Uhajanje podatkov: problem, ki brazilska podjetja drago stane

Osebni in korporativni podatki so eno najdragocenejših sredstev podjetij v letu 2024, scenarij, ki bo ostal tudi v letu 2025.Zato uhajanje teh informacij predstavlja več kot tehnično tveganje 50 milijonov varnostni incident, ki globoko vpliva na finančno zdravje in ugled blagovnih znamk.Poleg morebitnih stroškov s sankcijami, predvidenimi v LGPD (Splošni zakon o varstvu podatkov), ki lahko dosežejo 2% obračuna ali 50 milijonov R$ globe zaradi kršitve, podjetja, ki so tarča uhajanja, se soočajo s skritimi stroški, pogosto podcenjenimi, z izterjavo sistemov in neopredmetenih škode na zunanji podobi in odnosih z javnostmi.

Brazilska podjetja v povprečju izgubijo 6,75 milijona R$ na kršitev podatkov, glede na poročilo Cost of a Data Breach 2024, ki ga je pripravil in objavil IBM. Vendar pa je v praksi ta vpliv še večji, saj vrzeli v zaščiti občutljivih informacij ustvarjajo izgube z drugimi posledicami, poleg pravnih, kot so izogibanje strankam, ki migrirajo h konkurentom z bolj robustno varnostno politiko, prekinitev delovanja, nujne naložbe v odnose z javnostmi in kibernetska varnost za ublažitev krize.

Po mnenju odvetnika Marca Zorzija, specialista za digitalno pravo pri Andersen Ballao Advocacia, napredek uporabe LGPD in najnovejši standardi o obdelavi podatkov zahtevajo prilagoditve sistema preglednosti in varnosti.Preprečevanje se začne z identifikacijo podatkov, ki jih je treba obravnavati v rutini podjetja (katere informacije so vključene, kje so shranjene in s kom se delijo. “Samo z ukrepi za kartiranje tega toka je mogoče okrepiti preprečevanje ter ukrepati takoj in učinkovito ob varnostnih incidentih. In to vključuje prizadevanja, zlasti pravne in IT ekipe.

Omeniti velja, da lahko neupoštevanje smernic LGPD poleg globe in opozorila povzroči do šestmesečno prekinitev osebnih baz podatkov podjetja, oglaševanje kršitve in prepoved opravljanja dejavnosti obdelave informacij, ki lahko popolna ali delna.

Po mnenju strokovnjaka novi predpisi ANPD (National Data Protection Authority) o vlogi upravljavca podatkov, sporočanju varnostnih incidentov in mednarodnem prenosu podatkov dvigujejo standard korporativne odgovornosti.

HEKERSKI NAPADI

Nujnost prepoznavanja tveganj in preventivnega delovanja je okrepila odločitev 3. razreda Višjega sodišča (STJ), ki je Eletropaulo označil za odgovornega za uhajanje podatkov, ki je posledica vdora hekerjev.

Sodišče je ugotovilo, da tudi v primerih kaznivega napada ostaja nedotaknjena obveznost družbe, da varuje podatke Odločitev je temeljila na 19. in 43. členu LGPD, ki določata sprejetje ustreznih tehničnih in administrativnih ukrepov za varovanje podatkov.