:
Договори
Стратегии и планове
Лични данни на клиенти и служители
Дизайни и чертежи
Ноу-хау
Бази данни с клиенти
Информация за продажби
А това е само част от възможностите. На практика, публикуването им може да доведе до допълнителни санкции – например, по GDPR, което може да се окаже сериозна финансова пречка за съществуването на един бизнес.
Какво да направя в такава ситуация
Направете всичко възможно да не стигате до нея. Защитете работните си станции с многопластови решения за киберсигурност. Само наличието на антивирусно решение или само на защитна стена вече не достатъчно. Мислете проактивно – защитете организацията си на няколко нива, за да ограничите риска от това да се превърнете в жертва на тази нова вълна.
Разчитайте на еволюирали решения за киберсигурност, настроени и поддържани от професионалисти. Потърсете Security Operations Center, който да следи и анализира непрекъснато случващото се в мрежата ви и да реагира в случай на потенциален проблем. Например, да засече, че базите ви данни биват източвани и да ги предпази.
Хакерите ще стават все по-изобретателни. Еволюирайте, както го правят и те.
Лични данни от над 250 млн. заявки за техническа поддържа на Microsoft са били оставени публично достъпни за 2 дни през декември 2019 г., съобщава welivesecurity.com. Причината е грешна конфигурацията на сървъри на компанията.
Тъй като личните данни са били оставени достъпни без необходимост от автентикация, на практика всеки с интернет връзка е можел да ги свали.
Сетът с над 250 млн. записа е бил съхраняван на пет отделни Elasticsearch сървъра, които са разкрити от изследователя Bob Diachenko на 29 декември 2019 г. Той е уведомил Microsoft незабавно, а компанията е започнала разследване и е заличила информацията в рамките на 2 дни.
Според официалната позиция на Microsoft не са засечени потенциално опасни опити за достъп до данните.
Източената информация включва логове от комуникация между Microsoft и клиенти на компанията за период от 14 години между 2005 и 2019 г.
Въпреки че най-чувствителните данни – за плащания – е била обфускирана, в базите данни са били съхранявани и множество записи в текстов формат. В тях е имало IP адреси, локации и вътрешни бележки към комуникацията, маркирани като „конфиденциални“, имейл адреси на клиентите, описания на тикети за поддръжка, мейли на служители на Microsoft и т.н.
Защо?
Официално съобщената до момента причина за оставената на показ информация е неправилна конфигурация на правилата за защита на данните на сървърите. Подобни грешки не са нещо ново или непознато.
Преди няколко месеца грешка в конфигурацията на Elasticsearch сървър засегна почти цялото население на Еквадор, чийто лични данни бяха оставени публично достъпни.
Средно 247 оплаквания на ден или общо над 160 000 жалби са постъпили в европейските регулатори за защита на личните данни за първите 18 месеца след влизането в сила на GDPR. Общата сума на санкциите по регламента до момента е 114 млн EUR.
Авиопревозвачът British Airways и хотелската верига Marriott ще бъдат глобени с общо 314 млн. EUR заради слаби мерки за защита. Те са довели до източването на лични данни на общо над 339 млн. потребители, за които и двете компании признаха през 2018 г. Санкциите са и най-големите, налагани по GDPR до момента.
Рекордните глоби бяха обявени само за седмица от британския регулатор за защита на личните данни Information Commissioner’s Office (ICO).
Първата обявена глоба бе за British Airways. През 2018 г. авиопревозвачът призна за пробив в системите си, от който са засегнати 380 хил. души. Благодарение на уязвимост в сайта и мобилното приложение за резервация на билети, престъпна група с името Magecart е успяла да се сдобие с лични данни и информация за кредитни карти на засегнатите клиенти. Заради пропуска в защитата си, компанията ще трябва да плати малко над 204 млн. EUR (183 млн. GBP).
Два дни след рекордната санкция, ICO обяви, че заради признатия през ноември ноември 2018 г. пробив в системите за сигурност на Marriott Internationalе глобена със 110 млн. EUR (99.2 млн. GBP). Причината е, че собственикът на вериги като Le Méridien и Sheraton, призна за пробив в системите си, довели до източването на лични данни на над 339 млн. нейни клиенти. Източената информация включва данни за кредитни карти, номера на паспорти, рождени дни и др.
И двете компании ще могат да обжалват санкциите. Преди тези глоби, най-мащабната санкция, обявена от ICO, беше в размер на 557 хил. EUR за Facebook след скандала с Cambridge Analytica.
Затишие пред буря. Така може да се определи ситуацията с регламента за защита на личните данни GDPR малко повече от 9 месеца след влизането на санкциите по него в сила през март 2018 г. Уроците, които научихме през това време са:
Регулаторите не бързат да налагат санкции, но не се колебаят да го правят (най-голямата наложена е глоба е 50 млн. EUR на Google във Франция)
Потребителите не се свенят да подават сигнали – само във Великобритания има над 206 хил. подадени жалби, от които 64 хил. са уведомения за източване на лични данни
Не малка част от наложените глоби касаят не толкова самите пробиви, колкото очевадната липса на политики за реагиране при инциденти от страна на разследваните организации
Глобеният си е глобен
Общият обем наложени глоби в ЕС по статистика на британския регулатор за защита на личните данни е 55 млн. EUR. Да, цифрата не е толкова стряскаща, особено на фона на факта, че 50 млн. EUR от тях са за Google във Франция. Но е факт, че според различни публикации не малка част от регулаторите са задали „гратисен“ период, в който държат санкциите на възможно най-ниските им нива.
Факт е, че до момента санкциите изглеждат някак рехави на фона на гръмките до 4% от годишния оборот или 20 млн. EUR – което от двете е по-високо. Но е факт и, че не липсват и оплаквания, и санкции. А според различни коментари на специалисти, и регулаторите в момента набират скорост.
Така например, само 52% от споменатите 206 хил. сигнала във Великобритания са обработени до момента, а за година местният регулатор е удвоил персонала си – от 380 на 700 служителя. Факт е, че и дори и да е имало „гратисен“ период, той рано или късно би трябвало да свърши. И е факт, че регулацията е лице, което означава, че или организациите са си свършили много добре работата – и са добре подготвени да покрият изискванията на регламента, или сме на прага на буря от санкции.
Над 95 хил. жалби на граждани за неспазване на GDPR са подадени от май 2018 г., когато директивата влезе в сила. България е една от петте страни в Европа, които закъсняват с практическото прилагане на директивата. Това са два от основните изводи в изявление на Европейския комитет за защита на данните.
България е една от страните, където практическото приложение на GDPR все още изостава. Другите са Гърция, Словения, Португалия и Чехия. Съгласуваният с GDPR законопроект беше внесен в българския парламент през септември 2018 г., но беше окончателно гласуван едва на 24 януари 2019 г.
От Европейския комитет за защита на данните отчитат, че до момента в ЕС се водят 255 разследвания за нарушения на изискванията по GDPR. Вече има и случаи на глобени компании.
Най-голямата до момента глоба е за 50 млн. евро. Тя беше наложена на Google. Според френските регулатори интернет гигантът не информира достатъчно добре потребителите си за това как използва данните им за таргетирана реклама.
През ноември Германия наложи глоба от 20 хил. евро на чат платформата Knuddels, след като хакери пробиха сървърите на компанията и откраднаха потребителски данни, които след това публикуваха в Pastebin.
„Случаят Facebook/Cambridge Analytica, както и неотдавнашните пробиви в сигурността на личните данни, показаха, че сме на прав път. На риск е изложена не само защитата на неприкосновеността на личния ни живот, но и защитата на нашите демокрации и гарантирането на устойчивостта на нашите основани на данни икономики“, коментират от комитета.
Около 59% от организациите изпълняват всички или почти изисквания по евродирективата GDPR. Това показват резултатите от проучване на Cisco сред 3200 експерти по информационна сигурност от цял свят.
Подготвените за GDPR организации отчитат по-малък риск от пробив на данни и по-кратки забавяния в продажбите, показват още резултатите от проучването.
Една трета ще са готови с GDPR след година
Анкетата е направена с респонденти от 18 страни, включително и няколко европейски. Данните показват, че в ЕС за най-подготвени се считат респондентите в Испания (76%) и Италия (72%). Данни за България няма.
29% от анкетираните очакват организацията им да покрива изискванията на GDPR, а други 9% казват, че ще им трябва повече от година.
Какво показва практиката досега
Проучването е установило, че компаниите, които са инвестирали в подготовка за GDPR, вече извличат ползи от това. Така например 74% от тях са регистрирали пробив на данни, но този дял е по-малък в сравнение на дела от компаниите(89%), които нямат готовност за GDPR.
Компаниите, които покриват изискванията на директивата, отчитат забавяне от средно 3.4 седмици при реализацията на продуктите им на пазара. Това забавяне се дължи на факта, че клиентите им се притесняват за защитата на данните.
При компаниите, които не покриват изискванията на директивата, този период е средно с две седмици по-дълъг: 5.4 седмици.
„Тези резултати показват, че спазването на стандарти за поверителност и защита на данните вече е конкурентно предимство за много компании. Организациите следва да оптимизират ползите от своите инвестиции в защита на данните. Тези инвестиции може да надхвърлят задълженията, които трябва да се спазват съгласно една или друга регулация“, коментират от Cisco.
Френският регулатор CNIL (Commission nationale de l’informatique et des libertés) глоби с 50 млн. евро интернет гиганта Google. Наказанието е за неспазване на евродирективата за защита на личните данни GDPR. Според CNIL американската компания не предоставя адекватна информация за начините, по които обработва лични данни при пласиране на онлайн реклами.
Рекордна глоба
Това е най-голямата глоба по GDPR, откакто евродирективата влезе в сила на 25 май 2018 г. Тя предвижда финансови наказания за компаниите, които оперират на територията на Европейския съюз и не могат да спазват правилата за защита на личните данни.
„Това е първият случай, в който CNIL налага санкция съгласно GDPR. Размерът на глобата е съобразен със степента на неспазване на основните принципи на директивата. А те са прозрачност, информираност и съгласие“, коментира френския регулатор.
Липса на прозрачност
Google не е успяла да информира потребителите за начините, по които събира данните им и ги използва за пласиране на онлайн реклама, се казва в решението. Въпреки че самата компания твърди, че получава информирано съгласие от страна на потребителите, преди да започне да използва данните им, според регулатора това не е така.
„Информацията за обработката на данни и персонализирането на рекламите е разводнена в няколко документа и не позволява на потребителя да добие представа за мащаба на процесите. Например в секция „Персонализиране на реклами“ няма как да се разбере ясно кои услуги, сайтове и приложения участват в обработката на данни (Google Search, Youtube, Google Home, Google Maps, Play Store, Google Pictures…)“, се казва в решението на френската комисия.
Предварително зададено съгласие
CNIL отчита факта, че потребителите могат да избират какви персонализирани реклами да виждат, когато си създават нов акаунт. „Това обаче не означава, че GDPR се спазва. Потребителят не само трябва да избере More Options, за да промени настройките, но и опцията за персонализация на реклами е избрана по подразбиране. Според GDPR обаче съгласието на потребителя е недвусмислено само ако той го е заявил с ясно изразено действие“, посочва френският регулатор.
GDPR предвижда глоби до 20 млн. евро или до 4% от годишния оборот на компаниите (избира се по-голямото от двете), които не спазват директивата.
През 2017 г. Google има приходи от 109.6 млрд. долара. Те формират 99% от консолидирания оборот на Alphabet, компанията-собственик на търсачката.
