近年、ランサムウェア攻撃はブラジルや世界中の企業にとって最大のサイバー脅威の一つとなっています。 この状況において、デジタル法の専門弁護士であるPG弁護士事務所のガブリエル・アラウジョ・ソウトは、企業や専門家がこの種の犯罪の被害者になった場合に採るべき重要な法的手順を説明します。
「多くの企業が犯す最初の誤りは、専門的な法務アドバイスなしに行動することです」と弁護士は警告しています。 彼によると、データの回復を急ぐあまり、多くの組織が法的状況を悪化させる可能性のある早計な決定を下すことになる。 身代金の支払いは、例えばブラジルでは犯罪ではありませんが、慎重に検討する必要があります。倫理的および法的な影響をもたらす可能性があるからです、と彼は説明します。
攻撃後に必要な3つの法的措置を専門家は強調している
1. 証拠の保存技術的な指示なしに影響を受けたシステムをシャットダウンすると、調査にとって重要な証拠を破壊する可能性があります。
2. 当局への通知LGPD(個人データ保護一般法)は、個人データの漏洩があった場合、72時間以内にANPD(国家データ保護機関)に通知することを要求しています。
3. 契約分析顧客や供給者に関するデータ保護の義務を確認することが不可欠です。
予防のために、ソウトは企業に対して、ITサプライヤーとの契約にサイバーセキュリティに関する具体的な条項を含めることを推奨し、法的要件に沿ったインシデント対応計画を策定し、定期的な監査を実施してデータ保護規則への適合性を確認することを勧めています。
デジタルセキュリティの法的側面は、しばしば手遅れになるまで見過ごされがちです。予防的なアドバイスは、攻撃自体の被害だけでなく、何年も続く可能性のある法的な結果も防ぐことができます、と専門家は結論付けています。
