Privatliv slår ransomware som den største bekymring for forsikring

Mens virksomhedsdirektører og sikkerhedsteam kæmper for at sikre, at de overholder Securities and Exchange Commissions (SEC) nye cybersikkerhedsregler, kan påstande på grund af forkert håndtering af beskyttede personligt identificerbare oplysninger (PII) konkurrere med omkostningerne ved ransomware-angreb, advarer David Anderson, vicepræsident for cyber. ansvar hos Woodruff Sawyer, en national forsikringsmæglervirksomhed.

Mens privatlivskrav tager år at arbejde sig gennem den juridiske proces, "er tab generelt lige så katastrofale i løbet af tre til fem år, som et ransomwarekrav er i løbet af tre til fem dage," siger han.

I en præsentation med fokus på 2024 retssager tendenser, Dan Burke, senior vicepræsident og national cyberpraksisleder hos Woodruff Sawyer, bemærkede, "Pixel-tracking-krav er det seneste mål for sagsøgernes bar - at gå efter virksomheder, der sporer webstedsaktivitet gennem pixels på skærmen uden at indhente korrekt samtykke."

Sådanne aktiviteter kunne være grunden til, at 31 % af cyberforsikringsgarantierne i en Woodruff Sawyer-undersøgelse valgte privatliv som deres største bekymring for 2024 - kun næst efter ransomware, valgt af 63 % af de adspurgte.

Privatliv er et forretningsproblem

James Tuplin, senior vicepræsident og leder af international cyber hos Mosaic Insurance, er enig i, at forsikringsgivere vil se meget nærmere på privatlivstendenser i år. Det tager ofte fem til syv år for retssager om privatliv at arbejde gennem domstolene, bekræfter han, hvilket betyder, at 2024 vil se kulminationen på privatlivssager indgivet i 2017 til 2019 - før mange lande og amerikanske stater begyndte at vedtage nye privatlivslove. For eksempel trådte EU's generelle databeskyttelsesforordning (GDPR) i kraft i 2018, så disse sager repræsenterer indledende GDPR-overtrædelser.

For forsikringsselskabet er udbetalingen for krav om privatlivets fred muligvis ikke så stor, fordi "forsikringsselskaberne har lang tid til at spille med deres kapital, mens disse tab bygger til deres endelige løsning," forklarer Anderson. Det skyldes, at forsikringsselskaberne beholder interessen fra at holde midler i spærret, mens krav fungerer gennem forhandlinger og retssager.

Mens bestyrelser generelt har dygtige rådgivere om privatliv, har bestyrelser stadig en tendens til at tænke på privatlivsspørgsmål som et it-anliggende snarere end et forretningsanliggende, siger Tuplin. Nogle regulatorer, herunder SEC, sætter CISO'er i trådkorset af reguleringer, selvom de ikke kontrollerer budgetterne eller har autoritet til at løse alle cybersikkerhedsproblemer, tilføjer han.

Sporing af privatlivslovgivning

Blandt grundene til, at privatlivets fred er blevet udfordrende for bestyrelser og sikkerhedsteams, er, at organisationer i mange tilfælde ikke ved, hvilken slags data de indsamler, og hvor disse data findes, bemærker Sherri Davidoff, grundlægger og administrerende direktør hos LMG Security. Virksomheder har en tendens til at hamstre data som et aktiv frem for at betragte det som et farligt materiale, siger hun.

"Det er ligesom atomaffald," siger hun. "Jo flere data du har, jo større risiko har du."

Virksomheder skal gøre et bedre stykke arbejde med at eliminere data - især PII - der kan udløse en lovovertrædelser eller lovovertrædelser skulle dataene falde i de forkerte hænder. Mens sikkerhedseksperter har været det fortalt virksomheder i årevis at de har brug for at vide, hvilke data de har, og hvor de er placeret, gør mange virksomheder, herunder dem, der er underlagt strengt regulatorisk tilsyn, ofte et dårligt stykke arbejde med at klassificere og identificere placeringen af ​​alle deres data, siger hun.

En anden stor udfordring, som mange firmaer står over for, er, at de ikke sporer alle privatlivslove og regulatoriske krav til de data, de har. Forståelse af USA's databeskyttelseslovgivning er svært nok, men det bliver mere udfordrende, når man tænker på det næsten hver stat har unikke love beskæftiger sig specifikt med sundhedsjournaler og børns data. Derudover skal organisationer, der har PII om EU-borgere også overholde GDPR. Virksomheder, der driver forretning i andre lande, skal have juridisk rådgivning til at undersøge lovene i alle lande, hvor en virksomhed driver forretning, for at sikre, at de overholder disse love om beskyttelse af personlige oplysninger.

Lille fejl = stort tab

Mange virksomheder tror, ​​at hvis de overholder de forskellige overholdelsesbestemmelser, overholder statens love og har cyberforsikring, så er de alle klar.
"Det er faktisk ikke nok," siger Michelle Schaap, der leder privatlivets fred og datasikkerhedspraksis hos advokatfirmaet Chiesa Shahinian & Giantomasi (CSG Law). "Selvom det kan være tilstrækkeligt at beskytte mod en forbrugers søgsmål eller retslige handlinger fra justitsministerens eller et andet håndhævelsesorgans handling mod den kompromitterede enhed, er der andre overvejelser."

Hvad der kan virke som en mindre overtrædelse - såsom ikke at følge fuldstændig op på en offentliggjort privatlivspolitik - kan udløse flere lovovertrædelsesbøder.

"Det er en vildledende handelspraksis," siger Schaap. "Hvis du siger, at du laver X, og det gør du faktisk ikke, så bliver det det første punkt i FTC-kravet. Hver stat har deres egne små FTC-love eller forbrugerbeskyttelseslove."

Et andet eksempel på, hvad der kan synes at være en mindre overtrædelse, som virksomhedens sikkerhedsteam kan overse, men som kan generere en overholdelse eller lovovertrædelse, er en simpel fravalgsanmodning. Når en forbruger beder en virksomhed om at blive fjernet fra en mailingliste, skal anmodningen dække alle e-mailadresser, som anmoderen bruger for at overholde alle statslige love. Selv hvis en virksomhed siger, at den er i overensstemmelse med loven, er den muligvis ikke kompatibel for alle de stater, hvor den opererer. Fejlagtig angivelse af dets overholdelse af privatlivslovgivningen kan udløse afvisning af et forsikringskrav.

For at udfylde nogle af disse overholdelseshuller, som de måske ikke engang kender til, anbefaler Schaap, at virksomheder udnytter enhver hjælp, deres cyberforsikringsselskab yder, såsom sikkerhedsbordplade og andre øvelser, for at holde sig på den rigtige side af reglerne og holde deres politikker i orden. sted.

Dette er ikke kun teoretisk. I 2022 fejlberettede en virksomhed sin brug af multifaktorautentificering på sin forsikringsansøgning spørgeskema. Cyberforsikringsselskabet, Travelers, sagsøgte selskabet og beholdt i sidste ende de præmier, selskabet betalte på trods af annullering af cyberforsikringspolicen - og afviste kravet.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance