Aviso: “Extorsão GDPR” pode prejudicar seu negócio, veja o que fazer!
Publicados: 2019-01-12A maioria dos líderes empresariais sediados nos EUA está pelo menos um pouco familiarizada com o GDPR (Regulamento Geral de Proteção de Dados da UE). . Também provavelmente levará a um novo e caro crime cibernético: “extorsão GDPR”.
Como os regulamentos de dados baseados na UE afetarão as empresas nos EUA? O que é extorsão GDPR? Como as empresas podem se proteger? Estas são as questões que vou abordar neste artigo.
GDPR em poucas palavras
Como o conjunto mais abrangente de regulamentos de segurança de dados da história (99 artigos organizados em 11 capítulos, para ser exato), o GDPR está levantando sobrancelhas e ansiedades em todo o mundo.
Isso porque a captura de dados de clientes ajuda empresas de todos os setores a melhorar o marketing, as vendas, o atendimento ao cliente e muitos outros esforços. Agora, graças ao GDPR, as empresas precisam coletar dados com muito mais cuidado.
O GDPR oferece aos cidadãos da UE algo que não existe nos EUA: o direito à privacidade de dados pessoais. Que tipos de regulamentos estão incluídos neste conjunto de leis? Embora o GDPR fique bastante complexo, aqui está um breve resumo.
O direito de um cidadão da UE à privacidade dos dados agora supera o interesse das empresas em coletar seus dados. Portanto, de acordo com o GDPR, cada cidadão da UE tem:
- O direito de escolher se permite ou não que seus dados sejam coletados
- O direito de ver todos os dados que foram coletados sobre eles
- “O direito de ser esquecido”, o que significa que seus dados devem ser removidos da lista do Google e de outros mecanismos de pesquisa mediante solicitação
- E finalmente – o direito que deu origem ao fenômeno de extorsão GDPR, que é o direito de ser informado sobre violações de dados dentro de 72 horas (como violações resultantes de hackers)
Como o GDPR afeta as empresas dos EUA?
Antes de mergulhar no que é extorsão GDPR, devo enfatizar por que as empresas dos EUA não estão claras aqui.
Se sua empresa sediada nos EUA oferece serviços a cidadãos da UE ou coleta dados pessoais sobre cidadãos da UE, você deve cumprir os regulamentos do GDPR. Algumas das indústrias dos EUA com maior probabilidade de se enquadrar no GDPR incluem viagens, hospitalidade, SaaS e comércio eletrônico. No entanto, qualquer empresa sediada nos EUA com mercado na UE deve se preparar para atender aos requisitos.
Quais são as consequências de não cumprir os requisitos do GDPR? As multas podem chegar a € 20 milhões (US$ 22,7 milhões), embora ainda não esteja claro como esses pagamentos da UE serão aplicados nos EUA.
Mas as consequências de não cumprir o GDPR vão muito além das taxas debilitantes. As empresas com uma grande base de clientes da UE também podem perder a sua reputação num mercado de mais de 510 milhões de pessoas.
Com a ameaça de pagamentos de oito dígitos por um lado e a possibilidade de sacrificar a confiança do cliente da UE por outro, muitas empresas dos EUA não têm escolha a não ser reformular sua estrutura de gerenciamento de dados para cumprir o GDPR.
Extorsão GDPR
Como se as consequências acentuadas associadas ao não cumprimento do GDPR não fossem preocupantes o suficiente, os líderes empresariais da UE e dos EUA têm mais um motivo para perder o sono: “extorsão do GDPR”.
A corrida louca de executivos que estão lutando para se preparar para o GDPR está criando uma tempestade perfeita para os cibercriminosos. Se uma empresa não estiver em conformidade com o GDPR e se seus dispositivos não estiverem corrigidos e desprotegidos, um hacker pode obter acesso aos dados da empresa e fazer um ultimato ameaçador: pague ao hacker uma quantia específica de dinheiro ou os dados serão vazados – um cenário que também levaria a multas incapacitantes.
Uma empresa hackeada terá uma escolha neste momento. Acalme o(s) criminoso(s) ou informe o ICO (Information Commissioner's Office) sobre a violação de dados, de acordo com os requisitos do GDPR.
Os cibercriminosos sabem que muitas empresas optarão por pagar aos hackers em vez de enfrentar multas ainda maiores do GDPR. Além disso, na tentativa de evitar protestos públicos, os líderes empresariais muitas vezes pagam um cibercriminoso e tentam manter os cidadãos da UE no escuro sobre a violação de dados.
Resista aos cibercriminosos
Apesar da tentação de pagar um hacker, uma empresa que foi vítima de um crime cibernético deve se manter firme em vez de negociar com criminosos. O melhor curso de ação é informar a ICO sobre a violação e trabalhar com eles para mitigar os danos. Por quê? Há pelo menos quatro razões.
- Não há garantia de que os hackers cumprirão sua parte no acordo e darão à empresa vitimada o controle de seus dados.
- Pagar os hackers os encoraja a voltar e extorquir a mesma empresa mais uma vez.
- Ceder aos cibercriminosos os encoraja a continuar desenvolvendo tecnologias avançadas para chantagear ainda mais empresas em todo o mundo.
- Há uma razão ética para resistir aos cibercriminosos. As pessoas merecem saber quando seus dados pessoais foram acessados ilegalmente.
Corrija todo o seu ambiente de TI
A melhor proteção contra a extorsão do GDPR é impedir que hackers entrem em seu sistema. Os cibercriminosos estão sempre à procura de empresas com dispositivos não corrigidos e vulneráveis, e por boas razões. Mesmo empresas tão grandes quanto a Equifax foram invadidas por causa de servidores sem patches.
Patching é o reparo de pontos fracos do sistema que foram descobertos depois que o hardware e o software já foram lançados. Parece bastante simples, mas o processo é assustador e complexo.
Pense em todos os componentes que precisam ser corrigidos. Servidores e roteadores, sistemas operacionais, aplicativos, clientes de e-mail, desktops e laptops, dispositivos móveis, firewalls, suítes de escritório e muito mais. E como qualquer profissional de TI vai concordar, apenas servidores de uma empresa só pode se transformar em uma dor de cabeça patching.