As organizações estão cada vez mais sendo responsabilizadas pelas violações dos dados dos funcionários. Mas os empregadores podem tomar medidas para mitigar a probabilidade e o impacto das violações.
Qualquer organização que use um sistema eletrônico de folha de pagamento e benefícios armazena e processa dados confidenciais dos funcionários. Isso abrange praticamente todas as organizações em operação atualmente. Há muitos riscos relacionados a um ataque cibernético que comprometa os dados dos funcionários, incluindo responsabilidade legal, interrupção de negócios e danos à reputação.
O que é a responsabilidade do empregador?
A responsabilidade do empregador é a responsabilidade legal de uma organização de aderir às leis e regulamentos. A responsabilidade do empregador normalmente se aplica a questões como salários, impostos sobre a folha de pagamento, assédio e discriminação.
Por exemplo, os funcionários podem processar seu empregador se a organização promover um ambiente de trabalho inseguro ou hostil. A empresa teria que pagar indenizações se a justiça decidir a favor dos funcionários.
Qual é a responsabilidade do empregador pela segurança cibernética?
Quando se trata de segurança cibernética, a responsabilidade do empregador obriga uma organização a proteger as informações de identificação pessoal (PII, Personally Identifiable Information) dos funcionários. O significado exato de PII varia de uma jurisdição para outra. Geralmente é útil pensar nas PII dos funcionários como dados que as equipes de RH e contabilidade gerenciam.
Os tipos comuns de PII dos funcionários incluem:
- Número de beneficiário do serviço social (INSS)
- Carteira de motorista
- Passaporte
- Cadastro de Pessoa Física (CPF)
- Endereços
- Informações financeiras pessoais (como salário ou capital), contas bancárias e cartões de crédito/débito
- Registros médicos
- Endereços de e-mail e números de telefone
Arena crescente da responsabilidade do empregador
Muito do que se qualifica como PII dos funcionários é o mesmo que PII do cliente. Até recentemente, muitos dos processos movidos contra organizações após uma violação de dados se concentravam na divulgação de dados de clientes.
No entanto, ações judiciais de classes que alegam que os empregadores foram negligentes, violaram um contrato ou se envolveram em práticas de negócios injustas com seus funcionários estão ganhando apoio nos tribunais, colocando os empregadores em risco. Desde que a Suprema Corte da Pensilvânia determinou, em novembro de 2018, que os empregadores têm o dever de proteger as PIIs dos funcionários, os tribunais nos níveis federal, estadual e local seguiram o exemplo.
É importante ressaltar que os empregadores são imputáveis quando há uma violação dos dados dos funcionários, e não de provedores terceirizados.
Em um processo movido por um ex-funcionário de uma empresa biofarmacêutica, a Corte de Apelações dos Estados Unidos concluiu que, para um empregador ser responsabilizado, bastaria que a violação de dados representasse um dano potencial. Quando o software de folha de pagamento da empresa de biofarmacêutica vazou dados em uma violação, o empregador foi responsabilizado pela publicação dos dados dos funcionários na dark web, e não na empresa de software.
Privacidade dos dados dos funcionários
Regulamentos de privacidade de dados padronizados, como a Lei de Privacidade do Consumidor da Califórnia (CCPA) e o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, também têm disposições que exigem que os empregadores protejam a privacidade dos dados dos funcionários de forma tão rigorosa quanto os dados dos clientes.
Nos termos da RGPD, as organizações devem obter o consentimento voluntário e claro para coletar, armazenar e usar dados dos funcionários. Eles devem descrever como os dados de RH serão usados, por exemplo.
Qual é a responsabilidade do empregador após um ataque cibernético?
O CommonSpirit Health, um dos maiores sistemas de saúde dos Estados Unidos, sofreu um ataque de ransomware em outubro de 2022, afetando mais de 623 mil pessoas. A rede hospitalar desativou o sistema afetado para evitar mais danos ao seu ambiente de TI, incluindo seu sistema de cronometragem e folha de pagamento. A empresa perdeu US$ 150 milhões em receita com a interrupção.
Depois que a empresa restaurou eventualmente o serviço de seus sistemas, os profissionais de enfermagem de algumas filiais em Oregon relataram terem recebido um salário menor do que o devido após o ataque. Em um processo em andamento, o sindicato que representa os funcionários de alguns dos locais da rede em Oregon está pleiteando US$ 1,5 milhão em danos para mais de 600 funcionários relacionados a salários não pagos, penalidades de pagamento por atraso e outros danos.
Embora esse processo busque reparação de salários não pagos, outros processos contra funcionários pediram indenização relacionada ao risco maior ou à ocorrência de roubo de identidade contra funcionários que tiveram seus dados violados em um ataque.
Processos recentes notáveis que alegaram a responsabilidade do empregador após um ataque cibernético incluem:
-
Five Guys — divulgação dos números de segurança social e das carteiras de motorista dos candidatos a emprego
-
San Francisco 49ers — roubo de nomes de funcionários, datas de nascimento e números de segurança social
-
Macmillan — o ataque de ransomware resultou na publicação de dados dos funcionários na dark web e no roubo de identidade
O impacto nos negócios de um ataque cibernético
Assim como na violação do CommonSpirit, os ataques cibernéticos afetam as empresas em várias áreas diferentes.
-
Responsabilidade legal — as empresas podem ser responsabilizadas por danos após uma violação de dados dos funcionários. Esses danos podem incluir questões como o preço da substituição de cartões de crédito ou débito, o preço do monitoramento de relatórios ou outros gastos relacionados ao sofrimento emocional decorrente do risco de roubo de identidade.
-
Penalidades regulatórias — as empresas podem enfrentar penalidades regulatórias, incluindo multas pela violação ou pela falha em divulgar a violação às partes afetadas.
-
Consequências na reputação — os gastos podem perturbar gravemente a confiança do cliente e o desempenho dos negócios. Uma imagem pública prejudicada, incluindo com potenciais futuros funcionários, pode comprometer a saúde dos negócios a longo prazo.
-
Interrupção, restauração e revisão de sistemas de TI — embora aconselhadas pelo FBI a não o fazerem, as organizações podem optar por pagar um resgate para restaurar o acesso ao seu ambiente. De qualquer forma, como parte do preço forense de qualquer violação, as empresas provavelmente terão que alterar, substituir ou atualizar os sistemas de TI que processam dados dos funcionários e outros dados confidenciais.
Como reduzir a responsabilidade do empregador no caso de um ataque cibernético
A responsabilidade do empregador e a conformidade com os regulamentos de privacidade adicionam riscos e gastos maiores à já alta despesa de responder a um ataque cibernético.
De acordo com o censo de segurança cibernética dos EUA de 2022 do Keeper, a média de empresas dos EUA enfrenta cerca de três ataques cibernéticos bem-sucedidos a cada ano. O preço médio excede US$ 75 mil, com 37% das organizações pagando US$ 100 mil ou mais por ataque cibernético. Para empresas de pequeno e médio porte, o custo pode ser devastador.
Os empregadores podem reduzir sua responsabilidade por um ataque cibernético aos dados dos funcionários garantindo que eles sejam cobertos das seguintes maneiras:
-
Treinamento de conscientização sobre segurança cibernética — quando os funcionários podem identificar um link ou anexo suspeito, eles podem manter seu empregador longe de problemas. A educação dos funcionários sobre os sinais comuns de phishing ou ransomware protege funcionários e organizações de serem vítimas de ataques.
-
Política de privacidade dos funcionários — em algumas áreas, uma política de privacidade de dados dos funcionários pode ser exigida por lei. As políticas de privacidade de dados dos funcionários explicam como os dados dos funcionários serão coletados, armazenados e usados.
-
Configurar senhas fortes — mais de 80% das violações de dados são devidas a senhas fracas, roubadas ou reutilizadas. Ter uma maneira de criar e armazenar senhas fortes e aleatórias permite que os funcionários evitem a causa mais comum de violações de dados.
-
Gerenciamento de privilégios — uma solução de gerenciamento de privilégios permite que as organizações controlem permissões e monitorem o uso de contas críticas, limitando o risco de acesso não autorizado a informações confidenciais.
-
Segurança do fornecedor — é importante notar que os empregadores são imputáveis por violações de dados quando um fornecedor vaza dados, não os terceiros. Garantir que os fornecedores estejam seguros é fundamental para construir um ambiente forte de TI.
-
Planos de resposta a incidentes — um plano de resposta a incidentes, que atribui a propriedade de atividades críticas, como sistemas forenses, recuperação de dados e comunicações estratégicas, deve mitigar a responsabilidade e o impacto geral de uma violação contra um empregador.
-
Seguro cibernético — o seguro cibernético pode diminuir o impacto de uma violação, ajudando as empresas a mitigar seus riscos e cobrir o preço de sua resposta. Para organizações com baixa maturidade de TI, que correm um risco maior de sofrer uma violação, muitas apólices de seguro cibernético oferecem uma assessoria de prontidão para melhorar as práticas de segurança e os programas de treinamento dos funcionários.
Responsabilidade do empregador e gerenciamento de acesso privilegiado
Os empregadores podem mitigar a responsabilidade e o risco controlando e monitorando o acesso a contas e informações confidenciais.
O Keeper Privileged Access Manager (KeeperPAM) foi criado para proteger ambientes multinuvem e sem perímetro contra ataques cibernéticos. Ao fornecer senhas, segredos e gerenciamento de conexão privilegiado de nível corporativo em uma plataforma simples, o KeeperPAM permite que as organizações reduzam de forma econômica sua superfície de ataque e protejam funcionários e dispositivos.