หลังกฎ GDPR บังคับใช้เมื่อ 25 พฤษภาคมที่ผ่านมา เริ่มพบขบวนการโจมตีแบบใหม่เชิงแบล็กเมล์ โดยมีเจ้าของธุรกิจหลายเจ้ารายงานว่าโดนแรนซั่มแวร์ที่มุ่งล้วงข้อมูลส่วนตัวของผู้ใช้หรือลูกค้าตนเอง พร้อมเรียกค่าไถ่ด้วยการขู่ว่าจะเปิดเผยข้อมูลต่อสาธารณะแทน มากกว่าที่จะเข้ารหัสหรือลบข้อมูลทิ้งเหมือนเมื่อก่อน
ส่วนใหญ่ขู่ที่จะเปิดเผยฐานข้อมูลทั้งหมด โดยเฉพาะที่เก็บบันทึกข้อมูลส่วนบุคคลต่างๆ บนเซิร์ฟเวอร์สาธารณะ ซึ่งตามกฎหมาย GDPR ใหม่แล้ว ย่อมทำให้บริษัทเจ้าของข้อมูลถูกปรับหนักถึงขั้นแทบล้มละลายเลยทีเดียว
ผู้เชี่ยวชาญจาก TAD GROUP ของบัลการี่กล่าวว่า เหยื่อส่วนใหญ่เป็นบริษัทขนาดกลางถึงขนาดใหญ่ที่ถูกเรียกค่าไถ่เป็นเงินคริปโตที่มีมูลค่าตั้งแต่ 1,000 – 20,000 ดอลลาร์สหรัฐฯ ขณะที่ค่าปรับตามกฎหมายใหม่ของอียูนั้นคิดที่ 4%ของผลประกอบการในปีก่อนหน้า หรือสูงได้ถึง 20 ล้านยูโร โดยผู้เชี่ยวชาญเรียกการโจมตีลักษณะนี้ว่า “Ransomhack”
บริษัทที่โดนโจมตีเหล่านี้มักมีมาตรการป้องกันตามกฎหมาย GDPR รองรับไว้แล้ว ไม่ว่าจะเป็นการกำหนดนโยบายจัดการการเก็บข้อมูลส่วนบุคคล รวมไปถึงการรักษาความปลอดภัยในสำนักงาน แต่กลับไม่ได้ทำการทดสอบด้านความปลอดภัยว่าสามารถป้องกันการโจมตีทางไซเบอร์ หรือพูดง่ายๆ คือ บริษัทต่างพยายามโรยผักชีทำตามที่ GDPR บอกเพื่อไม่ให้โดนปรับ แต่กลับมองข้ามการรักษาความปลอดภัยโครงสร้างพื้นฐานหลักอย่างเพียงพอ
ที่มา : Hackread
