Immusec
PL | EN
Aktualności

GDPR Hype – właściciele firm na celowniku cyberprzestępców

29.11.2018
|
IMMUSEC
Udostępnij:

 

Ze względu na falę oszustw, która w ostatnim czasie przybrała na sile, Urząd Ochrony Danych Osobowych ostrzega przedsiębiorców przed fałszywymi wezwaniami do zapłaty za rzekome nieprawidłowości w stosowaniu przepisów RODO. Wyłudzacze korzystają z braku świadomości właścicieli firm, zagubionych w gąszczu procedur. Receptą na poczucie bezpieczeństwa oraz znajomość stanu faktycznego wdrożenia RODO we własnym przedsiębiorstwie jest przeprowadzenie audytu, który pozwoli na ocenę rzeczywistego poziomu ochrony informacji w firmie.

Szum wokół wprowadzenia RODO (ang. General Data Protection Regulation), czyli tak zwany w Europie GDPR Hype, spowodował, że cyberprzestępcy znaleźli pole do nielegalnych działań. W Polsce coraz więcej firm otrzymuje wezwania do zapłaty za niestosowanie się do RODO – niestety wielu przedsiębiorców płaci wskazaną we wniosku kwotę. W związku z tym Urząd Ochrony Danych Osobowych oraz Ministerstwo Cyfryzacji zwracają uwagę na konieczność zachowania najwyższej ostrożności wobec wszelkiego rodzaju korespondencji związanej z wdrożeniem przepisów RODO w przedsiębiorstwie. Prezes UODO Edyta Bielak-Jomaa ostrzega, że działania oszustów ujawnione w ostatnim czasie mogą być prowadzone na masową skalę. Pracownicy UODO alarmują, aby w żadnym wypadku nie dokonywać wpłat, lecz natychmiast zawiadamiać organy ścigania. Przypominają także, że w Polsce jedyną instytucją uprawnioną do nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych oraz do nakładania administracyjnych kar finansowych jest UODO.

W ostrzeżeniu dla przedsiębiorców, zamieszczonym na stronie internetowej, UODO podaje, że scenariusz działania oszustów jest bardzo prosty. Zawiadamiają oni przedsiębiorcę o tym, że w wyniku przeprowadzonych „czynności sprawdzających” wykryto u niego nieprawidłowości związane z wymienionymi w wezwaniu przepisami ogólnego rozporządzenia o ochronie danych (RODO). W związku z tym wzywają do zapłaty na podane konto w terminie 7 dni „opłaty fakultatywnej”. Straszą, że jej nieuiszczenie „grozi nałożeniem dodatkowej kary w wysokości do 20 mln euro lub do 4 procent wartości wolumenu światowego obrotu przedsiębiorstwa”. Na przesyłanym dokumencie widnieje wizerunek orła, pieczątka z imieniem i nazwiskiem oraz podpisem osoby, a nazwy instytucji podawane w nagłówku i na pieczątce mogą kojarzyć się między innymi z Urzędem Ochrony Danych Osobowych, co w zamyśle oszustów, ma ich uwiarygodnić. Takie zabiegi mają na celu zastraszenie przedsiębiorców, którzy pod wpływem impulsu przeleją pieniądze na konto wskazane w fałszywym dokumencie. Jest to tym bardziej prawdopodobne, że żądana suma nie jest wygórowana, a zapowiadana „dodatkowa kara” za jej nieuiszczenie – zdecydowanie wyższa.

UODO podkreśla, że przedsiębiorcy, którzy poinformowali urząd o tej praktyce, wykazali się dużą rozwagą i ostrożnością. Ich podejrzenie wzbudziło m.in. powołanie się na „czynności sprawdzające”, podczas gdy nie byli oni przez UODO ani kontrolowani, ani też nie byli stroną prowadzonego przez urząd postępowania administracyjnego. Tym samym nie było możliwości, by UODO wykrył w ich działalności nieprawidłowości związane z naruszeniem przepisów o ochronie danych osobowych. Co ważne, fałszywe wezwanie ma liczne błędy, także merytoryczne. Dodatkowo podane w piśmie dane identyfikacyjne nadawcy, takie jak NIP czy adres, pochodzą od zupełnie różnych i przypadkowych podmiotów.

– To już kolejna próba oszustwa z powołaniem się na RODO – wskazuje dr Edyta Bielak-Jomaa, Prezes UODO. – Na przełomie lipca i sierpnia 2018 r. niektórzy przedsiębiorcy mieli do czynienia z fałszywymi kontrolerami UODO. Teraz oszuści próbują wyłudzić pieniądze, wysyłając fałszywe wezwania do zapłaty. Ponieważ takie działanie może być prowadzone na masową skalę, zalecam szczególną ostrożność, dokładne czytanie korespondencji i weryfikowanie podmiotów, które domagają się od nas jakiejkolwiek zapłaty – radzi dr Edyta Bielak-Jomaa.

Na co jeszcze należy uważać?

Od 25 maja tego roku, czyli od momentu, kiedy unijne rozporządzenie o ochronie danych osobowych (RODO) zaczęło obowiązywać, przedsiębiorcy są narażeni na wyłudzenia finansowe i ataki hackerskie. Oprócz wezwań do zapłaty, fałszywe wiadomości mogą przybierać formy:

phishingu, czyli e-maili zawierających linki bądź załączniki z fałszywymi dokumentami od znanej instytucji, z których skorzystanie ma zapewnić pozornie pełną zgodność z RODO, a faktycznie może skutkować zainstalowaniem złośliwego oprogramowania. Co robić? Nie należy otwierać takich wiadomości, lecz jak najszybciej zgłosić je do właściwych organów.

nieprawdziwych informacji o prawnej konieczności nabycia szaf zapewniających zgodność z RODO, krat w oknach, szczególnych kategorii niszczarek, nakładek na ekrany monitorów, kłódek oraz innych dedykowanych RODO rozwiązań. Należy pamiętać, że RODO nie stawia takich wymogów.

upomnień o obowiązkowych egzaminach na Inspektorów Ochrony Danych, certyfikatach oraz szkoleniach. RODO nigdzie nie mówi o takich obowiązkach.

wyłudzenia informacji, np. w postaci fałszywego wniosku o udostępnienie informacji publicznej rzekomej instytucji. Należy pamiętać, że zgodnie z prawem obowiązane do udostępniania informacji publicznej są władze publiczne oraz inne podmioty wykonujące zadania publiczne. A zatem dotyczy to niewielkiej liczby firm.

oferty zawierającej groźbę, w postaci propozycji usług doradczych w obszarze ochrony danych osobowych z informacją, że odmowa skorzystania z usług może skutkować złożeniem skargi do Prezesa UODO.

jawnej groźby, dotyczącej poinformowania odpowiednich organów, np. GIODO, sądu czy prokuratury, o braku wdrożenia unijnych przepisów, chyba że przedsiębiorca zapłaci duże pieniądze.

Nowela RODO w 2019 roku

W ostatnim czasie Rada Ministrów przyjęła projekt ustawy zmieniający 168 innych ustaw, dostosowując je tym samym do zapisów RODO. Projekt ma trzy główne zadania: uszczegółowienie przepisów, likwidację luk prawnych lub kolizji norm prawnych oraz uregulowanie zagadnień, które RODO wprost przekazało do uregulowania w prawie krajowym, lub w których RODO pozostawiło pewną swobodę. Zmiany dotkną w dużej mierze takich sektorów jak: finanse, zdrowie, praca, infrastruktura i budownictwo.

W związku z powtarzającymi się próbami wyłudzeń w ostatniej wersji projektu przedmiotowej ustawy (datowanej na dzień 22.10.2018 r.) wprowadzono propozycję zmiany treści art. 115 § 12 Kodeksu karnego, zmieniając – w tzw. słowniczku – definicję groźby bezprawnej. Dzięki temu wiele czynów przestępców wypełni przesłanki czynu zabronionego, m.in. art. 191 kk (przestępstwo zmuszenia). Ustawa wejdzie w życie prawdopodobnie w pierwszym półroczu 2019 roku.

Sprawdź, czy Twoja firma jest RODOodporna i nie daj się oszukać

Znajomość agresywnych technik perswazji wykorzystywanych przez cyberprzestępców nie zawsze wystarczy. Niestety powyższe praktyki stosowane przez oszustów bazują na słabej znajomości RODO wśród przedsiębiorców oraz na braku świadomości stanu wdrożenia przepisów we własnej firmie.

Z pomocą przyszli eksperci IMMUSEC, opracowując eAudytelektroniczne narzędzie, które w ciągu kilkudziesięciu minut diagnozuje zgodność firmy z RODO w oparciu o wiedzę i najlepsze doświadczenie specjalistów IMMUSEC. Po wypełnieniu interaktywnego kwestionariusza zostaje wygenerowany raport, który dokładnie wskazuje, na co firma powinna zwrócić szczególną uwagę, aby spełniać wymogi nowej regulacji. Wnikliwe rozeznanie koniecznych działań, które należy podjąć w celu uzyskania i utrzymania zgodności z RODO, sprawi nie tylko, że firma będzie działała zgodnie z prawem, lecz także zyska poczucie bezpieczeństwa w sytuacji prób oszustwa czy wyłudzenia.

RODOodporność to także CYBERodporność

Zyskując zgodność z przepisami RODO, przedsiębiorca zyskuje także pewność, że doskonale zna sytuację własnej firmy, stan jej bezpieczeństwa oraz poziom realizacji wymagań prawnych. Tym samym fałszywe wezwania do zapłaty, kradzież danych i inne przebiegłe metody, którymi obecnie posługują się cyberprzestępcy, nie będą w tym przypadku skuteczne.

Ponad 90% ataków hakerskich to dziś złośliwe oprogramowanie typu ransomware, które może sparaliżować firmę na wiele dni. Zlecenie takiego ataku na czarnym rynku kosztuje zaledwie $400 USD, co oznacza, że znajduje się w zasięgu większości konkurentów, nawet w sektorze MŚP. Warto przy tym zauważyć, że średni czas wykrycia incydentu bezpieczeństwa w Polsce wciąż przekracza 280 dni.

Audyt autorstwa Ekspertów IMMUSEC został zaprojektowany przede wszystkim z myślą o mikro i małych przedsiębiorstwach, które gromadzą i przetwarzają liczne dane osobowe, m.in. biura rachunkowe, gabinety lekarskie czy fizjoterapeutyczne, studia fitness, firmy szkoleniowe, agencje HR czy firmy marketingowe. Dla tych firm z sektora MŚP tradycyjne usługi audytorskie bywają zwykle zbyt kosztowne albo po prostu ryzykowne, z uwagi na nadużycia i próby wyłudzeń danych. W związku z tym specjaliści IMMUSEC, gromadzący wiedzę i doświadczenie podczas licznych audytów i wdrażania zgodności z RODO w największych organizacjach w Polsce i Europie, wyszli naprzeciw tej potrzebie.

Usługa eAudytu umożliwia małym firmom ocenę zgodności z RODO we wszystkich obszarach działania przedsiębiorstwa: organizacyjnym, prawnym i bezpieczeństwa (w tym bezpieczeństwa IT). Audyt ma formę ankiety dostępnej online. Kwestionariusz kompleksowo obejmuje obszary związane z ochroną danych w kontekście RODO, takie jak organizacja i zarządzanie ochroną danych osobowych, relacje z klientami i pracownikami, cel, podstawa i czynności przetwarzania danych, prawa podmiotów danych, strony internetowe i portale społecznościowe, czy bezpieczeństwo systemów IT. Pytania zawierają czytelne wskazówki, uwzględniające specyfikę różnych branż i ułatwiające udzielenie odpowiedzi oraz interpretację przepisów RODO.

Po wypełnieniu interaktywnego kwestionariusza firma otrzymuje:

Dowiedz się więcej o usłudze eAudyt RODO i zapewnij bezpieczeństwo swojej firmie.

Źródło: https://uodo.gov.pl/pl/138/565

Udostępnij:

Twitter @IMMUSEC

Nasze biura

offices

Kontakt:

ul. Chłodna 52
00-872 Warszawa, Polska
Tel. +48 22 205 4800
Email: biuro@immusec.com