Hackere kan bruge ny EU-lov til afpresning

Ekspert frygter, at cyberkriminelle vil udnytte EU's nye datalov til at afpresse virksomheder - med dine data som gidsel.

Nogle analytikere frygter, at de store bøder kan afskrække virksomheder fra at indberette hacker-angreb, hvis personlige data bliver stjålet. (Foto: © Bill Hinton)

Hvis en hacker stjæler dine private data fra en virksomhed, har virksomheden 72 timer til at indberette det. Ellers risikerer den at få store bøder.

Sådan er det fra i dag, hvor en ny og omfattende EU-datalov træder i kraft. Den giver alle europæere en hidtil uset beskyttelse af de enorme mængder private data, som virksomheder, organisationer og myndigheder har indsamlet om os.

Det kan være dyrt at overtræde de nye regler. Bøderne kan være på helt op til 150 millioner kroner eller fire procent af en virksomheds årlige, globale omsætning.

Derfor frygter nogle analytikere, at de hårde straffe kan afskrække virksomheder fra at indberette hacker-angreb. Og at hackerne fremover vil gå målrettet efter at stjæle personlige data, som de vil kidnappe for at afpresse virksomhederne.

Beskeden fra hackerne vil være: Hvis i ikke betaler tipper vi myndighederne.

- Jeg er sikker på, at cyberkriminelle vil bruge det her og true virksomheder til at betale for at få deres data tilbage, siger Christian Dinesen, der er analytiker ved Cyber Defense Center hos it-konsulentvirksomheden NNIT.

- Virksomheder har nu truslen om en meget stor økonomisk bøde hængende over deres hoveder, og det vil hackere benytte sig af, siger Christian Dinesen.

Hackere bruger spredehagl

En rapport, der er lavet af amerikanske Verizon og udgivet i april, viser, at brugen af såkaldt ransomware er steget markant i de seneste år.

Ransomware er ondsindet software, som fastfryser computere og krypterer indholdet. Computeren kan kun blive låst op af en særlig digital nøgle, som hackerne først giver dig, når du har betalt en løsesum.

Men ransomware er normalt ikke rettet mod en enkelt virksomhed. De cyberkriminelle sender det ud som spredehagl.

- De vil gerne ramme så mange som muligt og håber på, at der sidder nogen derude og klikker på mistænkelige links og ikke har lyttet til sikkerhedsafdelingens og myndighedernes gode råd, siger Christian Dinesen.

Cyberkriminelle får ny taktik

- Den nye frygt går så på, at cyberkriminelle nu vil gå efter specifikke virksomheder og specifikke data, siger Christian Dinesen.

Hos politiet frygter man ikke, at den nye lovgivning vil få virksomheder til at undlade at fortælle myndighederne om digitale indbrud.

- Alting, som man kan få en bøde for, er jo selvfølgelig retningssættende og adfærdsregulerende adfærd. Men jeg tvivler på, at virksomhederne vil skjule det. De fleste vil vel forsøge at leve op til de regelsæt, der kommer, siger Niels Denny Sørensen, der er vicepolitiinspektør og operativ chef hos Rigspolitiets center for cyberkriminalitet, NC3.

Der har været meget debat om, hvor besværligt det har været at indføre de nye regler for virksomhederne. Og at det har været dyrt at gøre sig klar til i dag, hvor de træder i kraft.

Men det er en god ting, mener Christian Dinesen.

Tænk som i gamle dage

- Hele GDPR har skabt opmærksomhed om it-sikkerhed som aldrig før. Der har været meget debat om, hvor dyrt det har været for virksomhederne, men det er på tide, at it-sikkerhed kommer på agendaen. Så på den ene side har det kostet noget for virksomhederne, men det er også en investering i sikkerhed, som de med fordel kunne have have kigget på for lang tid siden, siger Christian Dinesen.

Hos politiet kan man se, at meget af den gammeldags kriminalitet rykker over på internettet. Så egentlig skal man tænke på sikkerheden, som man gjorde i gamle dage, siger Niels Denny Sørensen.

- Hvis man har en forretning som for eksempel en isenkræmmer, så sætter man også alarmer, lys og kameraer op. Så det er den samme sikkerhed, som man bør sætte op omkring databasen med kunder, siger Niels Denny Sørensen.