A proteção de dados vem em primeiro lugar: como o tribunal multou a Gemotest por vazar 300 GB de dados de clientes

O recente incidente com o vazamento de dados pessoais (e provavelmente não apenas pessoais, mas também dados médicos) no Hemotest, um dos maiores laboratórios médicos da Rússia, tornou-se um exemplo alto e instrutivo de problemas no campo da proteção de dados pessoais e , em geral, como teste decisivo, identificou problemas totais no setor de TI da Rússia. Os acontecimentos se desenrolaram como um cenário de suspense cibernético, em que um “ataque de hacker” (minha opinião era que não era um hacker, mas apenas um estudante que não tinha nada melhor para fazer) levou ao roubo de 300 GB de dados , afetando as informações pessoais de milhões de clientes. Esse precedente não apenas destacou vulnerabilidades nos sistemas de segurança da informação, mas também se tornou motivo de graves processos judiciais, que terminaram com multa de 60 mil rublos para o Hemotest. Uma multa tão escassa é simplesmente motivo de chacota. O mesmo que 250 rublos por exceder o limite de velocidade em 40 km/h (tarifa de alta velocidade).

Este caso demonstra claramente que hoje as questões de proteção de dados pessoais estão ganhando destaque e o Estado começa a exigir com mais rigor o cumprimento das normas legais. Em particular, a Lei Federal nº 152-FZ, que regulamenta o armazenamento e tratamento de dados pessoais, está se tornando não apenas um documento formal, mas também uma ferramenta para garantir a segurança dos cidadãos na esfera digital. O aumento do controlo governamental nesta área não só aumenta a responsabilidade das empresas pela protecção fiável dos dados recolhidos, mas também enfatiza a necessidade de implementar tecnologias de segurança modernas e eficazes.

Histórico de vazamento de dados em "Hemotest"

O incidente do Hemotest atraiu a atenção não só pela sua escala, mas também pelas suas circunstâncias. O vazamento de dados atingiu surpreendentes 300 GB, afetando as informações pessoais de milhões de clientes: mais de 30 milhões de linhas com dados pessoais e 554 milhões de linhas de pedidos com dados: nomes completos, datas de nascimento, endereços residenciais, números de telefone, e-mails, dados do passaporte e conteúdo do pedido.

A Gemotest lançou rapidamente uma investigação interna para descobrir exatamente como o ataque foi realizado e para estabelecer o volume de dados vazados. A empresa também anunciou sua própria estimativa da escala do vazamento, dizendo que foi menor do que o relatado originalmente. Isto enfatiza que a Hemotest leva o incidente a sério e se esforça para minimizar suas consequências.

Consequências legais para o Hemotest

O caso do “Hemotest” transformou-se em grave questão jurídica, cujo resultado foi a aplicação de medidas administrativas. O Tribunal de Magistrados de Moscou decidiu multar a empresa em 60 mil rublos. A multa foi imposta de acordo com a Parte 1 do Artigo 13.11 do Código de Ofensas Administrativas da Federação Russa (CAO RF), que regulamenta as violações no domínio do processamento de dados pessoais. O tribunal concluiu que a Gemotest não forneceu proteção adequada às informações dos clientes, o que levou ao seu vazamento. E na minha opinião, ninguém tentou fazer nada para se proteger. Eles apenas fizeram com que fosse confortável trabalhar sem se preocupar com a proteção de dados. O chefe do departamento de TI não seguiu nenhuma instrução das regras (minha opinião) e geralmente não se importou com suas funções porque o principal objetivo de qualquer funcionário da equipe é fazer o mínimo de trabalho, apenas com o propósito de “Reportar ao chefe” (chamo isso de “fraude”, em nossa época parece ambíguo, mas essa ambiguidade de alguma forma se encaixa muito bem neste caso).

Além disso, o tribunal condenou o próprio hacker a 1,5 anos de restrição de liberdade por roubar dados de clientes da Gemotest. Ele invadiu o sistema através de um site remoto de televisão corporativa. Mas quem deu acesso a ele ainda não está claro. Ao mesmo tempo, como presumo, houve a habitual negligência do departamento de TI, ou mesmo um vazamento deliberado de informações por parte de um funcionário ofendido que pediu demissão ou mesmo trabalhava naquele momento. E, em geral, o facto de isto se ter tornado tecnicamente possível sugere que a infra-estrutura de TI foi construída extremamente mal e aqui a primeira pessoa que deveria ser responsável é o director de TI (e não um aspirante a hacker). E o chefe da empresa (diretor geral conforme estatuto) deve ser responsável pelo fato de ter contratado funcionários para a empresa e atribuído tarefas ao departamento de TI.

Esta decisão é significativa, destacando a gravidade das violações da proteção de dados. A Lei Federal nº 152-FZ, conhecida como lei de dados pessoais, impõe requisitos rígidos para o processamento, armazenamento e proteção dessas informações. Em caso de descumprimento dessas normas, as empresas poderão enfrentar responsabilidades administrativas, que incluem multas significativas.

As principais disposições da Lei Federal 152 incluem:

  • Consentimento para processamento de dados: A lei exige a obtenção do consentimento dos titulares dos dados para o seu tratamento, salvo nos casos previstos na lei.
  • Obrigação de proteção de dados: As organizações são obrigadas a tomar todas as medidas necessárias para proteger os dados pessoais contra acesso não autorizado, destruição, modificação, bloqueio, cópia ou distribuição.
  • Notificação Roskomnadzor: As organizações devem notificar Roskomnadzor sobre suas atividades relacionadas ao processamento de dados pessoais.
  • Responsabilidade pelas violações: Por violação da lei, são previstas sanções administrativas e criminais.

Como minha experiência e desenvolvimentos ajudam a oferecer uma solução eficaz e econômica:

  • Compreender as necessidades únicas de cada cliente: A abordagem consiste em uma análise minuciosa das especificidades das atividades do cliente para desenvolver soluções individuais.
  • Integração de tecnologias avançadas: Utilizamos os mais recentes avanços em proteção de dados, incluindo inteligência artificial e aprendizagem automática para fornecer uma proteção mais eficaz.
  • Otimização de custos: minha abordagem visa oferecer soluções que não sejam apenas eficazes, mas também econômicas, ajudando os clientes a reduzir seus custos gerais de segurança de TI em particular e de TI em geral.
  • Treinamento e suporte ao cliente: oferecemos programas abrangentes de treinamento e suporte para garantir que nossos clientes estejam totalmente informados sobre as melhores práticas em proteção de dados.

Tendo em conta as tendências atuais e os requisitos legais, a nossa empresa esforça-se por oferecer soluções que não só proporcionem um elevado nível de proteção de dados, mas também atendam às necessidades económicas e operacionais dos clientes.

O exemplo do Hemotest e os procedimentos legais subsequentes demonstram claramente a importância do cumprimento estrito das leis de dados pessoais. Num mundo digital em constante evolução e com ameaças crescentes à segurança cibernética, a proteção de dados não é apenas uma obrigação legal, mas também crítica para manter a confiança do cliente e a reputação da empresa.

Exorto todos os leitores envolvidos em questões de segurança da informação e proteção de dados a levarem a sério as tendências atuais e as mudanças legislativas. A abordagem à proteção de dados pessoais deve ser abrangente, combinando tecnologias avançadas, planeamento estratégico e formação contínua dos colaboradores.

Se você tem interesse em melhorar a segurança dos dados da sua empresa, sugiro aproveitar nossa experiência e conhecimento nesta área. Estas são soluções eficazes, económicas e em conformidade com a lei que o ajudarão a garantir a máxima proteção dos dados pessoais e a minimizar os riscos associados às ameaças cibernéticas.

Assine as novidades!

Nós não enviamos spam! Leia nosso política de Privacidadedescobrir mais.

Deixe um comentário

O produto foi adicionado ao carrinho.
0 itens - 0,00 
chat aberto
1
Posso ajudar?
Escaneie o código
Olá 👋
Como posso ajudá-lo?
Este não é um chatbot! As pessoas respondem aqui, então nem sempre instantaneamente 😳
Usamos cookies para oferecer a melhor experiência em nosso site. Ao continuar a usar este site, você concorda com o uso de cookies.
Aceitar
Recusar
Política de Privacidade