Adatszivárgások: költséges probléma a brazil vállalatok számára

A személyes és vállalati adatok a vállalatok egyik legértékesebb eszközei 2024-ben, egy forgatókönyv, amely 2025-ben is megmarad Ezért ezen információk kiszivárgása több mint technikai kockázatot jelent 50 millió biztonsági incidens, amely mélyrehatóan befolyásolja a márkák pénzügyi egészségét és hírnevét Az LGPD-ben (általános adatvédelmi törvény) előírt szankciókkal járó potenciális kiadások mellett, amelyek elérhetik a 2% számlázást vagy az R$ 50 millió bírságot a jogsértésért, a kiszivárogtatásra célzott vállalatok rejtett költségekkel szembesülnek, gyakran alábecsülték, a rendszerek helyreállításával és a külső imázs és a PR immateriális károsodásával.

A brazil vállalatok adatsértésenként átlagosan 6,75 millió R$-t veszítenek az IBM által készített és kiadott Cost of a Data Breach 2024 jelentés szerint. A gyakorlatban azonban ez a hatás még nagyobb, mivel az érzékeny információk védelmében tapasztalható hiányosságok a jogi következmények mellett egyéb következményekkel járó veszteségeket is generálnak, mint például a robusztusabb biztonsági politikával rendelkező versenytársakhoz vándorló ügyfelek kijátszása, a működés megszakítása, a PR-vel és a kiberbiztonsággal kapcsolatos vészhelyzeti beruházások a válság enyhítésére.

Marco Zorzi ügyvéd, az Andersen Ballao Advocacia digitális jogi szakértője szerint az LGPD alkalmazásának és az adatfeldolgozásra vonatkozó legújabb szabványoknak az előrehaladása megköveteli az átláthatóság és a biztonság rendszerének kiigazítását A megelőzés a vállalat rutinjában kezelendő adatok azonosításával kezdődik (mely információkról van szó, hol tárolják és kivel osztják meg. “Csak az ennek az áramlásnak a feltérképezésére irányuló intézkedésekkel lehet megerősíteni a megelőzést, és azonnal és hatékonyan fellépni a biztonsági eseményekkel szemben.” Ez pedig erőfeszítéseket foglal magában, különösen a jogi és informatikai csapatokkal, mondja Zorzi.

Érdemes megjegyezni, hogy a bírságon és a figyelmeztetésen túl az LGPD irányelveinek be nem tartása a cég személyes adatbázisainak legfeljebb hat hónapra történő felfüggesztését, a jogsértés reklámozását és az információfeldolgozási tevékenység gyakorlásának tilalmát vonhatja maga után, amely lehet teljes vagy részleges.

A szakértő szerint az ANPD (Nemzeti Adatvédelmi Hatóság) új szabályozása az Adatkezelő szerepéről, a biztonsági incidensek közléséről és a nemzetközi adattovábbításról emeli a vállalati felelősségvállalás színvonalát.

HACKER TÁMADÁSOK

A kockázatok felismerésének és a megelőző jellegű fellépés sürgősségét megerősítette a Legfelsőbb Bíróság (STJ) 3. osztályának határozata, amely az Eletropaulót tette felelőssé a hackerinvázióból eredő adatszivárgásért.

A bíróság arra a következtetésre jutott, hogy a társaság adatvédelmi kötelezettsége még bűncselekmény esetén is érintetlen marad. A döntés az LGPD 19. és 43. cikkén alapult, amelyek meghatározzák az adatok védelmét szolgáló megfelelő technikai és adminisztratív intézkedések elfogadását.