保加利亞資安廠商Tad Group揭露新型態的勒索攻擊Ransomhack,駭客入侵企業並非以加密檔案當作威脅,而是竊取用戶個人資料,以此威脅企業支付贖金否則將公開個資使該企業受GDPR的巨額罰款處罰。駭客目標瞄準中大型企業,並要求支付價值1,000美元到20,000美元不可追蹤的加密貨幣作為贖金。
您絕對不可不知道GDPR是什麼!
GDPR已在5月25日上線,號稱是史上涵蓋範圍最廣、規定最嚴格、罰則最重的個資法!目的用於保護歐盟居民個人隱私權。違反GDPR情節重大者,將被判罰2000萬歐元(約7.2億新台幣),或是前一年度全球營業額的4%取其高者!
Tad Group創辦人Ivan Todorov警告,受害者是中型以及大型的保加利亞公司,被要求以無法追蹤來源的加密貨幣支付贖金,由於GDPR規定,觸法的罰款數目非同小可,對企業來說是非常沉重的壓力!
前些時日肆虐一時的勒索軟體Ransomware,已讓企業與政府單位頭大,像是WannaCry蠕蟲為會主動感染電腦,以RSA 2048加密方法加密180種電腦檔案格式,並更改副檔名為WNCRY加密檔,受害者被威脅,需要在時間內支付贖金才能取得解密金鑰,超過時限金鑰就會被駭客撕票。而Ransomhack則是駭客竊取企業的使用者個人資料,並威脅暴露這些資料以獲取贖金。
不過尷尬的是,在企業被竊取使用者個人資料後,有義務於72小時內向主管機關通報資料洩漏,對這些被駭的保加利亞企業來說,主管機關就是個人資料保護委員會,該委員會將評估違規程度施以適當的裁罰,也就是說,即使企業繳交罰金企圖息事寧人,但最後還可能會因為沒有通報主管機關而被加重處罰。
Tad Group提到,這些被駭的保加利亞企業都採取了相對應的措施以因應GDPR,包括制定個人資料儲存規範或是安全政策等,但是卻忽略了可能來自網路攻擊所造成的資料外洩,該資安廠商提到,企業可以藉由滲透測試,來對企業進行針對性的網路攻擊模擬,以駭客使用的入侵技術測試企業的資安強度,並即時修補發現的漏洞。
個資保護罰則越罰越重,除了保障個人自身的權益之外,也要各企業確實履行保護的義務,若再不去重視,巨額罰款、贖金,兩者都不是企業願意面對的風險。然而即便交了贖金,也還是必須面對個資保護法GDPR對於事件的評估,付出的代價將遠大於企業想像。對此,您還願意冒著個資外洩的風險嗎?
解決方案
1.數位身分認證:存取的時候驗證身分,確保不被第三方存取。
如: OTP動態密碼鎖、eToken、藍芽K1100、SmartCard…等。更多。
2.數位資料保密:加強數據資料的加密安全性。
如:HSM硬體安全模組…等。更多。
3.線上服務認證:線上服務認證方案為線上服務供應商及機構帶來商業價值,為遠端使用者(客戶、夥伴廠商、內部使用者) 提供強力安全認證,易於在操作的平台上獲取網頁服務、數位簽章服務。如:eToken、MobilePass…等。
4. SSL數位憑證服務:SSL (Secure Sockets Layer)是一種廣泛使用的安全協議,防止第三方訊息攔截或篡改傳輸中的任何數據,資料將受到安全機制保護,藉此保障所有網路活動資料的安全性,可根據業務需求選擇最合適的SSL證書類型,代表了服務器和瀏覽器之間的網路流量是安全的。
參考資料來源: https://www.ithome.com.tw/news/124136
欲詳細了解產品資訊請拜訪:
正新電腦 https://www.pronew.com.tw/ 04-24738309
文章定位: