SECURITY REPORT T.118

68 | SECURITY REPORT Σεπτέμβριος 2021 Data Protection IT SECURITY δώσει στα άτομα τον έλεγχο των προσωπικών τους δεδομένων και να απλοποιήσει το ρυθμιστικό περιβάλλον για τις διεθνείς επιχειρήσεις ενοποιώντας τον κανονισμό εντός της Ευρωπαϊκής Ένωσης. Συμπληρώνοντας την Οδηγία Προστασίας Δεδομένων 95/46/ΕΚ, ο εν λόγω κανονισμός περιέχει διατάξεις και απαιτήσεις που σχετίζονται με την επεξεργασία προσωπικών δεδομένων ατόμων που βρίσκονται στον Ευρωπαϊκό Οικονομικό Χώρο και ισχύει για οποιαδήποτε επιχείρηση - ανεξάρτητα από την τοποθεσία, την υπηκοότητα ή την κατοικία των υποκειμένων των δεδομένων - που επεξεργάζεται τις προσωπικές πληροφορίες των ατόμων εντός του ευρωπαϊκού χώρου. Ο νόμος περί φορητότητας και λογοδοσίας της ασφάλισης υγείας του 1996 είναι ένας ομοσπονδιακός νόμος των Ηνωμένων Πολιτειών που θεσπίστηκε από το 104ο Συνέδριο των Ηνωμένων Πολιτειών και υπέγραψε νόμο από τον Πρόεδρο Μπιλ Κλίντον στις 21 Αυ- γούστου 1996. Το HIPAA απαιτεί συγκεκριμένες τεχνολογικές, φυσικές και διοικητικές εγγυήσεις για κάθε εταιρεία που επεξερ- γάζεται το δεδομένα, με τις παραβιάσεις να κυμαίνονται από $ 100 έως $ 250K και έως 10 χρόνια φυλάκιση. Οι κορυφαίες απειλές για την ασφάλεια δεδομένων Το πρώτο πράγμα που μας έρχεται στο μυαλό όταν σκεφτόμαστε αυτού του τύπου τις απειλές, είναι ένας χάκερ ο οποίος έχει εισβάλει σε έναν server. Αλλά η πραγματικότητα είναι διαφορετική, καθώς οι κορυφαίες απειλές για την ασφάλεια των δεδομένων προέρχονται από το εσωτερικό μίας εταιρίας και τους ίδιους τους υπαλλήλους. Ειδικοί, μελέτησαν τις βασικές αιτίες παραβίασης δεδομένων το 2020 και διαπίστωσαν ότι οι δύο κύριες αιτίες ήταν συχνά λόγω αδύναμων κωδικών πρόσβασης και λανθασμένων διαμορφώσεων στο cloud, αφήνοντας ευαίσθητα δεδομένα προ- σβάσιμα στο ευρύ κοινό. Μία από τις άλλες κορυφαίες αιτίες παραβίασης δεδομένων είναι το ηλεκτρονικό ψάρεμα, γνωστό σε όλους ως phishing. Το Phishing είναι ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο θύτης υποδύεται μία αξιόπιστη οντότητα, καταχρώμενος την ελλιπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρήστη-θύματος, με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί. Έρευνα της IBM, δείχνει ότι εάν οι εταιρίες προειδοποιήσουν και ενημερώσουν κατάλληλα τους υπαλλήλους τους σχετικά με το πώς να χειρίζονται ή να εντοπίζουν ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος και άλλες παρόμοιες επιθέσεις, τότε οι παραβιάσεις θα μειωθούν έως και 17%. Κοινωνική μηχανική (Social engineering) είναι η πράξη της προ- φορικής χειραγώγησης ατόμων με σκοπό την απόσπαση πληρο- φοριών και θεωρείται και αυτή μία από τις πιο κοινές μεθόδους απόσπασης πληροφοριών. Αν και είναι παρόμοια με το τέχνασμα ή την απλή απάτη, ο όρος είναι κυρίως συνδεδεμένος με την εξα- πάτηση ατόμων με σκοπό την απόσπαση εμπιστευτικών πληρο- φοριών που είναι απαραίτητες για την πρόσβαση σε κάποιο υπο- λογιστικό σύστημα. Συνήθως αυτός που την εφαρμόζει δεν έρχεται ποτέ πρόσωπο με πρόσωπο με το άτομο που εξαπατά ή παραπλανά. Παρόλο που ο όρος ίσως να μην είναι ακριβής ή επιτυχημένος έχει πλέον καθιερωθεί. Το ransomware από την άλλη, είναι ένα είδος κακόβουλου λογισμικού που απειλεί να δημοσιοποιήσει τα προσωπικά δεδομένα του θύματος ή να διακόψει την πρόσβασή του θύματος σε αυτά, μέχρι να δοθούν λύτρα από το θύμα. Αν και τα απλά ransomware προγράμματα μπορεί να κλειδώσουν ένα σύστημα με τέτοιον τρόπο που δεν είναι δύσκολο να ξεκλειδωθεί από ένα άτομο έμπειρο στον τομέα, τα πιο εξελιγμένα προγράμματα του είδους χρησιμοποιούν τεχνικές που συνδυάζουν την κρυπτογραφία με την κακόβουλη σχεδίαση λογισμικού (cryptoviral extortion), ώστε να πετύχουν την κρυπτογράφηση των αρχείων του θύματος, κα- θιστώντας τα μη προσβάσιμα και ζητώντας λύτρα για την απο- κρυπτογράφησή τους. Σε μια κατάλληλα υλοποιημένη επίθεση αυτού του είδους, η ανάκτηση των αρχείων χωρίς το κλειδί απο- κρυπτογράφησης αποτελεί ένα ιδιαίτερα δυσεπίλυτο πρόβλημα και καθίσταται εξαιρετικά δύσκολος ο εντοπισμός των ψηφιακών νομισμάτων που χρησιμοποιήθηκαν ως λύτρα για τη συναλλαγή, όπως κρυπτονομίσματα, και για τον λόγο αυτό υπάρχει μεγάλη δυσκολία στον εντοπισμό και τη σύλληψη των δραστών. Οι επιθέσεις ransomware υλοποιούνται συνήθως με την χρήση ενός ιού Trojan, ο οποίος φαίνεται σαν ένα καλόβουλο αρχείο επι- συναπτόμενο συνήθως σε κάποιο μήνυμα ηλεκτρονικού ταχυ- δρομείου και ο χρήστης παραπλανάται και το κατεβάζει ή το τρέχει στον υπολογιστή του. Ωστόσο, υπάρχουν και περιπτώσεις ιών, όπως το «WannaCry worm», οι οποίοι μεταβιβάζονται από υπολογιστή σε υπολογιστή χωρίς κάποια ενέργεια του χρήστη. Τον Μάιο του 2017 η ransomware επίθεση WannaCry διαδόθηκε μέσω διαδικτύου, εκμεταλλευόμενο το όνομα EternalBlue, το οποίο είχε διαρρεύσει από την Εθνική Υπηρεσία Ασφαλείας των Social engineering είναι η πράξη της προφορικής χειραγώγησης ατόμων με σκοπό την απόσπαση πληροφοριών και θεωρείται και αυτή μία από τις πιο κοινές μεθόδους απόσπασης πληροφοριών. 3 Η ransomware επίθεση WannaCry μόλυνε πάνω από 230.000 υπολογιστές σε πάνω από 150 χώρες. 4