ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีด้วยแรนซัมแวร์ได้กลายเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดต่อบริษัทต่างๆ ในบราซิลและทั่วโลก จากสถานการณ์เช่นนี้ กาเบรียล อาราอูโจ ซูโต ผู้เชี่ยวชาญด้านกฎหมายดิจิทัล จากสำนักงานกฎหมาย PG Advogados ได้อธิบายถึงขั้นตอนทางกฎหมายที่สำคัญที่บริษัทต่างๆ และผู้เชี่ยวชาญควรปฏิบัติเมื่อตกเป็นเหยื่อของอาชญากรรมประเภทนี้
“ความผิดพลาดแรกที่บริษัทหลายแห่งทำคือการดำเนินการโดยขาดที่ปรึกษากฎหมายเฉพาะทาง” ทนายความเตือน เขากล่าวว่า การเร่งรีบกู้คืนข้อมูลทำให้หลายองค์กรตัดสินใจอย่างเร่งรีบ ซึ่งอาจทำให้สถานการณ์ทางกฎหมายแย่ลง “ตัวอย่างเช่น การจ่ายค่าไถ่ไม่ถือเป็นอาชญากรรมในบราซิล แต่จำเป็นต้องมีการวิเคราะห์อย่างรอบคอบ เพราะอาจส่งผลกระทบทั้งทางจริยธรรมและทางกฎหมาย” เขาอธิบาย
ผู้เชี่ยวชาญเน้นย้ำมาตรการทางกฎหมายที่จำเป็นสามประการหลังการโจมตี:
1. การรักษาหลักฐาน – การปิดระบบที่ได้รับผลกระทบโดยไม่ได้รับคำแนะนำทางเทคนิคสามารถทำลายหลักฐานที่สำคัญต่อการสืบสวนได้
2. การแจ้งต่อเจ้าหน้าที่ – LGPD (กฎหมายทั่วไปเพื่อการคุ้มครองข้อมูลส่วนบุคคล) กำหนดให้ต้องแจ้งต่อ ANPD (หน่วยงานคุ้มครองข้อมูลแห่งชาติ) ภายใน 72 ชั่วโมง เมื่อมีการละเมิดข้อมูลส่วนบุคคล
3. การวิเคราะห์สัญญา – จำเป็นต้องตรวจสอบภาระผูกพันกับลูกค้าและซัพพลายเออร์เกี่ยวกับการปกป้องข้อมูล
เพื่อป้องกัน Souto แนะนำให้บริษัทต่างๆ รวมข้อกำหนดเฉพาะเกี่ยวกับความปลอดภัยทางไซเบอร์ไว้ในสัญญากับซัพพลายเออร์ไอที พัฒนาแผนการตอบสนองต่อเหตุการณ์ที่สอดคล้องกับข้อกำหนดทางกฎหมาย และดำเนินการตรวจสอบเป็นระยะเพื่อตรวจยืนยันการปฏิบัติตามกฎระเบียบการคุ้มครองข้อมูล
“ประเด็นทางกฎหมายของความปลอดภัยทางดิจิทัลมักถูกละเลยจนกระทั่งสายเกินไป คำแนะนำเชิงป้องกันสามารถหลีกเลี่ยงไม่เพียงแต่ความเสียหายจากการโจมตีเท่านั้น แต่ยังรวมถึงผลกระทบทางกฎหมายที่อาจคงอยู่เป็นเวลาหลายปีอีกด้วย” ผู้เชี่ยวชาญกล่าวสรุป
