iTalk:歐盟私隱新規恐變勒索「幫兇」

被喻為史上最嚴厲的歐盟私隱新法案《通用資料保護規則》(GDPR),落實了個多月,已經有企業被投訴,亦有企業借機宣傳。實行GDPR對艾雲最大得益,是網上服務傳來用戶條款更新電郵,提醒那些年登記過的帳戶,有些甚至早已忘記。但對黑客而言,這新法例又是另一謀財機會,企業要多加提防。

保加利亞的網絡安全公司TAD GROUP的報告揭示,黑客興起新型攻擊「Ransomhack」,從企業網絡的漏洞偷走用戶數據,威脅索取掩口費,否則把資料公開。這手法跟勒索軟件相似,只是黑客找到缺口之後,不將企業數據加密,變成威脅公開數據。

手法並不新穎,過去發生過不少類似知名事件,偷食社交網Ashley Madison在一五年七月被黑客偷走用戶數據庫,「替天行道」威脅要關閉網站,否則把數據公諸於世。結果用戶數據曝光,登記電郵發現不少CEO、政府官員的蹤影。

黑客看準罰則開價

同一勒索方式再度活躍,就是因為GDPR。這法例稱得上史上最嚴,因罰則很重。在GDPR之下,若有歐盟公民的個人資料遭外洩,企業便要面臨巨額罰款,全球年營業額4%或2,000萬歐元,較高者為準。連不在歐洲經營的企業,只要有歐盟公民的客戶資料被盜,也要遭罰款,無疑對企業是沉重負擔。

黑客看準這罰則開價,只要掩口費少過罰款,相信企業都會就範。他們專門選中大型企業入侵,取其業務規模有一定贖款的保證。

企業即使付了掩口費私了亦不一定息事寧人,根據GDPR規定,一旦發生資料失竊事件,必須72小時內主動向有關部門通報。個別國家更會視乎違規嚴重程度,作出一定懲罰。

在GDPR實施前夕,法國管理顧問公司Capgemini調查發現,僅15%企業做好準備,即大部分都未有預備。估計經過個多月,情況或有改善,否則就是Ransomhack的目標。

艾雲

在財經界打滾多年後,毅然投身資訊科技行業,成為i世代,絕非為趕潮流,而是深信資訊科技對經濟帶來革命性改變,對行業動態、新產品及技術趨勢特別感興趣。

作者:艾雲