6月底,超过100亿个密码在暗网论坛上泄露,引发了全球对网络安全风险的警示,并凸显了遵守《通用数据保护法》(GDPR)的紧迫性。这个名为“RockYou2024.txt”的文件由一位名为“ObamaCare”的黑客发布,其中包含来自苹果、谷歌和Facebook等平台的数据,包括此前未知的电子邮件地址和密码组合。
就规模和影响范围而言,此次事件被认为是历史上影响最大的事件之一。鉴于2020年起生效的法律要求,企业和信息技术专业人士必须立即对此事件做出回应。埃德加·多拉塔(Edgard Dolata)是巴西通用数据保护法(LGPD)专家,也是Legal Comply和Dopp Dolata Advogados两家律师事务所的合伙人。他认为,此案暴露了数字架构的脆弱性。“数字安全系统的脆弱性不仅危及消费者,也危及企业的声誉和法律责任。仅仅在网站上制定隐私政策是不够的,还需要证明企业在数据保护方面采取了积极的治理措施。”多拉塔说道。
这位专家指出,许多机构仍然将数据保护视为繁琐的官僚程序,忽视了建立高效的内部流程。他认为,大规模泄露凭证会增加社交工程攻击、网络钓鱼、企业入侵以及受到国家数据保护局(ANPD)处罚的风险。“数据保护不能再是被动应对。《巴西通用数据保护法》(LGPD)要求进行数据登记、确保数据可追溯性,并在发生数据事件时迅速做出响应。这适用于大型平台和小型公司,而小型公司往往运营结构较为脆弱。”他说道。
7 月通常是学校放假和混合办公模式盛行的时期,远程访问量也会随之增加,此时隐蔽攻击的发生率也会上升。Dolata 建议企业采取多因素身份验证、定期备份和持续访问审查等措施。“寒假除了会降低网络安全意识外,往往还会使事件响应团队陷入瘫痪。这为网络攻击创造了理想的条件。安全规划需要考虑这种季节性因素。”她警告说。
这位律师表示,大规模数据泄露事件的屡次发生以及缺乏严厉的惩罚措施,持续助长了网络犯罪的猖獗。“只要巴西缺乏强有力的问责和预防文化,我们就只能继续亡羊补牢。遵守《巴西通用数据保护法》(LGPD)不仅是法律保护,更是运营的必要条件。”他总结道。
希望评估自身风险敞口或制定合规计划的公司可以在 Legal Comply 等平台上寻求专业的法律诊断和风险分析工具,该平台会监控漏洞并根据 LGPD(巴西通用数据保护法)指导应对计划。
