Ekspert: rozporządzenie o ochronie danych osobowych to prezent dla przestępców
RODO to świetny prezent dla przestępców – uważa szef rozwoju F-Secure, Mikko Hypponen. – Do tej pory hakerzy atakujący firmy za pomocą ransomware nie wiedzieli jak dużo pieniędzy mają żądać za oddanie kontroli nad danymi. Z pomocą przychodzi im RODO, które dokładnie wycenia, ile dla firmy warte są dane ich klientów – mówi.
Wchodzące w życie za pół roku Rozporządzenie o Ochronie Danych Osobowych przewiduje karę dla firm, które nie poinformują w ciągu 3 dni o włamaniu i wycieku danych. Może im za to grozić grzywna do 10 mln euro lub 2 proc. rocznego obrotu, zależnie od tego, która suma będzie wyższa. Eksperci są zgodni co do tego, że taka kara może być wyrokiem śmierci dla przedsiębiorstw. Tak wysokie kwoty mają zniechęcić firmy do ukrywania włamań. Okazuje się, że te nie są skore do dzielenia się takimi informacjami. Dopiero po roku dowiedzieliśmy się o kradzieży danych użytkowników i kierowców, włamanie ukrywał też Plus Bank, DropBox i Yahoo.
Internetowi giganci ukrywają wycieki danych ze zrozumiałych powodów. Jeśli przedsiębiorstwo, które bazuje na zaufaniu (jak np. banki, operatorzy telekomunikacyjni), będzie musiało co chwilę informować swoich klientów o włamaniach, to długo ich nie utrzyma. Wg ekspertów ds. bezpieczeństwa dopiero po wejściu w życie RODO zobaczymy prawdziwą skalę ataków na duże firmy.
Dlatego RODO daje w pewnym sensie przestępcom dodatkową dźwignię w zastraszaniu i wyłudzaniu okupu. Już nie tylko samo zaszyfrowanie danych (w przypadku ransomware) będzie ciosem dla firm, ale też groźba upublicznienia włamania (o ile zarządy firm będą chciały działać w sprzeczności z rozporządzeniem i za wszelką cenę ukryć włamanie). Dodatkowo RODO jest dla przestępców swoistym cennikiem. Jeśli wcześniej okupy wahały się pomiędzy kilka a kilkaset tysięcy euro, to teraz kwoty mogą iść w miliony.
Nie oznacza, to że RODO jest złym pomysłem. Wręcz przeciwnie, zbyt długo tak wrażliwe kwestie jak gromadzenie danych osobowych pozostawało nieuregulowane. W idealnym przypadku rozporządzenie doprowadzi do wzrostu poziomu bezpieczeństwa. Zwłaszcza na początku można się jednak spodziewać dużej ilości informacji o spektakularnych włamaniach i wyciekach. Można mieć tylko nadzieje, że dzięki temu często marginalizowane w firmach wydziały zajmujące się bezpieczeństwem zostaną odpowiednio dofinansowane.