Viime vuosina kiristyshaittaohjelmahyökkäyksistä on tullut yksi suurimmista kyberuhista yrityksille Brasiliassa ja maailmanlaajuisesti. Tässä tilanteessa digitaalisen oikeuden asiantuntija Gabriel Araújo Souto asianajotoimisto PG Advogadosista selittää tärkeät oikeudelliset toimenpiteet, jotka yritysten ja ammattilaisten tulisi ottaa, kun heistä tulee tämän tyyppisen rikoksen uhreja.
”Monien yritysten ensimmäinen virhe on toimia ilman erikoistunutta lakimiestä”, asianajaja varoittaa. Hänen mukaansa kiire tietojen palauttamiseksi johtaa siihen, että monet organisaatiot tekevät hätäisiä päätöksiä, jotka voivat pahentaa oikeudellista tilannetta. ”Esimerkiksi lunnaiden maksaminen ei ole rikos Brasiliassa, mutta se on analysoitava huolellisesti, koska sillä voi olla eettisiä ja oikeudellisia seurauksia”, hän selittää.
Asiantuntija korostaa kolmea välttämätöntä oikeudellista toimenpidettä hyökkäyksen jälkeen:
1. Todisteiden säilyttäminen – Vaikutusalttiiden järjestelmien sammuttaminen ilman teknistä ohjausta voi tuhota tutkinnalle tärkeitä todisteita;
2. Ilmoitus viranomaisille – LGPD (yleinen henkilötietojen suojaa koskeva laki) edellyttää, että henkilötietojen tietoturvaloukkauksesta on ilmoitettava ANPD:lle (kansallinen tietosuojaviranomainen) 72 tunnin kuluessa.
3. Sopimusanalyysi – On tärkeää varmistaa asiakkaiden ja toimittajien tietosuojaa koskevat velvoitteet.
Ennaltaehkäisevästi Souto suosittelee, että yritykset sisällyttävät IT-toimittajien kanssa tehtäviin sopimuksiin erityisiä kyberturvallisuuslausekkeita, laativat lakisääteisten vaatimusten mukaisen toimintasuunnitelman tapahtumiin reagoimiseksi ja suorittavat säännöllisiä tarkastuksia tietosuojamääräysten noudattamisen varmistamiseksi.
”Digitaalisen turvallisuuden oikeudellinen puoli usein laiminlyödään, kunnes on liian myöhäistä. Ennaltaehkäisevällä neuvonnalla voidaan välttää paitsi itse hyökkäyksen aiheuttamat vahingot, myös vuosia kestävät oikeudelliset seuraukset”, asiantuntija toteaa.
