Витоки даних: проблема, яка дорого коштує бразильським компаніям

Персональні та корпоративні дані є одним з найцінніших активів компаній у 2024 році, сценарій, який залишиться у 2025 роц Саме тому витік цієї інформації являє собою більш ніж технічний ризик 50 мільйонів інцидентів безпеки, які глибоко впливають на фінансове здоров'я та репутацію бренді рім потенційних витрат із санкціями, передбаченими в LGPD (Загальний закон про захист даних), які можуть досягти 2% виставлення рахунків або R$ 50 мільйонів штрафу за порушення, компанії, націлені на витоки, стикаються з прихованими витратами, часто недооціненими, з відновленням систем і нематеріальними збитками зовнішньому іміджу та зв'язкам з громадськістю.

Бразильські компанії втрачають, в середньому, 6, 75 млн R$ за витік даних, згідно зі звітом Cost of a Data Breach 2024, підготовленим і опублікованим IBM, Однак на практиці цей вплив ще більший, оскільки прогалини в захисті конфіденційної інформації породжують збитки з іншими наслідками, крім юридичних, таких як ухилення клієнтів, які мігрують до конкурентів з більш надійною політикою безпеки, переривання операцій, екстрені інвестиції зі зв'язками з громадськістю та кібербезпекою для пом'якшення кризи.

За словами юриста Марко Зорзі, фахівця з цифрового права в Andersen Ballao Advocacia, просування застосування LGPD і новітні стандарти обробки даних вимагають коригування системи прозорості та безпек опередження починається з ідентифікації даних, які будуть оброблятися в рутині компанії (яка інформація залучена, де вона зберігається і з ким вона поділяєтьс “Тільки із заходами для картографування цього потоку можна посилити запобігання і діяти негайно і ефективно перед обличчям інцидентів безпек і це передбачає зусилля, особливо, юридичні та ІТ-команди”, говорить Зорзі.

Варто зазначити, що окрім штрафу та попередження, недотримання інструкцій LGPD може призвести до призупинення до шести місяців роботи персональних баз даних компанії, реклами порушення та заборони здійснення діяльності з обробки інформації, яка може бути повним або частковим.

За словами експерта, нові правила ANPD (Національного органу із захисту даних) щодо ролі Контролера даних, повідомлення про інциденти безпеки та міжнародної передачі даних підвищують рівень корпоративної відповідальності.

ХАКЕРСЬКІ АТАКИ

Терміновість визнання ризиків і превентивних дій була посилена рішенням 3-го класу Вищого суду (STJ), який поклав на Eletropaulo відповідальність за витік даних у результаті вторгнення хакерів.

Суд дійшов висновку, що навіть у випадках злочинного нападу обов'язок компанії захищати дані залишається недоторканим Рішення ґрунтувалося на статтях 19 і 43 LGPD, які визначають прийняття відповідних технічних та адміністративних заходів для захисту даних.