(autor Alidriku spaa ja Scuderie del Quirinale'i IT-teenuse juhataja Fridrezco Pagano) Lõpuks orgaaniline seadusandlus isikuandmete töötlemise reguleerimiseks. 2018. aasta mais jõustunud GDPR on kahtlemata viinud üldise küberturvalisuse maastiku paranemiseni. Spetsiifiliste kohustuste ja viimasena, kuid mitte vähem tähtsate sanktsioonide kehtestamise eest neile, kes ei kohanda menetlusi ja poliitikat sätetega, on uus Euroopa andmekaitse määrus kohustatud paljusid isikuid kohanema nende parimate tavadega, mis võimaldavad teil konfidentsiaalsust kaitsta. andmete ja kasutajate privaatsus.
Viimastel kuudel on turvaeksperdid aga äratanud GDPR-iga kehtestatud sanktsioonirežiimi "kõrvalmõju". Õigusaktide ärakasutamiseks on arvutipiraadid spetsialiseerunud rünnakutele ettevõtetele, kes tavaliselt kasutasid oma tegevuseks nn krüptoransomware. Seda tüüpi pahavara on mõeldud ohvri vastu väljapressimiseks, krüpteerides ja krüptides nakatunud arvutites kõik andmed ja dokumendid.
Igaüks, kes kannatab seda tüüpi rünnaku all, satub paradoksaalsesse olukorda: kõik andmed on tema süsteemides olemas, kuid ei pääse neile juurde ilma krüptograafilise võtmeta, mis on piraatide käes. Seejärel arvukate küberkurjategijate poolt vastu võetud skeem näeb ette "lunaraha" (mõnikord ka miljonäri) taotlust dekrüpteerimisvõtme saamiseks ja "pantvangi" võetud andmete taastamiseks. On ütlematagi selge, et see mehhanism varjab arvukalt lõkse ja et lunaraha maksmise teele asumine on äärmiselt riskantne. Uudistes on tegelikult registreeritud arvukalt juhtumeid, kus küberkurjategijad pole maksest hoolimata krüptovõtit esitanud või isegi on väljapressimist kordanud. Politsei ja küberjulgeoleku ekspertide kinnitatud õige reaktsioon sellisele rünnakule hõlmab andmete rikkumisest teatamist ja andmete taastamist spetsiaalsete tööriistade või alternatiivide puudumisel süsteemi varundamise kaudu.
Viimastel kuudel on häkkerid aga oma režiimi muutnud, et oma ohvritele rohkem survet avaldada. Lisaks andmete krüptimisele, muutes need seaduslikule omanikule kättesaamatuks, filtreerivad nad kõigi dokumentide koopiad. Lunaraha maksmist taotlevas dokumendis tuuakse siinkohal välja ka kõigi andmete veebis avaldamise oht, mis käivitab mehhanismi, mille abil riskiks rünnaku ohvriks langenud ettevõte kannatada ka GDPR-i poolt ette nähtud (väga kõrge) karistuse all.
Rühm nagu Sodinokibi käivitas selle strateegia 2019. aasta detsembris, millele järgnesid tihedalt teised lunavara rünnakutele spetsialiseerunud küberkurjategijate jõugud. Üks neist, nimega Maze, on isegi pimedas veebis loonud saidi, kus varastatud andmed avaldatakse süstemaatiliselt ohvritele, kes ei anna väljapressimisele järele. Praktikas on kutse maksta lunaraha, et vahejuhtum oleks vaikne ja vältida garantiiga seotud andmete rikkumise uurimist. On ütlematagi selge, et isegi sel juhul pole kaugeltki tagatud asjaolu, et küberkurjategijad kokkuleppeid austavad. On palju juhtumeid, kus vaatamata maksele varastatud teave siiski avalikustati, pannes ohvrid võimude silme all veelgi keerulisemasse olukorda. Kogu afäär kinnitab küberpiraatide üllatavat loovust ja samal ajal seda, kuidas nende tegevuse vastu võitlemise piir saab üle minna ainult protseduuride rangest ja täpsest teostamisest. Igasugune otsetee võib tegelikult muutuda tõeliseks katastroofiks.