Alors que les dirigeants d'entreprise et les équipes de sécurité se démènent pour s'assurer qu'ils respectent les nouvelles réglementations de cybersécurité de la Securities and Exchange Commission (SEC), les réclamations dues à une mauvaise gestion des informations personnelles identifiables (PII) protégées pourraient rivaliser avec le coût des attaques de ransomwares, prévient David Anderson, vice-président de la cybersécurité. responsabilité civile chez Woodruff Sawyer, une société nationale de courtage d'assurance.
Même si les réclamations relatives à la protection de la vie privée mettent des années à être traitées dans le cadre du processus juridique, « les pertes sont généralement aussi catastrophiques sur une période de trois à cinq ans qu'une réclamation relative à un ransomware l'est sur une période de trois à cinq jours », dit-il.
Dans un présentation axée sur les tendances contentieuses 2024, Dan Burke, vice-président senior et responsable national des pratiques cyber chez Woodruff Sawyer, a noté : « Les allégations de suivi de pixels sont la dernière cible du barreau des plaignants – s'en prendre aux entreprises qui suivent l'activité des sites Web à travers les pixels sur l'écran sans obtenir le consentement approprié. »
De telles activités pourraient expliquer pourquoi 31 % des assureurs de cyberassurance interrogés dans une enquête de Woodruff Sawyer ont choisi la confidentialité comme leur principale préoccupation pour 2024, juste derrière les ransomwares, choisis par 63 % des personnes interrogées.
La confidentialité est un problème commercial
James Tuplin, vice-président senior et responsable de la cybersécurité internationale chez Mosaic Insurance, convient que les souscripteurs examineront de beaucoup plus près les tendances en matière de confidentialité cette année. Il faut souvent cinq à sept ans pour que les litiges relatifs à la protection de la vie privée soient portés devant les tribunaux, confirme-t-il, ce qui signifie que 2024 verra le point culminant des affaires de protection de la vie privée déposées entre 2017 et 2019 – avant que de nombreux pays et États américains ne commencent à adopter de nouvelles lois sur la protection de la vie privée. Par exemple, le Règlement général sur la protection des données (RGPD) de l'Union européenne est entré en vigueur en 2018, ces cas représentent donc des premières violations du RGPD.
Pour l'assureur, cependant, le paiement des réclamations pour atteinte à la vie privée pourrait ne pas être aussi important, car « les souscripteurs ont beaucoup de temps pour jouer avec leur capital pendant que ces pertes s'accumulent jusqu'à leur résolution finale », explique Anderson. En effet, les assureurs conservent les intérêts liés à la détention de fonds en dépôt pendant que les réclamations progressent dans les négociations et les litiges.
Même si les conseils d'administration disposent généralement de conseillers compétents en matière de confidentialité, les conseils d'administration ont toujours tendance à considérer les questions de confidentialité comme une question informatique plutôt que commerciale, explique Tuplin. Certains régulateurs, dont la SEC, mettent en place Les RSSI dans le collimateur de réglementations même s'ils ne contrôlent pas les budgets et n'ont pas le pouvoir de résoudre tous les problèmes de cybersécurité, ajoute-t-il.
Suivi des lois sur la confidentialité
L'une des raisons pour lesquelles la confidentialité est devenue un défi pour les conseils d'administration et les équipes de sécurité est que, dans de nombreux cas, les organisations ne savent pas quels types de données elles collectent et où elles résident, note Sherri Davidoff, fondatrice et PDG de LMG Security. Les entreprises ont tendance à accumuler des données comme un atout plutôt que de le considérer comme une matière dangereuse, dit-elle.
«C'est comme des déchets nucléaires», dit-elle. « Plus vous disposez de données, plus vous courez de risques. »
Les entreprises doivent faire un meilleur travail pour éliminer les données – PII, en particulier – qui pourraient déclencher une violation réglementaire ou légale si les données tombent entre de mauvaises mains. Alors que les experts en sécurité ont été je le dis aux entreprises depuis des années qu'elles ont besoin de savoir de quelles données elles disposent et où elles se trouvent, de nombreuses entreprises, y compris celles soumises à une surveillance réglementaire stricte, font souvent un mauvais travail en matière de classification et d'identification de l'emplacement de toutes leurs données, dit-elle.
Un autre défi majeur auquel de nombreuses entreprises sont confrontées est qu’elles ne suivent pas toutes les lois et exigences réglementaires en matière de confidentialité des données qu’elles détiennent. Comprendre le Paysage juridique américain sur la confidentialité des données est déjà assez difficile, mais cela devient encore plus difficile quand on considère que presque chaque État a des lois uniques traitant spécifiquement des dossiers de santé et des données sur les enfants. De plus, les organisations qui disposent d’informations personnelles sur les citoyens de l’Union européenne doivent également se conformer au GDPR. Les entreprises qui font des affaires dans d’autres pays doivent demander à un conseiller juridique d’examiner les lois de chaque pays où elles exercent leurs activités afin de s’assurer qu’elles respectent ces lois sur la protection de la vie privée.
Petite erreur = grande perte
De nombreuses entreprises pensent que si elles se conforment aux différentes réglementations de conformité, adhèrent aux lois de l’État et disposent d’une cyber-assurance, alors tout est prêt.
«En fait, ce n'est pas suffisant», déclare Michelle Schaap, qui dirige le département de confidentialité et de sécurité des données du cabinet d'avocats Chiesa Shahinian & Giantomasi (CSG Law). "Bien que cela puisse être suffisant pour se protéger contre une poursuite d'un consommateur ou une action en justice contre l'action du procureur général ou d'un autre organisme d'application contre l'entité compromise, il existe d'autres considérations."
Ce qui peut sembler être une infraction mineure – comme le fait de ne pas respecter complètement une politique de confidentialité publiée – pourrait entraîner de multiples amendes pour violation de la réglementation.
« Il s'agit d'une pratique commerciale trompeuse », déclare Schaap. « Si vous dites que vous faites X et, en fait, ce n'est pas le cas, cela devient le premier chef d'accusation dans la réclamation de la FTC. Chaque État a ses propres petites lois FTC, ou lois sur la protection des consommateurs.
Un autre exemple de ce qui peut sembler être une infraction mineure que les équipes de sécurité de l'entreprise pourraient ignorer mais qui pourrait générer une violation de la conformité ou de la loi est une simple demande de désinscription. Lorsqu'un consommateur demande à une entreprise d'être retirée d'une liste de diffusion, la demande doit couvrir toutes les adresses e-mail utilisées par le demandeur afin de se conformer à toutes les lois de l'État. Ainsi, même si une entreprise déclare se conformer à la loi, il se peut qu’elle ne le soit pas dans tous les États dans lesquels elle opère. Une déclaration erronée sur son respect des lois sur la protection de la vie privée pourrait entraîner le refus d'une réclamation d'assurance.
Pour combler certaines de ces lacunes en matière de conformité dont elles ne sont peut-être même pas conscientes, Schaap recommande aux entreprises de profiter de toute aide fournie par leur cyber-assureur, comme des analyses de sécurité et d'autres exercices, pour rester du bon côté des réglementations et maintenir leurs polices en bon état. place.
Ce n’est pas seulement théorique. En 2022, une entreprise a mal déclaré son utilisation de l'authentification multifacteur sur ses demande d'assurance questionnaire. La compagnie d’assurance cyber, Travelers, a poursuivi l’entreprise en justice, conservant finalement les primes payées par l’entreprise malgré l’annulation de la police d’assurance cyber – et refusant la réclamation.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance
- :possède
- :est
- :ne pas
- :où
- 2017
- 2018
- 2019
- 2022
- 2024
- 7
- a
- A Propos
- Action
- activité
- En outre
- adresses
- Ajoute
- adhérer
- adhérence
- Avantage
- conseillers
- Après
- à opposer à
- agence
- accepte
- Tous
- aussi
- an
- et les
- anderson
- Une autre
- tous
- SONT
- AS
- atout
- At
- Attaques
- mandataire
- Authentification
- autorité
- barre
- BE
- battements
- car
- devenez
- devient
- était
- before
- a commencé
- Améliorée
- Big
- courtage
- budgets
- construire
- la performance des entreprises
- mais
- by
- capable
- capital
- cas
- catastrophique
- CEO
- challenge
- difficile
- Enfants
- choisi
- Citoyens
- réclamer
- prétentions
- plus
- Collecte
- commission
- Sociétés
- Société
- complètement
- conformité
- se conformer
- Compromise
- PROBLÈMES DE PEAU
- consentement
- considérations
- considérant
- considère
- consommateur
- Protection des consommateurs
- des bactéries
- Entreprises
- Prix
- pourriez
- conseil
- compter
- d'exportation
- Pays
- Cours
- Cours
- couverture
- cyber
- Cybersécurité
- données
- confidentialité des données
- protection des données
- la sécurité des données
- David
- jours
- traitement
- Malgré
- difficile
- Administration
- do
- faire
- deux
- chacun
- effet
- l'élimination
- mise en vigueur
- assez
- assurer
- entité
- erreur
- escroc
- du
- Union européenne
- Pourtant, la
- Chaque
- exemple
- échange
- Explique
- Visage
- fait
- Automne
- déposé
- remplir
- finale
- extrémités
- Ferme
- entreprises
- Prénom
- cinq
- mettant l'accent
- Abonnement
- Pour
- fondateur
- Fondateur et PDG
- De
- FTC
- fonds
- RGPD
- Général
- données GENERALES
- Règlement Général de Protection des Données
- généralement
- générer
- aller
- Bien
- Mains
- Vous avez
- he
- front
- Santé
- vous aider
- appuyez en continu
- tenue
- des trous
- Cependant
- HTTPS
- identifiable
- identifier
- if
- in
- Dans d'autres
- Y compris
- d'information
- initiale
- Assurance
- intérêt
- International
- développement
- ISN
- aide
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- SES
- Emploi
- jpg
- juste
- XNUMX éléments à
- en gardant
- types
- Savoir
- gros
- Nouveautés
- Droit applicable et juridiction compétente
- cabinet d'avocats
- Lois
- leader
- Conduit
- Légal
- Une action en justice
- responsabilité
- comme
- Liste
- Contentieux
- peu
- situé
- emplacements
- Location
- Longtemps
- Style
- perte
- pertes
- mailing
- majeur
- de nombreuses
- Matériel
- Matière
- Mai..
- veux dire
- Découvrez
- michelle
- pourrait
- mineur
- mauvaise manipulation
- PLUS
- beaucoup
- authentification multifactorielle
- plusieurs
- must
- Nationales
- presque
- Besoin
- Besoins
- négociations
- Nouveauté
- noté
- Notes
- nucléaire
- obtention
- of
- de rabais
- souvent
- on
- ONE
- uniquement
- exploite
- or
- de commander
- organisations
- Autre
- plus de
- Surveillance
- propre
- payé
- particulier
- En passant
- Personnellement
- choisi
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- politiques
- politique
- pauvres
- posté
- pratique
- président
- la confidentialité
- Politique de confidentialité
- processus
- correct
- protéger
- protégé
- protection
- fournit
- Putting
- ransomware
- Attaques de ransomware
- plutôt
- RE
- Les raisons
- recommande
- Articles
- Règlement
- règlements
- Régulateurs
- régulateurs
- surveillance réglementaire
- représentent
- nécessaire
- Exigences
- réside
- Résolution
- répondants
- conserver
- bon
- Analyse
- Rival
- s
- dire
- dit
- pour écran
- SEC
- Deuxièmement
- titres
- Securities and Exchange Commission
- sécurité
- sur le lien
- sembler
- supérieur
- set
- sept
- elle
- devrait
- côté
- étapes
- petit
- So
- RÉSOUDRE
- quelques
- spécifiquement
- Sponsorisé
- Région
- États
- rester
- Encore
- Strict
- sujet
- tel
- poursuivi
- suffisant
- Combinaison
- Sondage
- Prenez
- tâches
- prend
- prise
- Target
- équipes
- Avoir tendance
- que
- qui
- Le
- la loi
- leur
- puis
- théorique
- Là.
- Ces
- l'ont
- penser
- this
- cette année
- ceux
- bien que?
- trois
- Avec
- Ainsi
- fiable
- à
- top
- suivre
- Tracking
- commerce
- voyageurs
- Trends
- déclencher
- En fin de compte
- compréhension
- union
- expérience unique et authentique
- us
- États américains
- utilisé
- Usages
- divers
- vice
- Vice-président
- VIOLATION
- Violations
- Avertit
- Déchets
- Façon..
- façons
- Site Web
- est allé
- Quoi
- quand
- qui
- tout en
- WHO
- why
- sera
- comprenant
- sans
- activités principales
- faux
- mauvaises mains
- X
- an
- années
- Vous n'avez
- zéphyrnet
