跳过到主要内容
法律透镜

如果我成为数据泄露的受害者,我该怎么办?

Stefan-Lucian Deleanu

如果我成为数据泄露的受害者,我该怎么办?
照片由 马库斯·斯皮斯克 / Unsplash

如果您遭受了数据泄露、勒索软件攻击或类似事件,您可能会面临失去数据的困境,同时还有恶意行为者威胁您,如果不支付一定金额,他们将公开这些数据,以及客户可能会对您表示愤怒。

在这篇文章中,我打算从管理者或公司管理员的角度解释如何在宏观层面上处理这种情况。

💡
许多方法从功利主义的角度出发,而非道德角度,因此我建议您在阅读文章时考虑这一点。

为什么会发生数据泄露?

越来越多的活动现在在线进行。科技对我们非常有用,已成为我们个人和职业生活中不可或缺的一部分,既有好处也有坏处。

广泛采用技术的一个负面影响是,入侵不再仅限于物理层面(有人打破商店的窗户,进入并盗窃),而是扩展到数字领域。

与在物理环境中“盗窃”的小偷不同——可以通过监控摄像头看到他们的外貌和体型,并且通常可以被追踪和识别——黑客则更难以识别,且管理成本更高。

在今天,进行网络犯罪变得容易。从出于嫉妒而简单地访问伴侣的密码手机,到进行高危犯罪行为,如发起网络攻击,现在你在互联网上拥有了伤害他人和企业所需的一切。

大多数被黑客利用的漏洞是由安全领域的研究人员发布的,他们识别出理论问题并将其公开。恶意行为者会关注这些善意的报告,识别在更新版本中已解决的问题,并利用新版本的采用空白,利用公开漏洞来访问受害者的计算机。

一些漏洞还包括0day漏洞,即由更有能力的恶意行为者获得,这些行为者通常在攻击受害者时采取更先进的方法。然而,这些行为者数量不多,通常目标是比街角商店和年营业额低于500,000 RON的公司更大的目标。

我如何确保自己不是数据泄露的受害者?

简而言之,您需要在这方面分配资源。资金和/或时间——一名员工或您自己负责技术方面,确保拥有必要的软件等。

在预算内,你可以削减成本。 微软的杀毒软件本身就很好 如果你始终保持计算机更新到最新版本,并且不厌烦Windows的更新,那就没问题。因此,使用破解软件是不明智的,因为你失去了更新的可能性,面临巨大的风险。而且网上有很多便宜的激活密钥可以购买。

Rate de compromitere a antivirusilor, testati pe 423 de cazuri de test, cu ratele fals pozitivelor, blocajelor, compromiterilor vizibile in grafic. Cel mai bun antivirus este BitDefender, cu solutii native precum Microsoft Defender fiind totusi rezonabil de bune.
Microsoft Defender的承诺率相对较低最便宜的是Bitdefender,这是一款源自罗马尼亚的杀毒软件。
🐛
如果你想走在前沿,请支付我们本地开发者Bitdefender的费用,他们目前市场上有最好的解决方案,只是需要额外的费用。他们的优势在于并非所有系统都有他们的产品,因此他们的目标比微软的杀毒软件小,后者始终是主要目标。

如果可以的话,最好分配一个技术人员来处理这些事务,尤其是当你有一个相对较大的团队(5人以上)时。可以是兼职或合同制(在成本方面,后者更好)。

在不可抗力的情况下,请做好备份,并确保您有可以联系的律师,以便减少后续成本。

如果我成为数据泄露的受害者,我该怎么办?

简而言之,这很复杂——要么你支付费用,有60%-40%的机会能找回数据,要么从备份中恢复(如果有的话),要么在没有备份的情况下进行损害控制。因此,拥有备份是很重要的。

第一步,评估情况并停止攻击

第一步,拔掉所有插头。我在大型实体的情况下夸大其词,因为服务水平协议(SLA)很重要,但我对小公司说的非常认真。如果你不是一个技术实体,也不知道如何管理这样的项目,最好关闭所有技术设备(包括断电),而不是冒险让别人使用你的电脑,而你却在尝试并失败用杀毒软件去捕捉他们。

一家大型公司通常能够预测将要发生的事情,并分析外部因素(例如服务器/工作站散发的热量)来判断工作站是否存在持续运行的问题。

关闭计算器会丢失一些取证数据,但可以提高措施(如加密/全部删除)失败的可能性;而如果保持开启状态,'rm -rf /*' 可能会成功并删除本可以保留的数据。

有时保持设备运行可以让你从RAM中恢复密钥或使用其他技术来恢复数据,但为此你需要现场有技术人员(大多数公司没有),以便关闭实时加密过程,并立即呼叫专家进行干预,干预费用高达五位数,因此大公司不会关闭服务器/计算机,而是仅关闭网络。

如果你在阅读这篇文章,显然你不符合条件,并且你已经知道该怎么做——所以没有必要用行业内对技术人员来说早已存在的解释来打扰你。

杀毒软件并不能检测所有威胁,尤其是零日漏洞。如果你贸然行事,可能会导致更严重的后果。通常,所有受影响或有风险的设备都应从网络中移除,进行隔离(断开互联网连接),并手动清理。如果攻击似乎是由能够留下后门的攻击者发起的,最好从备份中恢复。

因此,您必须确定何时以及如何进入系统,否则您可能会面临严重后果。您从备份中恢复了数据,但它又重新进入了系统(可能是从一个被感染的备份中),并且在一年后再次窃取您的数据,这次要求的赎金更高。

不过,我们需要解决这些小问题,但我们会回到第三步,讨论如何做到这一点。目前,我们需要最小化攻击面,并根据情况知道该如何对客户/当局说。

第二步,通知公共机构和客户

理论上(我鼓励您遵守法律),在第二个时刻应该向DIICOT提出刑事投诉,并向ANSPDCP提交“自我举报”通知。后者将对您处以高额罚款(5-10万欧元),但这是合理的。

如果数据泄露不影响任何个人,则无需向ANSPDCP报告,但大多数情况下风险程度较高。

然而,大多数公司并未向ANSPDCP报告事件,以避免罚款,至少根据ANSPDCP的报告,这种情况似乎非常少,这让我觉得存在选择性偏见。罗马尼亚人将过失掩盖在地毯下,我知道在我报告的脆弱情况下,ANSPDCP并未被通知。我向公共和私人机构报告了数十起,所有这些都属于高风险等级。我不知道是否有任何实体受到处罚。

在2024年,ANSPDCP共收到467份投诉和通知,其中297份为投诉,170份为个人数据安全违规。相比之下,荷兰有 37.839个这样的缺口人口较少。即使考虑到罗马尼亚的数字化程度较低,我们也没有报告。
年度报告
机构年度报告
马泰·尼科拉, 斯塔尔西·亨纳迪, 布莱亚·玛丽安娜, 乔治·巴莱提

关于ANSPDCP活动的官方报告,其中可以看到罗马尼亚自我报告的相对糟糕的情况。

这是你的决定,但原则上,如果黑客没有将数据放到互联网上(如果数据有吸引力,这种情况很可能发生,但如果数据无聊且不容易被勒索,这种情况就不太可能),你是安全的,不会受到惩罚。

如果他们把这些放到网上,是否会引起ANSPDCP的自我调查(可能性小到中等)。如果ANSPDCP自我调查而你没有报告,那就麻烦了,除非你有一个好的律师,你可以拖延或拒绝诚实合作/解释,利用ANSPDCP的权限和权威的局限性(也就是说,你可以说这些数据是虚假的,或者不是来自你等)。

许多人,包括公共机构,曾经成功地这样做过,但这很危险,并且是犯罪行为,因此我不鼓励这样做。在任何情况下,这都不是解决问题的方法,从长远来看,这种行为会影响你的声誉。然而,我不会忽视我们作为一个国家所面临的制度脆弱性,企业家可以自由选择他们的行动。

法律上,您有通知义务,罚款可能会达到营业额的一定比例,因此随着您规模的扩大,报告时更应谨慎。如果您不自找麻烦,罚款是可以接受的。

然后,必须通知客户,简要概述公司将采取的措施,以防止此类事件再次发生,以及他们面临的风险和如何减轻这些风险。如果你在这里是出于善意,这虽然不好,但也不是特别糟糕。我见过模糊的信息,遵循最低限度的法律义务。

如果这些有效,因为理论上两行模糊的邮件可以使你免于因违反GDPR而承担明确的法律责任。理论上你不可以这样做,但在实践中,法庭可能会宽恕你,让你免于更高的罚款或完全免罚。我在实践中见过这种情况,因为它产生了一种合法性的表象,而没有引发负责任信息所带来的焦虑。这是不道德的,但确实在实践中存在。

请务必聘请律师,因为罚款很高,他们可以为您减轻罚款,尤其是在您决定遵守法律义务时。我不会撒谎说自我报告的法律义务经常被遵守,但如果您有常识并进行报告,还是请您聘请律师,以减少后续罚款的成本。

第三步,缓解攻击

在解决法律义务后,缓解攻击并查看可以采取的措施(从备份恢复,恢复当前系统)。

一些勒索软件攻击使用易受攻击的恶意软件,这些恶意软件可以在之后被禁用。其他勒索软件攻击则是万无一失的,你要么选择信任地支付给对方(有60%的机会能拿回解密密钥),但你的数据仍然保留在他们的计算机上(未来也可能会被勒索)。或者你可能会被欺骗。

很难估计有多少恶意行为者是值得信赖的——毕竟,我不会说罪犯是最基本的人,但大多数人在完成工作后可能会出于以下原因给你加密钥匙:

  1. 并不是所有客户都那么有价值,值得你去窃取他们的数据并公开,因为他们的数据无法以其他方式变现。
  2. 通常情况下,泄露数据的价格比勒索软件的支付低几个数量级,尤其是当恶意行为者有良好声誉时(这也是让人们相信他们会遵守承诺并退还钱款所必需的),因为短期内获利而长期受损是有风险的。而且,在你获取数据后,给他们加密密钥并不会让你付出什么代价。

无论如何,这不应该是首选方案——如果数据存在于备份中或没有被加密,最好从中恢复,而不是向恶意行为者提供任何信息。

如果你确实拥有关键任务的数据,而道德决策将使你的整个业务付出代价,那么我让你自己决定。如果不支付勒索软件费用,客户损失的钱是否超过你支付赎金的成本,这个道德问题是值得讨论的。

我会在文章的最后部分解释如何支付保护费,尽管我不鼓励这种行为。你决定是否值得这个价格,有时确实是可能的。

第四步,防止未来再次发生攻击

如果你缓解了一次攻击,但不久后又有另一次攻击,那就毫无意义。我的看法是,你必须尽可能地预防未来的攻击。

你怎么做到这一点?很简单,使用冗余备份(3-2-1 方法),

💾
3-2-1备份法则要求如下:

- 3个数据副本,其中一个是你正在使用的(生产+预发布),另外两个作为备份。

- 两种不同的存储介质。例如,您可以拥有本地备份和云备份。便宜的选择包括Hetzner Storage和Backblaze,但这里有数百种解决方案,每种都有其优缺点。

- 数据必须存储在异地,也就是说,不在企业所在地。如果发生火灾或核弹袭击,数据应该能够幸存下来。 未开发. 通常在云端。

然后,确保你有一个更新的防病毒软件,定期备份应用程序和操作系统,并注意将关注点分开在应用程序中,也就是说要有一些信息卫生的规则。

请务必小心,不要在多个地方使用相同的密码(或者至少根据每个应用程序的固有风险使用不同级别的密码,因为有些应用程序可能会被攻破,而你的密码迟早会被公开)。

因此,确保你有一个应对灾难的计划,以便在未来危机来临时能够妥善管理。通常情况下,企业,尤其是小型企业,并不重视这些问题,甚至在抽象层面上也不考虑,因此在遭受攻击时会感到不知所措,不知道该如何应对。

情况复杂,若说存在一种解决方案能够考虑到管理小型企业所固有的困难,那将是荒谬的。

最后,教育你的员工。他们通常是最危险的。会点击不该点击的邮件,容易上当,使用愚蠢的密码,甚至在工作中也如此。

我个人经历过两次邮件数据泄露,都是由于一些合作伙伴在使用他们的电脑时犯了错误,导致他们的工作密码被泄露。幸运的是,我们将不同的业务分开,因此没有敏感信息被访问。只是他们从我的邮箱发送了垃圾邮件,而且在第一次经历后有所限制,因为我的邮件服务器曾被用于发送垃圾邮件,所以我实施了规则以限制发送量(不允许发送过多邮件)。

第五步,承担后果

事实是,你将面临后果,因为你疏忽大意/没有为事故预防分配足够的资金。

成本的大小取决于攻击者的能力、目标的规模以及你所丢失的数据类型(例如医疗数据、法律信息或仅在你的应用程序中使用的账户漏洞)。

如果你聪明,丢失的数据就不会太重要,成本对你来说会很低。然而,如果你忽视了这些方面,成本可能会相应增加。

如果你已经向机构报告你遭受了数据泄露,你可能面临严重后果,或者如果运气好,攻击者不小心,你可能能够从他那里获得赔偿(前提是他有能力支付,并且能够成功扣押这些款项,尤其是当这些款项存放在加密钱包中时,如果恶意行为者足够聪明,可能会保留这些资金)。

奖金:如何支付勒索

如果你不幸处于没有更好选择的境地,不得不屈从于勒索并支付保护费,下面我们将教你如何以快速且(相对)安全的方式做到这一点。

勒索的支付比例逐年下降,这是一个好消息。 帮助降低图表,以长期减少此类攻击,消除经济激励。. 来源: https://www.coveware.com/blog/2024/7/29/ransomware-actors-pivot-away-from-major-brands-in-q2-2024
数据外泄的罚款比系统额外加密的罚款高出重要的百分比。 来源: https://www.coveware.com/blog/2024/7/29/ransomware-actors-pivot-away-from-major-brands-in-q2-2024

与攻击者建立沟通渠道

与恶意参与者建立合作方式,以便更好地理解他们履行承诺的可能性。通常,他们会尝试使用不可追踪的方式进行沟通(例如:Signal、匿名邮件等)。

如果可以追踪,请向刑事调查机关报告。如果你能给他们一个IP记录器(发送一个可以从你的系统下载的文件,或者一个你进行记录的链接等),请向刑事调查机关报告。如果他聪明的话,请考虑这一点,因为这会降低你谈判的机会。

如果您决定支付“赎回”,事先讨论是必不可少的。在这里,您可以讨论实施哪些机制以确保各方不受损失,并且可能还可以谈判价格。

如果恶意行为者没有以可追踪的方式(例如,通过其账户在黑客组织中留下消息)与数字角色(如黑客团体、用户名等)进行识别,那么风险就是你可能会被骗。

如果他因努力提升的个人形象而受到羞辱,那么勒索的代价可能不足以弥补他的声誉损失。如果你决定把钱还给他,这对你来说是一个优势。但一定要确保他有更多的损失可言,而不仅仅是他向你索要的勒索金额。

通常这些人是社会病态者,但理性,所以如果你能提出明确的论据,就可以与他们谈判。例如,如果他向你展示自己是某个重要人物,但没有那么高的声誉,你可以通过达成共识来降低价格,理由是他无法保证会履行承诺。对他要冷静,不要表现出情感,通常你可以削减价格。

该规则适用于所有与您合作或互动的不道德人士,需根据情况进行调整。如果他们有自我问题,可以加以利用。大多数人都是自恋者或有其他人格问题,这些都可以用来降低您的成本。

找到一种方法,通知恶意行为者,如果他不遵守承诺,你将以某种方式报复他,破坏他之前所建立的声誉,但要考虑如何做到这一点而不进一步损害自己的声誉。

你支付给某个人勒索费的想法并不太可取,如果你不向对方表明你掌握了他的把柄,他可能会完全嘲弄你。

购买加密货币以支付保护费

你使用CEX购买加密货币时使用现金。我不确定这些金额是否可以扣除,或者它们的税务性质是什么。不过我假设这些是支出,显然是为了公司的利益。ANAF我认为不会进一步向ANSPDCP报告,因为这需要很大的努力,但即使可能有经济和纯粹的税务理由,它也可能会拒绝你的支出。

到目前为止,未被证明为庞氏骗局的良好CEX示例包括Binance、Coinbase Pro和Kraken。

币安发布的CEX透明度报告 关于其竞争对手,在市场上表现出相当大的存在 - 2024年。似乎并未包括所有主要竞争对手(Coinbase Pro,Kraken)。

理想情况下,如果可以的话,请通知CEX,告知他们你即将支付赎金,因为他们可能会冻结相关账户(如果在CEX上)或对账户施加限制,以使恶意行为者更难洗钱。这必须提前进行。这里可以请一位在该领域有资质的律师帮忙,而这样的律师不多。

你要支付给违法者

您可以找到恶意行为者的加密地址。如果您与公共机构合作,建议与他们讨论可能的赎回,以便进行协调,因为恶意行为者可能会通过洗钱(或选择不这样做)而暴露自己。有时,您可以将支付的款项与有罪角色联系起来,从而追回部分资金。随着恶意行为者变得更加聪明,成功的机会会变得更小。

这可能是因为他想要比特币(它具有高流动性,并且在洗钱平台上得到整合),或者他可能想要门罗币或其他更难追踪的货币。很可能他会想要比特币。

在这些平台上购买比特币。

在你完成付款后,你只需希望之前实施犯罪的人会遵守承诺,并遵循这个任意的规则,把钱还给你。通常,恶意行为者更有可能遵守承诺,尤其是当他们有一种通过声称攻击来维权的个性时。

你行动的结果

如果他不遵守承诺,就像我之前描述的那样,以一种可接受的方式让他感到羞愧。如果没有一种共同理解的方式来让他对可能的欺诈负责,他就会有所有的动机去这样做,甚至可能会出售你的数据。

如果遵守承诺,请使用加密密钥解密数据,并检查其完整性。很可能仍然存在后门。仔细检查数据,清理其中残留的垃圾。

如果你在这里不小心,可能还需要再支付一次保护费。罪犯会寻找好榨取的“奶牛”,所以不要成为一头好榨取的“奶牛”。

结论

在这些领域的违法者已经做好准备,而公共机构却滞后。互联网的性质类似于西部荒野——在一个缺乏可追溯性、责任难以或甚至不可能归属的环境中,获得公正是非常困难的。

在当今数字化世界中,调查这些攻击的成本超过一百万美元,因此如果案件被证明复杂,相关部门考虑该案件的可能性微乎其微。

不要指望DIICOT或你认识的IT人员来拯救你。提前采取措施,以免成为受害者,因为如果不这样做,后果将更加严重。

Stefan-Lucian Deleanu
Stefan-Lucian Deleanu
网站 Facebook 克卢日-纳波卡,罗马尼亚