حریم خصوصی باج افزار را به عنوان نگرانی اصلی بیمه شکست می دهد

حریم خصوصی باج افزار را به عنوان نگرانی اصلی بیمه شکست می دهد

تمبر زمان: 23 فوریه 2024، ساعت 12:23 بعد از ظهر
Privacy Beats Ransomware as Top Insurance Concern PlatoBlockchain Data Intelligence. Vertical Search. Ai.

دیوید اندرسون، معاون سایبری هشدار داد که از آنجایی که مدیران شرکت‌ها و تیم‌های امنیتی تلاش می‌کنند تا اطمینان حاصل کنند که قوانین امنیت سایبری جدید کمیسیون بورس و اوراق بهادار (SEC) را رعایت می‌کنند، ادعاهای ناشی از سوء استفاده از اطلاعات شناسایی شخصی محافظت‌شده (PII) می‌تواند با هزینه‌های حملات باج‌افزار رقابت کند. مسئولیت در Woodruff Sawyer، یک کارگزاری بیمه ملی.

او می‌گوید در حالی که ادعاهای حفظ حریم خصوصی سال‌ها طول می‌کشد تا از طریق فرآیند قانونی کار کند، "ضایعات معمولاً در طول سه تا پنج سال به همان اندازه فاجعه‌بار هستند که ادعای باج‌افزار در طول سه تا پنج روز".

در یک ارائه با تمرکز بر روند دادخواهی در سال 2024دن برک، معاون ارشد رئیس جمهور و رهبر ملی تمرین سایبری در Woodruff Sawyer، خاطرنشان کرد: «ادعاهای ردیابی پیکسل آخرین هدف برای نوار شاکیان است - دنبال شرکت هایی که فعالیت وب سایت را از طریق پیکسل های روی صفحه نمایش بدون کسب رضایت مناسب ردیابی می کنند.»

فعالیت‌هایی از این دست می‌تواند به این دلیل باشد که 31 درصد از بیمه‌گذاران بیمه سایبری در نظرسنجی Woodruff Sawyer حفظ حریم خصوصی را به عنوان اصلی‌ترین نگرانی خود برای سال 2024 انتخاب کردند - پس از باج‌افزار، که توسط 63 درصد از پاسخ‌دهندگان انتخاب شد.

حریم خصوصی یک مسئله تجاری است

جیمز تاپلین، معاون ارشد و رئیس بخش سایبری بین‌الملل در بیمه موزائیک، موافق است که پذیره‌نویسان امسال نگاه دقیق‌تری به روند حفظ حریم خصوصی خواهند داشت. او تأیید می کند که اغلب پنج تا هفت سال طول می کشد تا دعوای حریم خصوصی از طریق دادگاه انجام شود، که به این معنی است که سال 2024 شاهد اوج پرونده های حفظ حریم خصوصی در سال 2017 تا 2019 خواهیم بود - قبل از اینکه بسیاری از کشورها و ایالت های ایالات متحده قوانین جدید حفظ حریم خصوصی را تصویب کنند. به عنوان مثال، مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) در سال 2018 اجرایی شد، بنابراین این موارد نشان دهنده نقض اولیه GDPR هستند.

با این حال، برای بیمه‌گر، پرداخت برای ادعاهای حفظ حریم خصوصی ممکن است آنقدر زیاد نباشد، زیرا اندرسون توضیح می‌دهد که «پذیره‌نویس‌ها زمان زیادی برای بازی با سرمایه‌شان دارند، در حالی که این ضررها به حل نهایی خود می‌رسند». این به این دلیل است که بیمه‌گران سود نگهداری وجوه را در امان نگه می‌دارند در حالی که ادعاها از طریق مذاکرات و دعاوی به راه خود ادامه می‌دهند.

تاپلین می‌گوید در حالی که هیئت‌مدیره عموماً مشاوران توانمندی در خصوص حریم خصوصی دارند، هیئت‌ها هنوز هم تمایل دارند که مسائل مربوط به حریم خصوصی را به‌عنوان یک موضوع فناوری اطلاعات و نه یک موضوع تجاری در نظر بگیرند. برخی از تنظیم کننده ها، از جمله SEC، در حال قرار دادن هستند CISO ها در تیررس قرار دارند او می افزاید: مقررات حتی اگر بودجه ها را کنترل نکرده و یا صلاحیت حل همه مسائل امنیت سایبری را ندارند.

پیگیری قوانین حفظ حریم خصوصی

شری دیویدوف، بنیانگذار و مدیر عامل LMG Security، خاطرنشان می کند که یکی از دلایلی که حریم خصوصی برای هیئت مدیره و تیم های امنیتی چالش برانگیز شده است این است که در بسیاری از موارد، سازمان ها نمی دانند که چه نوع داده هایی را جمع آوری می کنند و در کجا قرار دارند. شرکت ها تمایل به انباشت داده ها دارند او می گوید به جای اینکه آن را به عنوان یک ماده خطرناک در نظر بگیریم، به عنوان یک دارایی.

او می گوید: «این مانند زباله های هسته ای است. "هرچه داده های بیشتری داشته باشید، خطر بیشتری دارید."

شرکت‌ها باید کار بهتری برای حذف داده‌ها انجام دهند - به‌ویژه PII - که می‌تواند باعث ایجاد الف شود نقض مقرراتی یا قانونی اگر داده ها به دست اشتباه بیفتد. در حالی که کارشناسان امنیتی بوده اند گفتن شرکت ها برای سال ها او می‌گوید که آنها باید بدانند چه داده‌هایی دارند و در کجا قرار دارند، بسیاری از شرکت‌ها، از جمله شرکت‌هایی که تحت نظارت دقیق نظارتی هستند، اغلب در طبقه‌بندی و شناسایی مکان‌های همه داده‌هایشان ضعیف عمل می‌کنند.

چالش عمده دیگری که بسیاری از شرکت ها با آن روبرو هستند این است که همه قوانین حفظ حریم خصوصی و الزامات نظارتی داده هایی را که در اختیار دارند پیگیری نمی کنند. درک کردن چشم انداز قانون حفظ حریم خصوصی داده های ایالات متحده به اندازه کافی دشوار است، اما زمانی که تقریباً به آن توجه کنیم، چالش برانگیزتر می شود هر ایالت قوانین منحصر به فردی دارد به طور خاص با پرونده های بهداشتی و داده های کودکان سروکار دارد. علاوه بر این، سازمان هایی که PII برای شهروندان اتحادیه اروپا دارند نیز باید مطابق با GDPR. شرکت‌هایی که در کشورهای دیگر تجارت می‌کنند باید از مشاور حقوقی برخوردار باشند تا قوانین را در هر کشوری که یک شرکت در آن تجارت می‌کند بررسی کند تا اطمینان حاصل کند که آن قوانین حفظ حریم خصوصی را رعایت می‌کند.

خطای کوچک = ضرر بزرگ

بسیاری از شرکت‌ها فکر می‌کنند که اگر از مقررات مختلف انطباق پیروی کنند، به قوانین ایالتی پایبند باشند و بیمه سایبری داشته باشند، همه آنها آماده هستند.
میشل شاپ، که در شرکت حقوقی Chiesa Shahinian & Giantomasi (قانون CSG) حریم خصوصی و امنیت داده‌ها را رهبری می‌کند، می‌گوید: «در واقع این کافی نیست. "در حالی که ممکن است برای محافظت در برابر دعوای مصرف کننده یا اقدام قانونی دادستان های کل یا اقدامات سازمان مجری دیگر علیه نهاد در معرض خطر کافی باشد، ملاحظات دیگری نیز وجود دارد."

آنچه ممکن است مانند یک تخلف جزئی به نظر برسد - مانند عدم رعایت کامل خط مشی حفظ حریم خصوصی ارسال شده - می تواند جریمه های متعدد نقض مقررات را ایجاد کند.

شاپ می گوید: «این یک روش تجاری فریبنده است. «اگر می‌گویید X را انجام می‌دهید و در واقع این کار را نمی‌کنید، این اولین مورد در ادعای FTC است. هر ایالت قوانین کوچک FTC یا قوانین حمایت از مصرف کننده خود را دارد.

نمونه دیگری از آنچه ممکن است به نظر یک تخلف جزئی باشد که تیم های امنیتی شرکتی می توانند نادیده بگیرند اما می تواند باعث انطباق یا نقض قانونی شود، یک درخواست ساده انصراف است. هنگامی که یک مصرف کننده از یک شرکت می خواهد که از لیست پستی حذف شود، این درخواست باید شامل تمام آدرس های ایمیلی باشد که درخواست کننده استفاده می کند تا با تمام قوانین ایالتی مطابقت داشته باشد. بنابراین، حتی اگر شرکتی بگوید که با قانون مطابقت دارد، ممکن است برای همه ایالت هایی که در آن فعالیت می کند مطابقت نداشته باشد. اعلام نادرست پایبندی آن به قوانین حفظ حریم خصوصی می تواند باعث رد ادعای بیمه شود.

Schaap برای پر کردن برخی از این حفره‌های انطباق که ممکن است حتی از آنها اطلاعی نداشته باشند، توصیه می‌کند که شرکت‌ها از هرگونه کمکی که بیمه‌گر سایبری آنها ارائه می‌کند، مانند میزهای امنیتی و سایر تمرین‌ها، استفاده کنند تا در سمت راست مقررات باقی بمانند و خط‌مشی‌های خود را به خوبی حفظ کنند. به جای

این فقط تئوری نیست. در سال 2022، یک شرکت استفاده از احراز هویت چند عاملی را اشتباه اعلام کرد درخواست بیمه پرسشنامه. حامل بیمه سایبری، Travelers، از این شرکت شکایت کرد و در نهایت حق بیمه ای را که شرکت پرداخت کرد علیرغم لغو بیمه نامه سایبری حفظ کرد - و این ادعا را رد کرد.

تمبر زمان:

بیشتر از تاریک خواندن