ในช่วงไม่กี่ปีที่ผ่านมา, การโจมตีด้วยแรนซัมแวร์กลายเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดสำหรับบริษัทในบราซิลและทั่วโลก. เผชิญสถานการณ์นี้, ทนายความผู้เชี่ยวชาญด้านกฎหมายดิจิทัล Gabriel Araújo Souto, สำนักงานกฎหมาย PG Advogados, อธิบายขั้นตอนทางกฎหมายที่สำคัญที่บริษัทและมืออาชีพควรดำเนินการเมื่อเป็นเหยื่อของอาชญากรรมประเภทนี้
ข้อผิดพลาดแรกที่หลายบริษัททำคือการดำเนินการโดยไม่มีคำปรึกษาทางกฎหมายเฉพาะทาง, แจ้งทนายความ. ตามที่เขากล่าว, ความเร่งรีบในการกู้คืนข้อมูลทำให้หลายองค์กรตัดสินใจอย่างเร่งรีบซึ่งอาจทำให้สถานการณ์ทางกฎหมายแย่ลง. การชำระเงินค่าไถ่, ตัวอย่างเช่น, ไม่ใช่อาชญากรรมในบราซิล, แต่ต้องวิเคราะห์อย่างระมัดระวัง, อาจนำไปสู่ผลกระทบด้านจริยธรรมและกฎหมาย, อธิบาย
ผู้เชี่ยวชาญเน้นย้ำถึงมาตรการทางกฎหมายสามประการที่จำเป็นหลังจากการโจมตี
1. การเก็บรักษาหลักฐาน – ปิดระบบที่ได้รับผลกระทบโดยไม่มีคำแนะนำทางเทคนิคอาจทำลายหลักฐานสำคัญสำหรับการสืบสวน
2. แจ้งเตือนเจ้าหน้าที่ – กฎหมาย LGPD (กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วไป) กำหนดให้ต้องแจ้ง ANPD (หน่วยงานคุ้มครองข้อมูลส่วนบุคคลแห่งชาติ) ภายใน 72 ชั่วโมงเมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคล
3. การวิเคราะห์สัญญา – เป็นสิ่งสำคัญที่จะตรวจสอบภาระผูกพันกับลูกค้าและซัพพลายเออร์เกี่ยวกับการปกป้องข้อมูล
เพื่อการป้องกัน, ซูโตแนะนำให้บริษัทเพิ่มข้อกำหนดเฉพาะเกี่ยวกับความปลอดภัยทางไซเบอร์ในสัญญากับผู้ให้บริการด้านไอที; พัฒนาขั้นตอนการตอบสนองต่อเหตุการณ์ที่สอดคล้องกับข้อกำหนดทางกฎหมาย; ดำเนินการตรวจสอบประจำเพื่อให้แน่ใจว่ามีความสอดคล้องกับมาตรฐานการคุ้มครองข้อมูล
ด้านกฎหมายของความปลอดภัยดิจิทัลมักถูกละเลยจนกว่าจะสายเกินไป. การให้คำปรึกษาเชิงป้องกันสามารถหลีกเลี่ยงไม่เพียงแต่ความเสียหายจากการโจมตีเท่านั้น, แต่ยังรวมถึงผลทางกฎหมายที่อาจดำเนินต่อไปเป็นปี ๆ, ผู้เชี่ยวชาญสรุป
