A Agência Espanhola de Proteção de Dados (AEPD) arquivou a investigação do ataque cibernético sofrido pela MAPFRE no mês de agosto do ano passado, destacando o desempenho diligente da empresa, bem como sua transparência na divulgação do ataque.

A AEPD enfatizou, em especial, que o impacto em termos de volume de dados violados “tem sido quase nulo” já que as “tentativas de exfiltração (extração de dados) foram identificadas e evitadas. Isso, somado à velocidade com que o ataque cibernético foi divulgado, permitiu a ação efetiva de clientes, trabalhadores, colaboradores e fornecedores, minimizando seus efeitos”. Salientou-se ainda que não foram apresentadas reclamações por terceiros à Agência Espanhola de Proteção de Dados.

A investigação do incidente constatou que a MAPFRE “dispôs de medidas técnicas e organizacionais razoáveis para prevenir esse tipo de incidente, o que permitiu a rápida identificação, análise e classificação da violação de segurança…”.

Além disso, a Agência qualificou a reação da MAPFRE ao incidente como “diligente” e destacou a rapidez com a qual a empresa notificou o Instituto Nacional de Segurança Cibernética (INCIBE), o Centro Nacional de Criptologia (CCN-CERT) a Guarda Civil e a própria Agência sobre a evolução de tal situação. “A rápida comunicação realizada pela MAPFRE com seus clientes, colaboradores, fornecedores e funcionários permitiu uma reação eficaz contra o ataque”, concluiu a diretora da Agência em sua resolução, que também destacou o trabalho de transparência, um vez que o ataque também foi comunicado às equipes de segurança dos principais parceiros de negócios.

A investigação da Agência de Proteção de Dados relatou a sucessão de fatos ocorridos desde a detecção do ataque cibernético e como a MAPFRE atuou de maneira diligente e rápida, ativando todos os protocolos, comitês de crise e planos de continuidade do negócio para conter e evitar a propagação do ataque, enquanto as medidas de segurança foram reforçadas, não só na Espanha, mas também em outros países.

Em pouco tempo, foi possível restabelecer o atendimento aos clientes, mas mesmo assim, até alguns dias depois, a qualidade na prestação de todos os seus serviços não foi a usual. Por isso, a MAPFRE decidiu indenizar todos os clientes afetados pelo incidente.

A MAPFRE continua trabalhando para fortalecer suas medidas de segurança e aumentar o nível de controle a fim de proteger o negócio e os dados de seus clientes.

Confira aqui a resolução da AEPD.