최근 몇 년 동안 랜섬웨어 공격은 브라질과 전 세계 기업에 대한 가장 큰 사이버 위협 중 하나가 되었습니다. 이러한 상황에서 디지털 법률 전문가인 PG 변호사 사무소의 가브리엘 아라우조 소우토는 기업과 전문가들이 이러한 범죄의 피해자가 되었을 때 반드시 따라야 할 법적 절차를 설명합니다.
"많은 기업이 저지르는 첫 번째 실수는 전문 법률 자문 없이 행동하는 것"이라고 변호사가 경고합니다. 그에 따르면, 데이터를 신속하게 복구하려는 급한 마음이 많은 조직들이 법적 상황을 악화시킬 수 있는 성급한 결정을 내리게 만든다. 구조금 지급은 예를 들어 브라질에서는 범죄가 아니지만 신중하게 분석해야 하며, 윤리적 및 법적 함의를 가져올 수 있다고 설명합니다.
전문가는 공격 후 필요한 세 가지 법적 조치를 강조합니다
1. 증거 보존영향을 받은 시스템을 기술적 지침 없이 종료하면 조사에 중요한 증거를 파기할 수 있습니다.
2. 당국에 통보개인정보 보호 일반법(Lei Geral de Proteção de Dados Pessoais, LGPD)은 개인정보 유출 시 72시간 이내에 ANPD(국가 데이터 보호 기관)에 통보할 것을 요구합니다.
3. 계약 분석고객과 공급업체의 데이터 보호에 관한 의무를 확인하는 것이 필수적입니다.
예방을 위해 Souto는 기업이 IT 공급업체와의 계약에 사이버 보안에 관한 구체적인 조항을 포함할 것을 권장하며, 법적 요구 사항에 부합하는 사고 대응 계획을 개발하고, 데이터 보호 규정 준수 여부를 확인하기 위해 정기적인 감사를 실시할 것을 제안합니다.
디지털 보안의 법적 측면은 종종 너무 늦을 때까지 간과됩니다. 예방 조언은 공격 자체의 피해뿐만 아니라 수년 동안 지속될 수 있는 법적 결과도 방지할 수 있습니다, 전문가가 결론지었습니다.
