GDPR鼓励英国IT董事支付网络赎金
研究揭示了一项研究,近于普遍愿意为黑客支付赎罪机关的赎金费,以避免报告数据泄露并冒出罚款。
英国的其他30%的IT领导人表示,如果在欧盟一般数据保护条例(GDPR)下违约的可能罚款低于可能的罚款,则认为他们会“可能”认为犯罪分子赎金,而只有五分之一(18%) )受访者根据该研究委托由安全公司Sophos委托给予攻击者。
对于违反GDPR的特定文章或发现违反组织义务的违规行为,数据保护当局可以施加高达1000万欧元,或年度全球营业额的2%,以较高的罚款。但如果发现违约侵犯了任何史式的隐私权,则一个组织可以面临高达2000万欧元或年度全球营业额的罚款,以较高者为准。
在2018年5月25日之前生效之前,首席研究官员的Mikko Hypponen atf-secure,预测数据漏洞的罚款可以有效地推动网络犯罪分子的赎金需求更高,因为公司更有可能支付低于的赎金避免承认数据违约和风险声誉损害的潜在罚款。
Sophos的研究表明,小企业最不可能考虑支付赎金软件需求,英国公司的54%的IT董事,少于250名员工,裁定攻击者,而仅有500-750名员工的董事的11%说他们会选择这种方法。
该研究基于市场研究FirmSapio研究的900多次访谈,还表明,英国IT董事的董事在其他西欧国家的同行中均明显更有可能支付。
在研究的五个欧洲国家的中,爱尔兰IT董事最不可能支付。只有19%的人表示,他们会“绝对”愿意支付赎金而不是更大的罚款。
法国,比利时和荷兰的IT董事也不太可能支付赎金,只有33%的法国受访者,比利时24%,荷兰38%称他们“绝对”愿意支付。
英国驻Sophos董事总经理Adam Bradley表示,它是“关于”,了解这么多英国IT领导者误解了甚至次要数据违规的威胁和后果。
“支付赎金的公司可能会重新获得他们的数据,但如果他们这样做是为了避免惩罚,它远非保证和虚假的经济性,”他说。“如果他们没有及时向当局提出罚款,他们仍然需要向当局报告违约。”
布拉德利表示令人惊讶的是,大公司似乎是最有可能支付赎金的人。“对于信任黑客的任何规模的公司来说,这是一个错误的,或者预计他们将简单地交回数据,”他说。
“我们的建议是不支付赎金,迅速地告诉当局,并确保你采取措施尽量减少堕落受害者的机会。”
根据Bradley的说法,网络攻击者倾向于依靠网络钓鱼电子邮件,未被划分的软件和远程访问门户来获取访问权限。“因此,组织应确保其系统和人们能够发现攻击的迹象,”他说。
“修补早期和修补程序通常,并使用适当的密码和多因素身份验证保护远程访问点。”
该研究还透露,虽然英国IT董事更有可能支付网络赎金,但它们也是对这些人民符合GDPR的人最有信心。大约46%的英国IT董事表示,他们相信他们的组织完全符合GDPR规则,而荷兰44%,法国37%,位于爱尔兰共和国35%,比利时30%。
但是,只有13%的英国IT董事表示,在违约事件中,他们有权证明合规性,而在荷兰27%,法国24%,比利时20%。