quinta-feira, junho 08, 2017

Empresas obrigadas a comunicar ataques informáticos - 2ª parte

Também não é incomum que exista informação comum, como dados de acesso, e que o facto de estes terem sido comprometidos numa dada plataforma pode permitir o acesso indevido noutra, algo que não aconteceria caso o ataque e suas consequências tivessem sido imediatamente divulgados, levando os detentores das contas a adoptar medidas de segurança, como a alteração de códigos de acesso.

Nem todas as organizações detectam um ataque, mas, tendo conhecimento e optando por não o divulgar, sobretudo se bem sucedido, o controle de danos não é extendido a outras organizações onde se poderão verificar intrusões com base nos dados obtidos e que, caso não existam algoritmos adequados, poderão não se aperceber da ilegitimidade de um acesso que, em tudo, parece inteiramente legítimo.

Não obstante alguns acordos de utilização serem pouco restritivos, nenhuma organização tem um direito de propriedade que lhe permita a divulgação indescriminada e sem destino e fins específicos dos dados que lhe são confiados, e a negligência na protecção de informação, violando a privacidade dos legítimos proprietários dos dados, tem que ser enquadrado não apenas no âmbito civil, mas também do ponto de vista criminal.

Consideramos que existe a obrigação de cada instituição de proteger de forma adequada os dados que aloja e que, caso suspeite que estes possam ter sido expostos, tem a obrigação de alertar imediatamente não apenas as entidades competentes, mas quem possa ter sido afectado, com obrigatoriedade de assumir a responsabilidade pelos prejuízos decorrentes de uma falha de segurança, mesmo que esta resulte de um ataque.

Sem comentários: