Ora i pirati sfruttano le multe del GDPR

Il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) ha segnato un passo avanti nella definizione degli obblighi legati alla cybersecurity delle aziende. Le conseguenze si sono viste da subito: oltre a un aumento delle denunce degli attacchi subiti (prima dell’obbligo introdotto dal regolamento le imprese tendevano a nascondere per quanto possibile eventuali incidenti di sicurezza) gli esperti hanno registrato una crescita generalizzata della sensibilità in tema di sicurezza informatica. Il rovescio della medaglia, però, esiste.

Un gruppo di pirati informatici, infatti, ha pensato bene di sfruttare il sistema sanzionatorio del GDPR per dare maggiore peso ai loro attacchi. I cyber-criminali in questione sono conosciuti per diffondere Sodinokibi, un cripto-ransomware che codifica i dati presenti sui sistemi e visualizza sui computer infetti una richiesta di riscatto che la vittima deve pagare per ottenere la chiave che consente di decifrare i file crittografati.

Normalmente, i pirati informatici contano sul fatto che il riscatto richiesto sia meno costoso delle perdite che subirebbe l’azienda per il blocco delle sue attività nel corso del ripristino dei dati attraverso i sistemi di backup. I criminali in questione, però, hanno pensato bene di introdurre un altro elemento di “persuasione” per spingere le loro vittime a pagare: agitare lo spauracchio di una multa ai sensi del regolamento europeo.

Il GDPR, come è noto, prevede la possibilità di sanzionare le aziende che non proteggono in maniera adeguata i dati dei loro utenti con una multa che può raggiungere il 4% del fatturato globale. Proprio la possibilità che l’azienda subisca questa stangata viene citata esplicitamente nella richiesta di riscatto che è stata recapitata a una società lo scorso dicembre. La logica, in pratica, è: “se non pagate noi, dovrete pagare 10 volte tanto al vostro governo”. Insomma: i pirati suggeriscono alle loro vittime che, cedendo all’estorsione, le vittime potranno tenere segreto il fatto di aver subito l’attacco ed evitare così le multe.

Inutile dire che assecondare una simile richiesta, oltre che illegale, è anche rischiosissimo. Nulla impedirebbe infatti ai cyber-criminali di avanzare ulteriori richieste o procedere comunque alla pubblicazione dei dati anche una volta ricevuto il riscatto. La soluzione migliore, in definitiva, è quella di predisporre tutte le difese necessarie per garantire l’adeguatezza dei sistemi a quanto previsto dal regolamento europeo. Con la coscienza a posto si corrono meno rischi e si dormono sonni (molto) più tranquilli.