গোপনীয়তা শীর্ষ বীমা উদ্বেগ হিসাবে Ransomware বীট

কর্পোরেট ডিরেক্টর এবং সিকিউরিটি টিমরা সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশনের (এসইসি) নতুন সাইবার সিকিউরিটি রেগুলেশন মেনে চলা নিশ্চিত করার জন্য ঝাঁকুনি দেয়, সুরক্ষিত ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্য (পিআইআই) ভুল ব্যবস্থাপনার কারণে র্যানসমওয়্যার আক্রমণের খরচ প্রতিদ্বন্দ্বিতা করতে পারে বলে দাবি, সাইবার ভাইস প্রেসিডেন্ট ডেভিড অ্যান্ডারসন সতর্ক করেছেন। Woodruff Sawyer-এ দায়বদ্ধতা, একটি জাতীয় বীমা ব্রোকারেজ।

যদিও গোপনীয়তা দাবিগুলি আইনি প্রক্রিয়ার মধ্য দিয়ে তাদের উপায়ে কাজ করতে কয়েক বছর সময় নেয়, "ক্ষতি সাধারণত তিন থেকে পাঁচ বছরের মধ্যে ঠিক ততটাই বিপর্যয়কর হয় যেমন একটি র্যানসমওয়্যার দাবি তিন থেকে পাঁচ দিনের মধ্যে হয়," তিনি বলেছেন।

একটি ইন 2024 মামলার প্রবণতাকে কেন্দ্র করে উপস্থাপনা, ড্যান বার্ক, সিনিয়র ভাইস প্রেসিডেন্ট এবং Woodruff Sawyer-এর জাতীয় সাইবার প্র্যাকটিস লিডার, উল্লেখ করেছেন, "পিক্সেল-ট্র্যাকিং দাবিগুলি বাদীর বারের জন্য সর্বশেষ লক্ষ্য - যথাযথ সম্মতি না নিয়েই স্ক্রিনে পিক্সেলের মাধ্যমে ওয়েবসাইট কার্যকলাপ ট্র্যাকিং কোম্পানিগুলি অনুসরণ করা।"

উডরাফ সোয়ারের সমীক্ষায় 31% সাইবার বীমা আন্ডাররাইটারদের 2024-এর জন্য তাদের শীর্ষ উদ্বেগ হিসাবে গোপনীয়তা বেছে নেওয়ার কারণ এই ধরনের ক্রিয়াকলাপগুলি হতে পারে - উত্তরদাতাদের 63% দ্বারা বেছে নেওয়া র্যানসমওয়্যারের পরেই দ্বিতীয়।

গোপনীয়তা একটি ব্যবসা সমস্যা

জেমস টুপলিন, সিনিয়র ভাইস প্রেসিডেন্ট এবং মোজাইক ইন্স্যুরেন্সের আন্তর্জাতিক সাইবার প্রধান, সম্মত হন যে আন্ডাররাইটাররা এই বছর গোপনীয়তার প্রবণতাগুলিকে আরও ঘনিষ্ঠভাবে দেখবে৷ গোপনীয়তা মামলা আদালতের মাধ্যমে কাজ করতে প্রায়শই পাঁচ থেকে সাত বছর সময় লাগে, তিনি নিশ্চিত করেছেন, যার অর্থ 2024 সালে 2017 থেকে 2019-এর মধ্যে দায়ের করা গোপনীয়তা মামলার চূড়ান্ত পরিণতি দেখতে পাবে - অনেক দেশ এবং মার্কিন যুক্তরাষ্ট্র নতুন গোপনীয়তা আইন পাস করার আগে। উদাহরণস্বরূপ, ইউরোপীয় ইউনিয়নের জেনারেল ডেটা প্রোটেকশন রেগুলেশন (GDPR) 2018 সালে কার্যকর হয়েছে, তাই এই মামলাগুলি প্রাথমিক GDPR লঙ্ঘনের প্রতিনিধিত্ব করে।

বীমাকারীর জন্য, যাইহোক, গোপনীয়তা দাবির জন্য অর্থপ্রদান ততটা বড় নাও হতে পারে কারণ "আন্ডাররাইটারদের তাদের মূলধন নিয়ে খেলার জন্য দীর্ঘ সময় থাকে যখন সেই ক্ষতিগুলি তাদের চূড়ান্ত সমাধানে পরিণত হয়," অ্যান্ডারসন ব্যাখ্যা করেন। এর কারণ হল বীমাকারীরা এসক্রোতে তহবিল ধরে রাখার আগ্রহ ধরে রাখে যখন দাবি আলোচনা এবং মামলার মাধ্যমে তাদের উপায়ে কাজ করে।

যদিও পরিচালনা পর্ষদের সাধারণত গোপনীয়তার বিষয়ে দক্ষ উপদেষ্টা থাকে, বোর্ডগুলি এখনও গোপনীয়তার সমস্যাগুলিকে ব্যবসায়িক বিষয়ের পরিবর্তে আইটি বিষয় হিসাবে ভাবতে থাকে, টুপলিন বলেছেন। রাখছে এসইসিসহ কিছু নিয়ন্ত্রক সংস্থা ক্রসহেয়ারে CISO প্রবিধানগুলির যদিও তারা বাজেট নিয়ন্ত্রণ করে না বা সমস্ত সাইবার নিরাপত্তা সমস্যা সমাধানের ক্ষমতা রাখে না, তিনি যোগ করেন।

গোপনীয়তা আইন ট্র্যাকিং

গোপনীয়তা বোর্ড এবং নিরাপত্তা দলগুলির কাছে চ্যালেঞ্জিং হয়ে ওঠার কারণগুলির মধ্যে হল যে অনেক ক্ষেত্রে, সংস্থাগুলি জানে না যে তারা কী ধরণের ডেটা সংগ্রহ করছে এবং সেই ডেটা কোথায় রয়েছে, শেরি ডেভিডফ, LMG সিকিউরিটির প্রতিষ্ঠাতা এবং সিইও উল্লেখ করেছেন৷ সংস্থাগুলি ডেটা মজুদ করার প্রবণতা রাখে বিপজ্জনক উপাদান হিসাবে বিবেচনা করার পরিবর্তে একটি সম্পদ হিসাবে, তিনি বলেন.

"এটা পারমাণবিক বর্জ্যের মতো," সে বলে। "আপনার যত বেশি ডেটা থাকবে, তত বেশি ঝুঁকি থাকবে।"

এন্টারপ্রাইজগুলিকে ডেটা নির্মূল করার আরও ভাল কাজ করতে হবে — PII, বিশেষ করে — যা একটি ট্রিগার করতে পারে নিয়ন্ত্রক বা আইনি লঙ্ঘন তথ্য ভুল হাতে পড়া উচিত. যদিও নিরাপত্তা পন্ডিত হয়েছে বছরের পর বছর ধরে কোম্পানিগুলোকে বলছে তাদের জানা দরকার যে তাদের কাছে কোন ডেটা আছে এবং এটি কোথায় অবস্থিত, অনেক কোম্পানি, যাদের মধ্যে কঠোর নিয়ন্ত্রক তদারকির বিষয় রয়েছে, প্রায়ই তাদের সমস্ত ডেটার অবস্থানগুলিকে শ্রেণীবদ্ধ করা এবং চিহ্নিত করার ক্ষেত্রে একটি খারাপ কাজ করে, তিনি বলেন।

আরও একটি বড় চ্যালেঞ্জ যা অনেক সংস্থার মুখোমুখি হয় তা হল তারা গোপনীয়তা আইন এবং তাদের ধারণ করা ডেটার নিয়ন্ত্রক প্রয়োজনীয়তাগুলি ট্র্যাক করে না। বোঝা মার্কিন তথ্য গোপনীয়তা আইন ল্যান্ডস্কেপ যথেষ্ট কঠিন, কিন্তু যখন কেউ এটি প্রায় বিবেচনা করে তখন এটি আরও চ্যালেঞ্জিং হয়ে ওঠে প্রতিটি রাজ্যের অনন্য আইন আছে স্বাস্থ্য রেকর্ড এবং শিশুদের ডেটা নিয়ে বিশেষভাবে কাজ করা। উপরন্তু, ইউরোপীয় ইউনিয়নের নাগরিকদের উপর PII আছে এমন সংস্থাগুলিও অবশ্যই জিডিপিআর সঙ্গে মেনে চলুন. অন্যান্য দেশে ব্যবসা করছে এমন প্রতিটি দেশে যেখানে একটি কোম্পানি ব্যবসা করে তারা সেই গোপনীয়তা আইনগুলি মেনে চলে তা নিশ্চিত করার জন্য আইনী পরামর্শের প্রয়োজন।

ছোট ত্রুটি = বড় ক্ষতি

অনেক কোম্পানি মনে করে যে তারা যদি বিভিন্ন কমপ্লায়েন্স রেগুলেশন মেনে চলে, রাষ্ট্রীয় আইন মেনে চলে এবং সাইবার ইন্স্যুরেন্স থাকে, তাহলে তারা সব ঠিক আছে।
"এটি আসলে যথেষ্ট নয়," বলেছেন মিশেল শ্যাপ, যিনি আইন ফার্ম চিয়েসা শাহিনিয়ান অ্যান্ড জিয়ানটোমাসি (সিএসজি আইন) এর গোপনীয়তা এবং ডেটা সুরক্ষা অনুশীলনের নেতৃত্ব দেন৷ "যদিও এটি একটি ভোক্তার মামলা বা অ্যাটর্নি জেনারেলদের থেকে আইনি পদক্ষেপ বা আপোসকৃত সত্তার বিরুদ্ধে অন্য প্রয়োগকারী সংস্থার পদক্ষেপ থেকে রক্ষা করার জন্য যথেষ্ট হতে পারে, তবে অন্যান্য বিবেচনা রয়েছে।"

যা একটি ছোটখাট লঙ্ঘনের মতো মনে হতে পারে - যেমন পোস্ট করা গোপনীয়তা নীতি সম্পূর্ণরূপে অনুসরণ না করা - একাধিক নিয়ন্ত্রক লঙ্ঘন জরিমানা ট্রিগার করতে পারে।

"এটি একটি প্রতারণামূলক বাণিজ্য অনুশীলন," Schaap বলেছেন। “যদি আপনি বলছেন যে আপনি X করছেন এবং বাস্তবে আপনি তা করছেন না, তাহলে এটি FTC দাবির প্রথম গণনা হয়ে ওঠে। প্রতিটি রাজ্যের নিজস্ব ছোট এফটিসি আইন বা ভোক্তা সুরক্ষা আইন রয়েছে।"

কর্পোরেট নিরাপত্তা দলগুলি উপেক্ষা করতে পারে কিন্তু যা একটি সম্মতি বা আইনি লঙ্ঘন তৈরি করতে পারে তা একটি ছোটখাট লঙ্ঘন বলে মনে হতে পারে তার আরেকটি উদাহরণ হল একটি সহজ অপ্ট-আউট অনুরোধ। যখন একজন ভোক্তা একটি কোম্পানিকে একটি মেইলিং তালিকা থেকে সরিয়ে নেওয়ার জন্য অনুরোধ করে, তখন অনুরোধটি সমস্ত রাষ্ট্রীয় আইন মেনে চলার জন্য অনুরোধকারীর ব্যবহার করা সমস্ত ইমেল ঠিকানাগুলিকে কভার করতে হবে। এইভাবে, এমনকি যদি একটি কোম্পানি বলে যে এটি আইনের সাথে সঙ্গতিপূর্ণ, এটি যে সমস্ত রাজ্যে কাজ করে তার জন্য এটি সম্মত নাও হতে পারে। গোপনীয়তা আইনের সাথে তার আনুগত্য ভুল করা একটি বীমা দাবি অস্বীকারের কারণ হতে পারে।

এই কমপ্লায়েন্স ছিদ্রগুলির মধ্যে কিছু পূরণ করার জন্য যা তারা হয়তো জানেও না, Schaap সুপারিশ করে যে কোম্পানিগুলি তাদের সাইবার বীমা প্রদানকারী যেকোন সাহায্যের সদ্ব্যবহার করে, যেমন নিরাপত্তা ট্যাবলেটপ এবং অন্যান্য ব্যায়াম, প্রবিধানের ডানদিকে থাকতে এবং তাদের নীতিগুলি ভাল রাখতে। স্থির

এটা শুধু তাত্ত্বিক নয়। 2022 সালে, একটি কোম্পানি তার মাল্টিফ্যাক্টর প্রমাণীকরণের ব্যবহার ভুল করেছে বীমা আবেদন প্রশ্নাবলী সাইবার বীমা ক্যারিয়ার, ট্রাভেলার্স, কোম্পানির বিরুদ্ধে মামলা করেছে, শেষ পর্যন্ত সাইবার বীমা পলিসি বাতিল করা সত্ত্বেও কোম্পানি প্রদত্ত প্রিমিয়াম রেখে দিয়েছে — এবং দাবি অস্বীকার করেছে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance