Yksityisyys voittaa Ransomwaren tärkeimpänä vakuutusyhtiönä

Kun yritysten johtajat ja turvallisuustiimit pyrkivät varmistamaan, että he täyttävät Securities and Exchange Commissionin (SEC) uudet kyberturvallisuusmääräykset, suojattujen henkilökohtaisten tunnistetietojen (PII) väärinkäsittelystä johtuvat väitteet voivat kilpailla kiristysohjelmahyökkäysten kustannuksilla, varoittaa kyberosaston varatoimitusjohtaja David Anderson. vastuuta Woodruff Sawyerissa, joka on kansallinen vakuutusmeklari.

Vaikka yksityisyyttä koskevien väitteiden käsittely kestää vuosia oikeudenprosessin läpi, "tappiot ovat yleensä yhtä katastrofaalisia kolmen tai viiden vuoden aikana kuin lunnasohjelmavaatimus kolmen tai viiden päivän aikana", hän sanoo.

Jonkin sisällä esitys, joka keskittyy vuoden 2024 oikeudenkäyntitrendeihin, Dan Burke, Woodruff Sawyerin vanhempi varapresidentti ja kansallinen kyberkäytäntöjen johtaja, totesi: "Pikseliseurantavaatimukset ovat viimeisin kohde kantajien baarille – yritykset, jotka seuraavat verkkosivuston toimintaa näytöllä olevien pikselien kautta ilman asianmukaista suostumusta."

Tällaisten toimintojen vuoksi 31 % kybervakuutuksenantajista Woodruff Sawyerin tutkimuksessa valitsi yksityisyyden tärkeimmäksi huolenaiheeksi vuonna 2024 – toiseksi vain ransomwaren jälkeen, jonka valitsi 63 % vastaajista.

Yksityisyys on liiketoimintakysymys

James Tuplin, Mosaic Insurancen varatoimitusjohtaja ja kansainvälisen kyberpäällikkö, on samaa mieltä siitä, että vakuutuksenantajat tarkastelevat tänä vuonna paljon tarkemmin tietosuojatrendejä. Usein kestää viidestä seitsemään vuotta, ennen kuin yksityisyyttä koskevat riita-asiat käsitellään tuomioistuimissa, hän vahvistaa, mikä tarkoittaa, että vuonna 2024 huipentuvat vuosina 2017–2019 nostetut yksityisyyttä koskevat tapaukset – ennen kuin monet maat ja Yhdysvaltojen osavaltiot alkoivat hyväksyä uusia tietosuojalakeja. Esimerkiksi Euroopan unionin yleinen tietosuoja-asetus (GDPR) astui voimaan vuonna 2018, joten nämä tapaukset edustavat alkuperäisiä GDPR-rikkomuksia.

Vakuutuksenantajan kannalta yksityisyysvaatimusten korvaus ei kuitenkaan välttämättä ole yhtä suuri, koska "vakuutuksenantajilla on pitkä aika pelata pääomallaan, kun nämä tappiot kasvavat lopulliseen ratkaisuun", Anderson selittää. Tämä johtuu siitä, että vakuutuksenantajat säilyttävät koron varojen pitämisestä sulkutilissä, kun taas korvausvaatimukset etenevät neuvottelujen ja oikeudenkäyntien kautta.

Vaikka hallituksilla on yleensä päteviä tietosuojaneuvonantajia, hallituksilla on edelleen taipumus ajatella yksityisyyskysymyksiä IT-asiana eikä liikeasiana, Tuplin sanoo. Jotkut sääntelyviranomaiset, mukaan lukien SEC, asettavat CISO:t ristissä Säännöksistä, vaikka ne eivät hallitse budjetteja tai niillä ei ole valtuuksia ratkaista kaikkia kyberturvallisuuskysymyksiä, hän lisää.

Yksityisyyslakien seuranta

Yksi syistä, joiden vuoksi yksityisyydestä on tullut haastavaa hallituksille ja turvallisuustiimeille, on se, että organisaatiot eivät monissa tapauksissa tiedä, millaista dataa ne keräävät ja missä ne sijaitsevat, LMG Securityn perustaja ja toimitusjohtaja Sherri Davidoff toteaa. Yrityksillä on tapana kerätä tietoja hyödykkeenä sen sijaan, että pidettäisiin sitä vaarallisena materiaalina, hän sanoo.

"Se on kuin ydinjätettä", hän sanoo. "Mitä enemmän tietoa sinulla on, sitä suurempi riski sinulla on."

Yritysten on tehtävä parempaa työtä sellaisten tietojen – erityisesti henkilökohtaisten tunnistetietojen – poistamiseksi, jotka voivat laukaista a säännösten tai lakien rikkominen jos tiedot joutuvat vääriin käsiin. Vaikka turvallisuusasiantuntijat ovat olleet kertonut yrityksille vuosia Monet yritykset, mukaan lukien tiukan valvonnan alaiset yritykset, tekevät usein huonoa työtä kaikkien tietojensa luokittelussa ja sijainnin tunnistamisessa, että heidän on tiedettävä, mitä tietoja heillä on ja missä ne sijaitsevat, hän sanoo.

Toinen suuri haaste, jonka monet yritykset kohtaavat, on se, että ne eivät seuraa kaikkia hallussaan olevia tietoja koskevia tietosuojalakeja ja sääntelyvaatimuksia. Ymmärtäminen Yhdysvaltain tietosuojalain maisema on tarpeeksi vaikeaa, mutta siitä tulee haastavampaa, kun ajatellaan sitä melkein jokaisessa osavaltiossa on omat lait käsittelevät erityisesti terveystietoja ja lasten tietoja. Lisäksi organisaatioiden, joilla on Euroopan unionin kansalaisten henkilökohtaisia ​​tietoja, on myös tehtävä noudatettava GDPR: tä. Muissa maissa liiketoimintaa harjoittavien yritysten on pyydettävä lakimiehiä tutkimaan lakeja kaikissa maissa, joissa yritys harjoittaa liiketoimintaa, varmistaakseen, että ne noudattavat näitä tietosuojalakeja.

Pieni virhe = suuri menetys

Monet yritykset ajattelevat, että jos ne noudattavat erilaisia ​​​​yhteensopivuusmääräyksiä, noudattavat osavaltion lakeja ja niillä on verkkovakuutus, ne ovat valmiita.
"Se ei itse asiassa riitä", sanoo Michelle Schaap, joka johtaa tietosuoja- ja tietoturvakäytäntöä asianajotoimisto Chiesa Shahinian & Giantomasissa (CSG Law). "Vaikka se saattaa riittää suojaamaan kuluttajan kannetta tai oikeustoimia vastaan, jotka johtavat syyttäjän tai muun täytäntöönpanoviranomaisen toimiin vaarantunutta tahoa vastaan, on muitakin näkökohtia."

Se, mikä saattaa tuntua vähäiseltä rikkomiselta – kuten julkaistun tietosuojakäytännön noudattamatta jättäminen – voi johtaa useisiin säännösten rikkomiseen liittyviin sakkoihin.

"Se on petollinen kauppakäytäntö", Schaap sanoo. "Jos sanot tekeväsi X:n ja itse asiassa et ole, siitä tulee ensimmäinen syy FTC:n vaatimuksessa. Jokaisella osavaltiolla on omat pienet FTC-lakinsa tai kuluttajansuojalakinsa."

Toinen esimerkki siitä, mikä saattaa vaikuttaa pieneltä rikkomukselta, jonka yritysten turvallisuustiimit voivat jättää huomiotta, mutta joka voi johtaa vaatimustenmukaisuuden tai lain rikkomiseen, on yksinkertainen kieltäytymispyyntö. Kun kuluttaja pyytää yritystä poistamaan postituslistalta, pyynnön on katettava kaikki pyytäjän käyttämät sähköpostiosoitteet noudattaakseen kaikkia osavaltion lakeja. Näin ollen vaikka yritys sanoisi noudattavansa lakia, se ei välttämättä ole yhteensopiva kaikissa osavaltioissa, joissa se toimii. Tietosuojalakien noudattamisen vääristäminen voi aiheuttaa vakuutusvaatimuksen epäämisen.

Täyttääkseen jotkin näistä vaatimustenmukaisuuden aukoista, joista he eivät ehkä edes tiedä, Schaap suosittelee, että yritykset hyödyntävät kaikkea kybervakuuttajan tarjoamaa apua, kuten turvallisuutta pöytätasolla ja muita harjoituksia pysyäkseen säännösten oikealla puolella ja pitääkseen vakuutustensa kunnossa. sijasta.

Tämä ei ole vain teoreettista. Vuonna 2022 yritys ilmoitti väärin monitekijätodennusta käyttävänsä vakuutushakemus kyselylomake. Kybervakuutusyhtiö Travelers haastoi yrityksen oikeuteen ja piti lopulta yrityksen maksamat vakuutusmaksut, vaikka se peruutti kybervakuutuksen ja kiisti vaatimuksen.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance