تسريبات البيانات: مشكلة تكلف الشركات البرازيلية غالياً

تُعدّ البيانات الشخصية وبيانات الشركات من بين الأصول الأكثر قيمة للشركات في عام 2024، وهو سيناريو سيبقى على حاله في عام 2025. ولذلك، يُمثّل تسريب البيانات أكثر من مجرد خطر تقني، بل هو حادث أمني له تداعيات عميقة على الوضع المالي للعلامة التجارية وسمعتها. فبالإضافة إلى التكاليف المحتملة للعقوبات بموجب قانون حماية البيانات العامة (LGPD)، والتي قد تصل إلى 2% من الإيرادات أو $ ريال برازيلي غرامات بقيمة 50 مليون ريال برازيلي لكل انتهاك، تواجه الشركات التي تتعرض لتسريب البيانات تكاليف خفية، وغالبًا ما يتم التقليل من شأنها، مرتبطة باستعادة النظام، وأضرارًا غير ملموسة تلحق بصورتها وعلاقاتها مع الجهات المعنية الخارجية.

وفقًا لتقرير "تكلفة خرق البيانات 2024" الذي أعدته ونشرته شركة IBM، تخسر الشركات البرازيلية، في المتوسط، 6.75 مليون ريال برازيلي لكل خرق بيانات. إلا أن هذا الأثر أكبر من ذلك بكثير، إذ تُسبب خرقات حماية المعلومات الحساسة خسائر تتجاوز العواقب القانونية، مثل فقدان العملاء، مما يدفع المنافسين إلى تبني سياسات أمنية أكثر صرامة، واضطرابات تشغيلية، واستثمارات طارئة في العلاقات العامة والأمن السيبراني للتخفيف من حدة الأزمة.

وفقًا للمحامي ماركو زورزي، المتخصص في القانون الرقمي في مكتب أندرسن بالاو للمحاماة، فإن تطوير تطبيق قانون حماية البيانات العامة (LGPD) وأحدث لوائح معالجة البيانات يتطلبان تعديلات على نظام الشفافية والأمن. تبدأ الوقاية بتحديد البيانات المراد معالجتها ضمن إجراءات الشركة الروتينية - ما هي المعلومات المعنية، ومكان تخزينها، ومع من تتم مشاركتها. يقول زورزي: "لا يمكننا تعزيز الوقاية والتصرف فورًا وبكفاءة في حال وقوع حوادث أمنية إلا باتخاذ تدابير لرسم خريطة لهذا التدفق. وهذا يتطلب جهودًا، في المقام الأول، من الفريقين القانوني وفريق تكنولوجيا المعلومات".

ومن الجدير بالذكر أنه بالإضافة إلى الغرامة والإنذار، فإن عدم الامتثال لإرشادات LGPD قد يؤدي إلى تعليق قواعد البيانات الشخصية للشركة لمدة تصل إلى ستة أشهر، والدعاية للمخالفة، والحظر الكلي أو الجزئي على ممارسة أنشطة معالجة المعلومات.

وبحسب الخبير، فإن اللوائح الجديدة التي وضعتها الهيئة الوطنية لحماية البيانات (ANPD) بشأن دور مسؤول حماية البيانات، والإبلاغ عن الحوادث الأمنية، والنقل الدولي للبيانات، ترفع مستوى المسؤولية المؤسسية.

هجمات القراصنة

وقد تم تعزيز ضرورة الاعتراف بالمخاطر والتصرف بشكل وقائي من خلال قرار اللجنة الثالثة للمحكمة العليا للعدل، والتي حملت شركة Eletropaulo المسؤولية عن تسريب البيانات الناتج عن غزو القراصنة.

خلصت المحكمة إلى أنه حتى في حالات الاعتداء الجنائي، يبقى التزام الشركة بحماية البيانات قائمًا. واستند القرار إلى المادتين 19 و43 من قانون حماية البيانات العامة، واللتين تشترطان اتخاذ التدابير الفنية والإدارية المناسبة لحماية البيانات.