Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) i Biuro Komisarza ds. Informacji (ICO) w Wielkiej Brytanii zostały poinformowane, że niektóre firmy płacą okup, oczekując, że jest to słuszne i nie muszą angażować się w korespondencję z ICO jako regulatorem, lub licząc że odniosą z niego korzyść w postaci ograniczonej egzekucji. Brytyjskie organy uważają taką praktykę za niepoprawną.

Ransomware polega na szyfrowaniu plików organizacji przez cyberprzestępców, którzy żądają pieniędzy w zamian za ich przywrócenie. We wspólnym liście NCSC i ICO zwracają się do Law Societyaby, aby przypomnieć jego członkom, że nie powinni doradzać klientom zapłaty okupu za ransomware, jeśli padną ofiarą cyberataku.

Płacenie okupu w celu uwolnienia zablokowanych danych nie zmniejsza ryzyka dla osób fizycznych, nie jest obowiązkiem wynikającym z przepisów o ochronie danych i nie jest uważane za rozsądny krok w celu ochrony danych.

ICO wyjaśniło, że nie weźmie tego pod uwagę jako czynnika łagodzącego przy rozważaniu rodzaju lub skali działań egzekucyjnych. Przy ustalaniu swojej reakcji pozytywnie rozważy jednak wczesne zaangażowanie i współpracę z NCSC.

Dyrektor generalny NCSC, Lindy Cameron, powiedziała:

„Oprogramowanie ransomware pozostaje największym zagrożeniem internetowym dla Wielkiej Brytanii i jesteśmy pewni, że organizacje nie powinny płacić żądań okupu.

„Niestety ostatnio zaobserwowaliśmy wzrost płatności na rzecz przestępców ransomware, a sektor prawny ma do odegrania kluczową rolę w odwróceniu tej tendencji.

„Bezpieczeństwo cybernetyczne to wspólny wysiłek i wzywamy sektor prawny do pomocy w walce z oprogramowaniem ransomware i zapewnieniu bezpieczeństwa Wielkiej Brytanii w Internecie”.

John Edwards, brytyjski komisarz ds. informacji, dodał:

„Współpraca z cyberprzestępcami i płacenie okupu stanowi jedynie zachętę dla innych przestępców i nie gwarantuje, że zainfekowane pliki zostaną ujawnione. Z pewnością nie zmniejsza to skali ani rodzaju działań egzekucyjnych ze strony ICO ani ryzyka dla osób dotkniętych atakiem.

„W ciągu ostatnich pięciu lat widzieliśmy, jak cyberprzestępczość kosztowała brytyjskie firmy miliardy. Odpowiedzią na to musi być czujność, odpowiednia higiena cybernetyczna, w tym przechowywanie odpowiednich kopii zapasowych oraz odpowiednie przeszkolenie personelu w zakresie identyfikowania i powstrzymywania ataków. Organizacje uzyskają większy kredyt zaufania dzięki tym układom niż poprzez spłatę przestępców.

„Chcę współpracować z prawnikami i NCSC, aby upewnić się, że firmy rozumieją, w jaki sposób będziemy rozpatrywać sprawy i jak mogą podjąć praktyczne kroki w celu zabezpieczenia się w sposób, który weźmiemy pod uwagę przy naszej reakcji, jeśli wydarzy się najgorsze”.

Co powinny zrobić organizacje?

W przypadku ataku ransomware istnieje wymóg prawny zgłaszania do ICO jako organu regulacyjnego naruszenia danych, jeśli ludzie są narażeni na wysokie ryzyko. NCSC jest natomiast organem technicznym ds. bezpieczeństwa.

ICO ma rozpoznać, kiedy organizacje podjęły kroki, aby w pełni zrozumieć, co się stało i wyciągnąć z tego wnioski, oraz, w stosownych przypadkach, zgłosić incydent do NCSC i móc udowodnić, że skorzystały z porady lub mogą wykazać zgodność z odpowiednimi wytycznymi NCSC i wsparcie.

NCSC dysponuje szeroką gamą wskazówek dotyczących łagodzenia zagrożeń związanych z oprogramowaniem ransomware, na przykład doradza firmom, aby zachowywały kopie zapasowe offline. Wszystkie porady można znaleźć na portalu oprogramowania ransomware.

ICO niedawno zaktualizowało wytyczne dotyczące oprogramowania ransomware, które można znaleźć na stronie internetowej: https://www.ncsc.gov.uk/ransomware/home

Więcej: https://ec.europa.eu/commission/presscorner/detail/EN/IP_23_703

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl