(بقلم Francesco Pagano ، مدير Aidr ورئيس خدمات تكنولوجيا المعلومات في Ales spa و Scuderie del Quirinale) قانون أساسي أخيرًا لتنظيم معالجة البيانات الشخصية. اللائحة العامة لحماية البيانات ، التي دخلت حيز التنفيذ في مايو 2018 ، أدت بلا شك إلى تحسن في المشهد العام للأمن السيبراني. من خلال توفير التزامات محددة ، وأخيراً وليس آخراً ، نظام عقوبات لأولئك الذين لا يكيّفون الإجراءات والسياسات مع الأحكام ، ألزمت اللائحة الأوروبية الجديدة بشأن حماية البيانات العديد من الموضوعات بالتكيف مع أفضل الممارسات التي تسمح بحماية السرية. البيانات وخصوصية المستخدم.

ولكن في الأشهر الأخيرة ، أثار خبراء الأمن ناقوس الخطر بشأن "الآثار الجانبية" لنظام العقوبات الذي تم إدخاله مع اللائحة العامة لحماية البيانات. لاستغلال التشريع لصالحهم ، يتخصص قراصنة الكمبيوتر في الهجمات على الشركات التي تستخدم عادةً ما يسمى ببرامج الفدية المشفرة في عملياتها. تم تصميم هذا النوع من البرامج الضارة ليكون بمثابة ابتزاز ضد الضحية ، من خلال تشفير جميع البيانات والمستندات الموجودة على أجهزة الكمبيوتر المصابة وتشفيرها.

أي شخص يتعرض لهجوم من هذا النوع يجد نفسه في موقف متناقض: كل البيانات موجودة على أنظمته ، لكن لا يمكنه الوصول إليها بدون مفتاح التشفير الموجود في حوزة القراصنة. الخطة ، التي يتبناها الآن العديد من مجرمي الإنترنت ، تنص على طلب "فدية" (أحيانًا مليونير) للحصول على مفتاح فك التشفير واستعادة البيانات التي تم أخذها "كرهائن". وغني عن البيان أن الآلية تخفي العديد من المزالق وأن السير في طريق دفع الفدية أمر محفوف بالمخاطر. في الواقع ، سجلت الأخبار العديد من الحالات التي لم يقدم فيها القراصنة الإلكترونيون مفتاح التشفير على الرغم من الدفع أو حتى تكرار الابتزاز. يتضمن الرد الصحيح على هجوم من هذا النوع ، كما أكدته قوات الشرطة وخبراء الأمن السيبراني ، الإبلاغ عن خرق البيانات واستعادة البيانات من خلال أدوات متخصصة أو ، في حالة عدم وجود بدائل ، نسخ احتياطية للنظام

لكن في الأشهر الأخيرة ، غير المتسللون طريقة عملهم ليكونوا قادرين على ممارسة المزيد من الضغط على ضحاياهم. بالإضافة إلى تشفير البيانات ، مما يجعلها غير متاحة للمالك الشرعي ، يقومون بسحب نسخة من جميع المستندات. في المستند الذي يطلب دفع الفدية ، في هذه المرحلة ، يتم أيضًا الإعلان عن التهديد بنشر جميع البيانات عبر الإنترنت ، مما يؤدي إلى إطلاق آلية يمكن بموجبها للضحية الشركة للهجوم أيضًا أن تتعرض للعقوبات (المرتفعة جدًا) المنصوص عليها في اللائحة العامة لحماية البيانات.

تم إطلاق هذه الإستراتيجية في ديسمبر 2019 من قبل مجموعة مثل سودينوكيبي ، تلتها عن كثب عصابات أخرى من مجرمي الإنترنت المتخصصين في هجمات برامج الفدية. واحد من هؤلاء ، يسمى Maze ، أنشأ موقعًا على Dark Web حيث يتم نشر البيانات المسروقة بشكل منهجي للضحايا الذين لا يستسلمون للابتزاز. وتتمثل الدعوة في الممارسة العملية في دفع الفدية من أجل إبقاء الواقعة صامتة وتجنب التحقيقات بشأن انتهاك الضامن للبيانات. وغني عن البيان أنه حتى في هذه الحالة ، فإن حقيقة أن مجرمي الإنترنت يحترمون الاتفاقات ليست مضمونة. هناك العديد من الحالات التي تم فيها الكشف عن المعلومات المسروقة ، على الرغم من الدفع ، مما وضع الضحايا في وضع أكثر تعقيدًا أمام السلطات. تؤكد القضية برمتها الإبداع المذهل للقراصنة السيبرانيين ، وفي الوقت نفسه ، كيف يمكن أن يمر خط مواجهة نشاطهم فقط من تنفيذ صارم ودقيق للإجراءات. إن أي "طريق مختصر" في الواقع يخاطر بالتحول إلى كارثة حقيقية.

لهذا السبب تحول القانون العام لحماية البيانات (GDPR) إلى سلاح ذي حدين