Aviso: “Extorsão GDPR” pode prejudicar seu negócio, veja o que fazer!

Publicados: 2019-01-12

A maioria dos líderes empresariais sediados nos EUA está pelo menos um pouco familiarizada com o GDPR (Regulamento Geral de Proteção de Dados da UE). . Também provavelmente levará a um novo e caro crime cibernético: “extorsão GDPR”.

Como os regulamentos de dados baseados na UE afetarão as empresas nos EUA? O que é extorsão GDPR? Como as empresas podem se proteger? Estas são as questões que vou abordar neste artigo.



GDPR em poucas palavras

Como o conjunto mais abrangente de regulamentos de segurança de dados da história (99 artigos organizados em 11 capítulos, para ser exato), o GDPR está levantando sobrancelhas e ansiedades em todo o mundo.

Isso porque a captura de dados de clientes ajuda empresas de todos os setores a melhorar o marketing, as vendas, o atendimento ao cliente e muitos outros esforços. Agora, graças ao GDPR, as empresas precisam coletar dados com muito mais cuidado.

O GDPR oferece aos cidadãos da UE algo que não existe nos EUA: o direito à privacidade de dados pessoais. Que tipos de regulamentos estão incluídos neste conjunto de leis? Embora o GDPR fique bastante complexo, aqui está um breve resumo.

O direito de um cidadão da UE à privacidade dos dados agora supera o interesse das empresas em coletar seus dados. Portanto, de acordo com o GDPR, cada cidadão da UE tem:

  • O direito de escolher se permite ou não que seus dados sejam coletados
  • O direito de ver todos os dados que foram coletados sobre eles
  • “O direito de ser esquecido”, o que significa que seus dados devem ser removidos da lista do Google e de outros mecanismos de pesquisa mediante solicitação
  • E finalmente – o direito que deu origem ao fenômeno de extorsão GDPR, que é o direito de ser informado sobre violações de dados dentro de 72 horas (como violações resultantes de hackers)

Como o GDPR afeta as empresas dos EUA?

Antes de mergulhar no que é extorsão GDPR, devo enfatizar por que as empresas dos EUA não estão claras aqui.

Se sua empresa sediada nos EUA oferece serviços a cidadãos da UE ou coleta dados pessoais sobre cidadãos da UE, você deve cumprir os regulamentos do GDPR. Algumas das indústrias dos EUA com maior probabilidade de se enquadrar no GDPR incluem viagens, hospitalidade, SaaS e comércio eletrônico. No entanto, qualquer empresa sediada nos EUA com mercado na UE deve se preparar para atender aos requisitos.

Quais são as consequências de não cumprir os requisitos do GDPR? As multas podem chegar a € 20 milhões (US$ 22,7 milhões), embora ainda não esteja claro como esses pagamentos da UE serão aplicados nos EUA.

Mas as consequências de não cumprir o GDPR vão muito além das taxas debilitantes. As empresas com uma grande base de clientes da UE também podem perder a sua reputação num mercado de mais de 510 milhões de pessoas.

Com a ameaça de pagamentos de oito dígitos por um lado e a possibilidade de sacrificar a confiança do cliente da UE por outro, muitas empresas dos EUA não têm escolha a não ser reformular sua estrutura de gerenciamento de dados para cumprir o GDPR.

Extorsão GDPR

Como se as consequências acentuadas associadas ao não cumprimento do GDPR não fossem preocupantes o suficiente, os líderes empresariais da UE e dos EUA têm mais um motivo para perder o sono: “extorsão do GDPR”.

A corrida louca de executivos que estão lutando para se preparar para o GDPR está criando uma tempestade perfeita para os cibercriminosos. Se uma empresa não estiver em conformidade com o GDPR e se seus dispositivos não estiverem corrigidos e desprotegidos, um hacker pode obter acesso aos dados da empresa e fazer um ultimato ameaçador: pague ao hacker uma quantia específica de dinheiro ou os dados serão vazados – um cenário que também levaria a multas incapacitantes.

Uma empresa hackeada terá uma escolha neste momento. Acalme o(s) criminoso(s) ou informe o ICO (Information Commissioner's Office) sobre a violação de dados, de acordo com os requisitos do GDPR.

Os cibercriminosos sabem que muitas empresas optarão por pagar aos hackers em vez de enfrentar multas ainda maiores do GDPR. Além disso, na tentativa de evitar protestos públicos, os líderes empresariais muitas vezes pagam um cibercriminoso e tentam manter os cidadãos da UE no escuro sobre a violação de dados.

Resista aos cibercriminosos

Apesar da tentação de pagar um hacker, uma empresa que foi vítima de um crime cibernético deve se manter firme em vez de negociar com criminosos. O melhor curso de ação é informar a ICO sobre a violação e trabalhar com eles para mitigar os danos. Por quê? Há pelo menos quatro razões.

  1. Não há garantia de que os hackers cumprirão sua parte no acordo e darão à empresa vitimada o controle de seus dados.
  2. Pagar os hackers os encoraja a voltar e extorquir a mesma empresa mais uma vez.
  3. Ceder aos cibercriminosos os encoraja a continuar desenvolvendo tecnologias avançadas para chantagear ainda mais empresas em todo o mundo.
  4. Há uma razão ética para resistir aos cibercriminosos. As pessoas merecem saber quando seus dados pessoais foram acessados ​​ilegalmente.

Corrija todo o seu ambiente de TI

A melhor proteção contra a extorsão do GDPR é impedir que hackers entrem em seu sistema. Os cibercriminosos estão sempre à procura de empresas com dispositivos não corrigidos e vulneráveis, e por boas razões. Mesmo empresas tão grandes quanto a Equifax foram invadidas por causa de servidores sem patches.

Patching é o reparo de pontos fracos do sistema que foram descobertos depois que o hardware e o software já foram lançados. Parece bastante simples, mas o processo é assustador e complexo.

Pense em todos os componentes que precisam ser corrigidos. Servidores e roteadores, sistemas operacionais, aplicativos, clientes de e-mail, desktops e laptops, dispositivos móveis, firewalls, suítes de escritório e muito mais. E como qualquer profissional de TI vai concordar, apenas servidores de uma empresa pode se transformar em uma dor de cabeça patching.


Por exemplo, é comum que uma empresa execute dois ou mais sistemas operacionais de servidor, como Linux e Windows. Além disso, muitas empresas executam várias versões desses sistemas operacionais, incluindo várias distribuições Linux.

Devido à complexidade envolvida e com tantos componentes que podem se tornar janelas abertas para os cibercriminosos, as empresas inteligentes implementam um processo de gerenciamento de patches para acompanhar tudo automaticamente. O Cloud Management Suite, por exemplo, permite que os gerentes de TI corrijam continuamente todos os dispositivos e pacotes de software que sua empresa usa, independentemente de seus sistemas operacionais.

Eduque seus funcionários

Como muitos hackers obtêm acesso a grandes quantidades de dados pessoais de clientes simplesmente enganando os funcionários, é crucial educar sua equipe sobre métodos cibercriminosos. Uma “engenharia social” obrigatória deve ser realizada para funcionários e executivos. Alguns tópicos importantes para alertar os funcionários incluem:

  • Engenharia social clássica, como quando alguém liga para um funcionário alegando ser da TI e pede senhas ou outras informações confidenciais
  • Engenharia social de oportunidade, como quando um cibercriminoso coloca um USB carregado de malware em um estacionamento e espera que um funcionário o encontre e o use
  • Phishing de e-mail, envolvendo e-mails que parecem legítimos, mas na verdade contêm links fraudulentos ou malware

Também é útil educar os funcionários sobre o GDPR e a extorsão do GDPR. Tornar-se compatível com o GDPR (discutido a seguir) pode ser um processo trabalhoso, portanto, quanto mais conhecimento sua equipe tiver sobre sua importância, melhor.

Torne-se compatível com GDPR

Além de negar o acesso de hackers aos dados confidenciais de uma empresa, qualquer empresa com um mercado da UE deve se tornar compatível com o GDPR. Embora o processo seja trabalhoso, vale a pena.

As empresas que dedicam tempo e esforço para cumprir os requisitos do GDPR provam à Comissão Europeia e a outros órgãos competentes que se preocupam com os direitos de privacidade dos cidadãos da UE. Esses esforços provavelmente minimizarão quaisquer taxas impostas ou outras consequências de uma violação de dados.

Empresas honestas que trabalham em prol da conformidade acham mais fácil conquistar seu mercado. Seja nos EUA ou na UE, os consumidores valorizam a honestidade.

As empresas que fazem tudo ao seu alcance para atender às regulamentações globais e operam de forma transparente são rápidas em obter uma vantagem competitiva.

Imagem: Shutterstock