Pandemi dan peraturan General Data Protection Regulation (GDPR) telah meningkatkan risiko litigasi yang disebabkan oleh pelanggaran data dan masalah keamanan siber dalam beberapa tahun terakhir. Serangan siber semakin meningkat dalam jumlah dan kecanggihan seiring dengan meningkatnya ketergantungan bisnis pada teknologi dan kerja jarak jauh menjadi norma.
Menurut laporan pemerintah Inggris, dua dari lima bisnis di Inggris mengalami serangan siber dalam 12 bulan hingga Maret 2021, dengan biaya rata-rata £13.400 per pelanggaran data untuk perusahaan menengah dan besar.
Jalur litigasi bagi mereka yang mengajukan klaim pelanggaran data melalui pengadilan juga telah berkembang, dengan tindakan kolektif yang mendapatkan momentum di Eropa baru-baru ini. Jumlah tindakan kolektif meningkat sebesar 120 persen antara 2018 dan 2020 seiring dengan munculnya kerangka hukum baru, dengan klaim pelanggaran data terhadap Facebook dan TikTok yang diajukan di Belanda dan terhadap Google dan British Airways di Inggris. Perkembangan ini diperkirakan akan terus berlanjut seiring negara-negara anggota UE mengimplementasikan Direktif Tindakan Perwakilan UE pada akhir 2022.
Sebuah survei terbaru yang dilakukan oleh Alvarez & Marsal dan Legal Business menunjukkan bahwa pengacara perusahaan menyadari perkembangan ini. Faktanya, 85 persen pengacara internal yang diwawancarai mengatakan bahwa pelanggaran data adalah area yang paling mungkin memicu tindakan kolektif atau litigasi kelompok.
Selain itu, sektor teknologi dan telekomunikasi dianggap sebagai sektor yang paling rentan terhadap klaim semacam itu, diikuti oleh jasa keuangan dan pariwisata. Responden juga mengharapkan pertumbuhan pesat dalam pendanaan litigasi pihak ketiga untuk mendukung peningkatan kasus.
Peningkatan tindakan kolektif yang diperkirakan sangat menonjol mengingat keputusan Mahkamah Agung dalam kasus Lloyd v Google, yang memenangkan perusahaan teknologi tersebut pada November tahun lalu. Kasus penting ini menilai apakah tindakan kelompok perwakilan dapat dilanjutkan terhadap Google atas pelanggaran undang-undang privasi. Meskipun keputusan ini mungkin disambut baik oleh banyak bisnis, itu tidak berarti bahwa pintu untuk tindakan kolektif pelanggaran data telah sepenuhnya tertutup. Faktanya, putusan tersebut mengklarifikasi poin penting tentang tindakan perwakilan dan menunjukkan formulasi klaim lain yang akan berhasil.
Alasan bagi bisnis untuk waspada terhadap risiko litigasi keamanan data mereka adalah skala dan cakupan ancaman yang terus berkembang. Kasus ransomware, khususnya, telah meningkat sejak pandemi, dengan para kriminal memperluas target mereka untuk mencakup perusahaan di sektor-sektor yang beragam seperti manufaktur makanan dan operasi bandara. Di AS, beberapa gugatan tindakan kolektif sudah bermunculan setelah serangan ransomware profil tinggi.
Hubungan dengan pihak ketiga juga memberikan lahan subur bagi serangan siber, dengan peningkatan nyata dalam pelanggaran yang terjadi melalui rantai pasokan perangkat lunak perusahaan. Dan untuk memperburuk keadaan, ada kekhawatiran yang semakin besar tentang potensi dampak keamanan siber akibat konflik di Ukraina.
Meskipun pelanggaran keamanan siber dapat dilihat sebagai hal yang hampir tak terelakkan dalam skenario yang berubah cepat ini, ada langkah-langkah proaktif yang dapat diambil bisnis untuk mengurangi risiko menjadi subjek tindakan kolektif pelanggaran data. Kepatuhan regulasi harus menjadi titik awal bagi setiap bisnis yang ingin meminimalkan ancaman serangan siber dan litigasi kelompok yang mungkin timbul. Namun, memiliki sistem yang sesuai dengan GDPR saja tidak cukup.
Untuk tetap berada di depan ancaman yang terus berkembang saat ini, perusahaan perlu beralih dari pendekatan formalitas ke pendekatan berbasis risiko di mana investasi dan upaya didefinisikan dan diprioritaskan melalui analisis biaya/manfaat.
Ini berarti melindungi informasi kritis sesuai dengan dampak bisnis – finansial, reputasi, dan kepatuhan – yang mungkin terjadi jika kehilangan kerahasiaan, integritas, atau ketersediaan data konsumen.
Kerangka kerja berbasis risiko harus mencakup teknologi, proses, dan aspek organisasi yang diperlukan untuk melindungi data pribadi dan mencegahnya jatuh ke tangan yang salah. Jika pelanggaran memang terjadi, pendekatan yang berfokus pada perusahaan ini akan membantu perusahaan merespons dengan cepat, yang sangat penting untuk membatasi kerusakan dan meminimalkan ruang lingkup litigasi kelompok di masa depan.
Perusahaan harus tetap waspada karena pelanggaran data terus muncul sebagai medan pertempuran baru yang menarik untuk perselisihan. Memasukkan keamanan siber ke dalam manajemen risiko bisnis secara umum adalah cara bagi perusahaan untuk menghadapi tantangan meningkatkan pertahanan siber mereka dan melindungi diri dari klaim tindakan kolektif.
Artikel ini telah diterbitkan oleh Alvarez & Marsal dengan judul As Data Breach Becomes A Battleground for Class Action Litigation, Companies Need to Take A Risk-based Approach to Cybersecurity. Artikel selengkapnya dapat dibaca di sini.