Το Privacy Beats Ransomware ως κορυφαία ανησυχία ασφάλισης

Καθώς οι εταιρικοί διευθυντές και οι ομάδες ασφαλείας προσπαθούν να διασφαλίσουν ότι πληρούν τους νέους κανονισμούς κυβερνοασφάλειας της Επιτροπής Κεφαλαιαγοράς (SEC), οι αξιώσεις λόγω κακού χειρισμού προστατευμένων προσωπικών πληροφοριών (PII) θα μπορούσαν να συναγωνιστούν το κόστος των επιθέσεων ransomware, προειδοποιεί ο David Anderson, αντιπρόεδρος του κυβερνοχώρου. ευθύνη στο Woodruff Sawyer, μια εθνική ασφαλιστική μεσιτεία.

Ενώ οι αξιώσεις απορρήτου χρειάζονται χρόνια για να λειτουργήσουν μέσω της νομικής διαδικασίας, «οι απώλειες είναι γενικά εξίσου καταστροφικές κατά τη διάρκεια τριών έως πέντε ετών όσο μια αξίωση ransomware κατά τη διάρκεια τριών έως πέντε ημερών», λέει.

Σε παρουσίαση που επικεντρώνεται στις τάσεις των διαφορών του 2024, ο Dan Burke, ανώτερος αντιπρόεδρος και ηγέτης εθνικής πρακτικής στον κυβερνοχώρο στο Woodruff Sawyer, σημείωσε, «Οι αξιώσεις παρακολούθησης Pixel είναι ο πιο πρόσφατος στόχος για τη γραμμή των εναγόντων — επιδιώκοντας εταιρείες που παρακολουθούν τη δραστηριότητα του ιστότοπου μέσω εικονοστοιχείων στην οθόνη χωρίς να λάβουν την κατάλληλη συναίνεση».

Τέτοιες δραστηριότητες θα μπορούσαν να είναι γιατί το 31% των ασφαλιστών στον κυβερνοχώρο σε μια έρευνα του Woodruff Sawyer επέλεξε το απόρρητο ως την κύρια ανησυχία τους για το 2024 - δεύτερο μόνο μετά το ransomware, που επέλεξε το 63% των ερωτηθέντων.

Το απόρρητο είναι επιχειρηματικό ζήτημα

Ο James Tuplin, ανώτερος αντιπρόεδρος και επικεφαλής του διεθνούς κυβερνοχώρου στη Mosaic Insurance, συμφωνεί ότι οι ασφαλιστές θα εξετάσουν πολύ πιο προσεκτικά τις τάσεις της ιδιωτικής ζωής φέτος. Συχνά χρειάζονται πέντε έως επτά χρόνια για να δουλέψουν οι αγωγές απορρήτου μέσω των δικαστηρίων, επιβεβαιώνει, πράγμα που σημαίνει ότι το 2024 θα είναι το αποκορύφωμα των υποθέσεων απορρήτου που κατατέθηκαν από το 2017 έως το 2019 - προτού αρχίσουν πολλές χώρες και πολιτείες των ΗΠΑ να εγκρίνουν νέους νόμους περί απορρήτου. Για παράδειγμα, ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης τέθηκε σε ισχύ το 2018, επομένως αυτές οι περιπτώσεις αντιπροσωπεύουν αρχικές παραβιάσεις του GDPR.

Για τον ασφαλιστή, ωστόσο, η πληρωμή για αξιώσεις απορρήτου μπορεί να μην είναι τόσο μεγάλη, επειδή «οι αναδότες έχουν πολύ χρόνο να παίξουν με το κεφάλαιό τους, ενώ αυτές οι ζημίες φτάσουν στην τελική τους επίλυση», εξηγεί ο Anderson. Αυτό συμβαίνει επειδή οι ασφαλιστές διατηρούν το συμφέρον από τη διατήρηση κεφαλαίων σε μεσεγγύηση, ενώ οι αξιώσεις λειτουργούν με τον τρόπο τους μέσω διαπραγματεύσεων και δικαστικών διαφορών.

Ενώ τα διοικητικά συμβούλια έχουν γενικά ικανούς συμβούλους για το απόρρητο, τα συμβούλια εξακολουθούν να τείνουν να θεωρούν τα ζητήματα απορρήτου ως θέμα πληροφορικής και όχι ως επιχειρηματικό, λέει ο Tuplin. Ορισμένες ρυθμιστικές αρχές, συμπεριλαμβανομένης της SEC, βάζουν Οι CISO στο στόχαστρο των κανονισμών παρόλο που δεν ελέγχουν τους προϋπολογισμούς ή δεν έχουν την εξουσία να επιλύουν όλα τα ζητήματα κυβερνοασφάλειας, προσθέτει.

Παρακολούθηση των νόμων περί απορρήτου

Μεταξύ των λόγων για τους οποίους το απόρρητο έχει γίνει πρόκληση για τα διοικητικά συμβούλια και τις ομάδες ασφαλείας είναι ότι σε πολλές περιπτώσεις, οι οργανισμοί δεν γνωρίζουν τι είδους δεδομένα συλλέγουν και πού βρίσκονται αυτά τα δεδομένα, σημειώνει η Sherri Davidoff, ιδρυτής και διευθύνων σύμβουλος της LMG Security. Οι εταιρείες τείνουν να συσσωρεύουν δεδομένα ως περιουσιακό στοιχείο και όχι ως επικίνδυνο υλικό, λέει.

«Είναι σαν πυρηνικά απόβλητα», λέει. «Όσα περισσότερα δεδομένα έχετε, τόσο μεγαλύτερος κίνδυνος έχετε».

Οι επιχειρήσεις πρέπει να κάνουν καλύτερη δουλειά για την εξάλειψη των δεδομένων — PII, ειδικότερα — που θα μπορούσαν να προκαλέσουν α κανονιστική ή νομική παράβαση εάν τα δεδομένα πέσουν σε λάθος χέρια. Ενώ οι ειδικοί ασφαλείας έχουν λέγοντας στις εταιρείες εδώ και χρόνια ότι πρέπει να γνωρίζουν ποια δεδομένα διαθέτουν και πού βρίσκονται, πολλές εταιρείες, συμπεριλαμβανομένων εκείνων που υπόκεινται σε αυστηρή ρυθμιστική εποπτεία, συχνά κάνουν κακή δουλειά όσον αφορά την ταξινόμηση και τον εντοπισμό των τοποθεσιών όλων των δεδομένων τους, λέει.

Μια άλλη σημαντική πρόκληση που αντιμετωπίζουν πολλές εταιρείες είναι ότι δεν παρακολουθούν όλους τους νόμους περί απορρήτου και τις ρυθμιστικές απαιτήσεις των δεδομένων που διαθέτουν. Κατανοώντας το Το τοπίο της νομοθεσίας περί απορρήτου των δεδομένων των ΗΠΑ είναι αρκετά δύσκολο, αλλά γίνεται πιο δύσκολο αν σκεφτεί κανείς ότι σχεδόν κάθε πολιτεία έχει μοναδικούς νόμους ασχολείται ειδικά με τα αρχεία υγείας και τα δεδομένα των παιδιών. Επιπλέον, οι οργανισμοί που έχουν PII για πολίτες της Ευρωπαϊκής Ένωσης πρέπει επίσης συμμορφωθείτε με το GDPR. Οι εταιρείες που δραστηριοποιούνται σε άλλες χώρες πρέπει να έχουν νομικό σύμβουλο που εξετάζει τους νόμους σε κάθε χώρα όπου μια εταιρεία δραστηριοποιείται για να διασφαλίσει ότι πληρούν αυτούς τους νόμους περί απορρήτου.

Μικρό Σφάλμα = Μεγάλη Απώλεια

Πολλές εταιρείες πιστεύουν ότι εάν συμμορφώνονται με τους διάφορους κανονισμούς συμμόρφωσης, συμμορφώνονται με τους νόμους της πολιτείας και έχουν ασφάλιση στον κυβερνοχώρο, τότε είναι έτοιμοι.
«Στην πραγματικότητα, αυτό δεν είναι αρκετό», λέει η Michelle Schaap, η οποία ηγείται της πρακτικής απορρήτου και ασφάλειας δεδομένων στη δικηγορική εταιρεία Chiesa Shahinian & Giantomasi (CSG Law). "Αν και μπορεί να αρκεί η προστασία από μήνυση καταναλωτή ή νομική αγωγή από τη δράση των γενικών εισαγγελέων ή άλλης αρχής επιβολής κατά της παραβιασμένης οντότητας, υπάρχουν και άλλες σκέψεις."

Αυτό που μπορεί να φαίνεται σαν μια μικρή παράβαση - όπως η μη πλήρης τήρηση μιας δημοσιευμένης πολιτικής απορρήτου - θα μπορούσε να προκαλέσει πολλαπλά πρόστιμα κανονιστικής παραβίασης.

«Είναι μια παραπλανητική εμπορική πρακτική», λέει ο Schaap. «Αν λέτε ότι κάνετε X και, στην πραγματικότητα, δεν το κάνετε, αυτό γίνεται η πρώτη μέτρηση στην αξίωση FTC. Κάθε πολιτεία έχει τους δικούς της μικρούς νόμους FTC ή νόμους περί προστασίας των καταναλωτών».

Ένα άλλο παράδειγμα μιας μικρής παράβασης που θα μπορούσαν να αγνοήσουν οι ομάδες εταιρικής ασφάλειας, αλλά που θα μπορούσε να προκαλέσει συμμόρφωση ή νομική παράβαση είναι ένα απλό αίτημα εξαίρεσης. Όταν ένας καταναλωτής ζητά από μια εταιρεία να αφαιρεθεί από μια λίστα αλληλογραφίας, το αίτημα πρέπει να καλύπτει όλες τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που χρησιμοποιεί ο αιτών προκειμένου να συμμορφωθεί με όλους τους νόμους της πολιτείας. Έτσι, ακόμα κι αν μια εταιρεία λέει ότι συμμορφώνεται με τη νομοθεσία, ενδέχεται να μην είναι συμβατή για όλες τις πολιτείες στις οποίες δραστηριοποιείται. Η εσφαλμένη τήρηση της νομοθεσίας περί απορρήτου θα μπορούσε να προκαλέσει την άρνηση μιας ασφαλιστικής αξίωσης.

Για να καλύψουν ορισμένες από αυτές τις τρύπες συμμόρφωσης που μπορεί να μην γνωρίζουν καν, η Schaap συνιστά στις εταιρείες να επωφεληθούν από κάθε βοήθεια που παρέχει η ασφαλιστική τους εταιρεία στον κυβερνοχώρο, όπως επιτραπέζια ασφάλεια και άλλες ασκήσεις, για να παραμείνουν στη σωστή πλευρά των κανονισμών και να διατηρήσουν καλά τις πολιτικές τους θέση.

Αυτό δεν είναι μόνο θεωρητικό. Το 2022, μια εταιρεία δήλωσε εσφαλμένα τη χρήση του ελέγχου ταυτότητας πολλαπλών παραγόντων σε αυτήν αίτηση ασφάλισης ερωτηματολόγιο. Ο φορέας ασφάλισης στον κυβερνοχώρο, Travelers, μήνυσε την εταιρεία, διατηρώντας τελικά τα ασφάλιστρα που κατέβαλε η εταιρεία παρά την ακύρωση του ασφαλιστηρίου συμβολαίου στον κυβερνοχώρο — και αρνούμενη την αξίωση.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance