W cyberprzestępczym środowisku moda i wykorzystywane techniki bardzo szybko się zmieniają. Można nawet wysnuć tezę, że hakerzy i przestępcy szybciej reagują na zmiany w świecie Internetu, niż inne podmioty (np. przedsiębiorcy , czy instytucje publiczne), ponieważ nie obowiązują ich żadne przepisy i regulacje, które mogłyby ich znacząco spowolnić w działaniu i generowaniu nowych pomysłów.

W odpowiedzi na cyberataki i handel danymi osobowymi w 2018r wdrożono ogólne przepisy unijne GDPR (RODO) wraz z indywidualnymi, krajowymi przepisami, które zobowiązały administratorów danych osobowych do zapewnienia odpowiedniego stopnia ochrony przetwarzanym danym. Miało to zwiastować rychły koniec bezprawia w przetwarzaniu naszych danych osobowych.

Zagrożenie surowymi administracyjnymi karami finansowymi na gruncie RODO, wymusiły pewne pozytywne zmiany na firmach, które początkowo nie były chętne do szybkiego wdrażania dodatkowych, czy też ulepszonych środków bezpieczeństwa. Mimo tego wydaje się, że hakerzy zawsze są o krok dalej – przełamują niewystarczające konfiguracje systemów i skrupulatnie wychwytują, a następnie wykorzystują błędy ludzkie. Daje im to sposobność przeniknięcia do systemów IT przedsiębiorstw i innych podmiotów, w tym administracji publicznej, a następnie wykorzystania danych, do których zdobyli dostęp.

Taki nowatorski tok myślenia wykorzystali hakerzy z nowej grupy RansomedVC, którzy połączyli kradzież danych ze specyficznym rodzajem szantażu. Przedsiębiorstwa, które odmawiają zapłaty okupu za wykradzione dane są zgłaszane przez grupę organom nadzorczym w zakresie ochrony danych osobowych, czyli odpowiednikom polskiego Urzędu Ochrony Danych Osobowych.

W wywiadzie dla DailyDarkWeb operator grupy przestępczej opowiadał, że zgłaszanie wycieków odpowiednim organom przynosi wielkie korzyści finansowe, ponieważ ofiary są bardziej chętne do zapłaty okupu, nie chcą bowiem mieć dodatkowo problemów z odpowiednim urzędem ds. ochrony danych w swoim państwie i narażać się na kary finansowe oraz złą renomę.

Jest to dość zaskakujący, ale i ciekawy sposób działania. Hakerzy najpierw sami atakują przedsiębiorstwa, a gdy te nie chcą współdziałać (i płacić) – zgłaszają naruszenie ochrony danych u atakowanego podmiotu, aby za dokonany atak został ukarany.

Czy warto zatem negocjować z przestępcami?

Eksperci zgodnie doradzają, aby tego nie robić. Należy bowiem pamiętać, że za każdym razem, kiedy w zasobach administratora danych dojedzie do incydentu bezpieczeństwa, to niezależnie od faktu, czy doszło do wycieku danych (incydent poufności), w wyniku przeprowadzonego ataku, czy „tylko” do ich zaszyfrowania (incydent dostępności) lub innej ich zmiany (incydent integralności) administrator danych osobowych ma obowiązek wykonać analizę ryzyka naruszenia praw i wolności osób, których incydent dotyczył, w wyniku której powinien podjąć decyzję, czy musi zgłosić takie zdarzenie organowi nadzorczemu.

Należy także pamiętać, że jeśli istnieje wysokie ryzyko naruszenia praw i wolności osób fizycznych (np. doszło do wycieku danych szczególnej kategorii) to
administrator danych ma obowiązek poinformować o incydencie także osoby, których naruszenie dotyczyło. Ponadto, nigdy nie ma pewności, czy przestępca po dokonaniu wpłaty żądanej kwoty wykona umówione działanie np. przekaże klucz do zablokowanych zasobów. Warto też pamiętać, że naruszenie w danym podmiocie (np. w trybie skargi) może zgłosić każda osoba trzecia, stąd jeśli nie zrobi tego administrator, ani szantażysta – niewykluczone, że dokona tego poszkodowany lub osoba postronna, która o ataku mogła się dowiedzieć. Nie jest więc korzystne ani zatajanie faktu naruszeń w organizacji, ani wszelaka współpraca z oszustami.