Blant sine spådommer for 2018 fremhever sikkerhetsselskapet Trend Micro at datakriminelle vil begynne å utnytte den nye personvernloven (GDPR) til sin fordel.
Spesifikt gjelder dette løsepengevirus som har hatt en enorm vekst siden 2015. Datakriminelle antas å ha tjent nærmere ti milliarder kroner på på digital utpressing i 2016.
Fra neste år, når GDPR trer i kraft, vil en bedrift kunne bøtelegges med inntil fire prosent av årsomsetningen dersom personopplysninger de forvalter kommer på avveier. Dette gjør at løsepengekravene kan tilpasses den enkelte bedriften – for optimal inntjening for de kriminelle.
– Hackere kan bruke offentlig tilgjengelig regnskapsdata til å regne ut hvor stor en potensiell GDPR-bot vil kunne bli, hvis persondata kommer på avveier. Klarer hackere å stjele persondata fra den samme virksomheten, kan de «tilby» seg en betaling som er litt mindre enn GDPR-boten, sier Karianne Myrvold, kommunikasjonssjef i Trend Micro.
Sikkerhetseksperter anbefaler på generell basis å ikke betale løsepenger til hackere. Jo oftere denne «forretningsmodellen» fungerer jo flere angrep vil komme.
Frykter omdømmetap
Én motivasjon for å betale slike løsepenger er frykten for å tape omdømme for bedriften dersom hackingen blir kjent for leverandører og kunder. Nasjonal sikkerhetsmyndighet har også et ønske om at næringslivet skal bli mer åpne om dataangrep og hacking.
– Frykten for omdømmetap skulle jeg ønske vi kom oss litt mer bort fra. Det viser seg at ingen av dem som har vært åpne om datainnbrudd har mistet kunder eller tapt omdømme i merkbar grad i etterkant, sa Hans Christian Pretorius, direktør for IKT-sikkerhet i NSM til DN i november.
Frykter ikke økning
Direktør Bjørn Erik Thon i Datatilsynet tror ikke Trend Micros spådommer vil slå til i stor grad.
– Her spekulerer de. Jeg kan ikke se at GDPR endrer situasjonen når det gjelder løsepengevirus i stor grad. Vi har jo allerede et regelverk som omfatter både varsling og muligheten for overtredelsesgebyr for personopplysninger på avveier, sier Thon.
Hackernes motivasjon for å bruke fireprosentregelen som skremsel synes Thon bedriftene skal se bort fra.
– Man får ikke automatisk bot for å bli hacket. Faktisk har det aldri skjedd i Norge, med mindre det har skjedd fordi en bedrift har brutt loven. Fireprosenten er også en maksgrense som forhåpentlig sjelden vil bli anvendt, sier Thon.
Han er imidlertid helt enig med NSM om at det trengs åpenhet rundt hacking og angrep mot næringslivet.
– Blir man hacket og personopplysninger kommer på avveier vil det bli sett på som mer alvorlig dersom man ikke varsler Datatilsynet, men prøver å feie det under teppet, sier Thon.(Vilkår)
