गोपनीयता ने रैनसमवेयर को शीर्ष बीमा चिंता के रूप में पछाड़ दिया

गोपनीयता ने रैनसमवेयर को शीर्ष बीमा चिंता के रूप में पछाड़ दिया

समय टिकट: 23 फरवरी, 2024 अपराह्न 12:23 बजे
गोपनीयता ने शीर्ष बीमा चिंता प्लेटोब्लॉकचेन डेटा इंटेलिजेंस के रूप में रैनसमवेयर को हराया। लंबवत खोज. ऐ.

जैसा कि कॉर्पोरेट निदेशक और सुरक्षा दल यह सुनिश्चित करने के लिए संघर्ष कर रहे हैं कि वे प्रतिभूति और विनिमय आयोग (एसईसी) के नए साइबर सुरक्षा नियमों को पूरा करते हैं, संरक्षित व्यक्तिगत पहचान योग्य जानकारी (पीआईआई) के गलत प्रबंधन के कारण होने वाले दावे रैंसमवेयर हमलों की लागत को टक्कर दे सकते हैं, साइबर के उपाध्यक्ष डेविड एंडरसन ने चेतावनी दी है। वुड्रूफ़ सॉयर, एक राष्ट्रीय बीमा ब्रोकरेज में देयता।

जबकि गोपनीयता के दावों को कानूनी प्रक्रिया के माध्यम से अपना काम करने में वर्षों लग जाते हैं, "नुकसान आम तौर पर तीन से पांच वर्षों के दौरान उतना ही विनाशकारी होता है जितना कि रैंसमवेयर का दावा तीन से पांच दिनों के दौरान होता है," वे कहते हैं।

में 2024 मुकदमेबाजी प्रवृत्तियों पर केंद्रित प्रस्तुतिवुड्रफ सॉयर के वरिष्ठ उपाध्यक्ष और राष्ट्रीय साइबर अभ्यास नेता डैन बर्क ने कहा, "पिक्सेल-ट्रैकिंग दावे वादी पक्ष के लिए नवीनतम लक्ष्य हैं - उचित सहमति प्राप्त किए बिना स्क्रीन पर पिक्सेल के माध्यम से वेबसाइट गतिविधि को ट्रैक करने वाली कंपनियों के पीछे जाना।"

इस तरह की गतिविधियां ही हो सकती हैं कि वुड्रफ सॉयर सर्वेक्षण में 31% साइबर बीमा हामीदारों ने 2024 के लिए गोपनीयता को अपनी शीर्ष चिंता के रूप में चुना - रैंसमवेयर के बाद दूसरा, 63% उत्तरदाताओं द्वारा चुना गया।

गोपनीयता एक व्यावसायिक मुद्दा है

मोज़ेक इंश्योरेंस के वरिष्ठ उपाध्यक्ष और अंतरराष्ट्रीय साइबर प्रमुख जेम्स टुपलिन इस बात से सहमत हैं कि अंडरराइटर इस वर्ष गोपनीयता के रुझान पर अधिक बारीकी से नज़र रखेंगे। वह पुष्टि करते हैं कि गोपनीयता मुकदमेबाजी को अदालतों के माध्यम से काम करने में अक्सर पांच से सात साल लग जाते हैं, जिसका मतलब है कि 2024 में 2017 से 2019 में दायर किए गए गोपनीयता मामलों की परिणति होगी - इससे पहले कि कई देशों और अमेरिकी राज्यों ने नए गोपनीयता कानून पारित करना शुरू किया। उदाहरण के लिए, यूरोपीय संघ का सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) 2018 में लागू हुआ, इसलिए ये मामले प्रारंभिक जीडीपीआर उल्लंघन का प्रतिनिधित्व करते हैं।

बीमाकर्ता के लिए, हालांकि, गोपनीयता दावों के लिए भुगतान उतना बड़ा नहीं हो सकता है क्योंकि "हामीदारों के पास अपनी पूंजी के साथ खेलने के लिए लंबा समय होता है, जबकि वे नुकसान उनके अंतिम समाधान तक पहुंचते हैं," एंडरसन बताते हैं। ऐसा इसलिए है क्योंकि बीमाकर्ता एस्क्रो में धन रखने से ब्याज बरकरार रखते हैं जबकि दावे बातचीत और मुकदमेबाजी के माध्यम से अपने तरीके से काम करते हैं।

टुप्लिन का कहना है कि हालांकि निदेशक मंडल में आम तौर पर गोपनीयता पर सक्षम सलाहकार होते हैं, फिर भी बोर्ड गोपनीयता के मुद्दों को व्यावसायिक मामले के बजाय आईटी मामले के रूप में सोचते हैं। एसईसी सहित कुछ नियामक लगा रहे हैं क्रॉसहेयर में सीआईएसओ उन्होंने आगे कहा, भले ही वे बजट को नियंत्रित नहीं करते हैं या सभी साइबर सुरक्षा मुद्दों को हल करने का अधिकार नहीं रखते हैं।

गोपनीयता कानूनों पर नज़र रखना

एलएमजी सिक्योरिटी के संस्थापक और मुख्य कार्यकारी अधिकारी शेरी डेविडॉफ का कहना है कि बोर्डों और सुरक्षा टीमों के लिए गोपनीयता चुनौतीपूर्ण होने का कारण यह है कि कई मामलों में, संगठनों को यह नहीं पता होता है कि वे किस प्रकार का डेटा एकत्र कर रहे हैं और वह डेटा कहां रहता है। कंपनियां डेटा जमा करके रखती हैं वह कहती हैं कि इसे एक खतरनाक सामग्री मानने के बजाय एक संपत्ति के रूप में देखें।

वह कहती हैं, ''यह परमाणु कचरे की तरह है।'' "जितना अधिक डेटा आपके पास होगा, उतना अधिक जोखिम होगा।"

उद्यमों को डेटा को ख़त्म करने का बेहतर काम करने की ज़रूरत है - विशेष रूप से पीआईआई - जो ट्रिगर कर सकता है विनियामक या कानूनी उल्लंघन क्या डेटा गलत हाथों में पड़ जाना चाहिए? जबकि सुरक्षा पंडित रहे हैं वर्षों से कंपनियों को बता रहे हैं वह कहती हैं कि उन्हें यह जानने की जरूरत है कि उनके पास कौन सा डेटा है और यह कहां स्थित है, कई कंपनियां, जिनमें सख्त नियामक निरीक्षण के अधीन कंपनियां भी शामिल हैं, अक्सर अपने सभी डेटा के स्थानों को वर्गीकृत करने और पहचानने का खराब काम करती हैं।

कई कंपनियों के सामने एक और बड़ी चुनौती यह है कि वे अपने पास मौजूद डेटा के सभी गोपनीयता कानूनों और नियामक आवश्यकताओं को ट्रैक नहीं करते हैं। को समझना अमेरिकी डेटा गोपनीयता कानून परिदृश्य काफी कठिन है, लेकिन जब कोई इस पर करीब से विचार करता है तो यह और अधिक चुनौतीपूर्ण हो जाता है प्रत्येक राज्य में अद्वितीय कानून हैं विशेष रूप से स्वास्थ्य रिकॉर्ड और बच्चों के डेटा से निपटना। इसके अतिरिक्त, जिन संगठनों के पास यूरोपीय संघ के नागरिकों पर पीआईआई है, उन्हें भी ऐसा करना होगा GDPR का अनुपालन करें. अन्य देशों में व्यवसाय करने वाली कंपनियों को हर उस देश के कानूनों पर कानूनी परामर्श देने की आवश्यकता होती है जहां एक कंपनी व्यवसाय करती है ताकि यह सुनिश्चित किया जा सके कि वे उन गोपनीयता कानूनों को पूरा करते हैं।

छोटी गलती = बड़ी हानि

कई कंपनियां सोचती हैं कि यदि वे विभिन्न अनुपालन नियमों का पालन करते हैं, राज्य कानूनों का पालन करते हैं और साइबर बीमा रखते हैं, तो वे पूरी तरह तैयार हैं।
लॉ फर्म चियासा शाहीनियन एंड जाइंटोमासी (सीएसजी लॉ) में गोपनीयता और डेटा सुरक्षा अभ्यास का नेतृत्व करने वाली मिशेल शापप कहती हैं, "वास्तव में, यह पर्याप्त नहीं है।" "हालांकि यह उपभोक्ता के मुकदमे या अटॉर्नी जनरलों की कानूनी कार्रवाई या समझौता करने वाली इकाई के खिलाफ किसी अन्य प्रवर्तन एजेंसी की कार्रवाई से बचाने के लिए पर्याप्त हो सकता है, लेकिन अन्य विचार भी हैं।"

जो मामूली उल्लंघन जैसा प्रतीत हो सकता है - जैसे कि पोस्ट की गई गोपनीयता नीति का पूरी तरह से पालन न करना - कई नियामक उल्लंघन जुर्माने को ट्रिगर कर सकता है।

शाप कहते हैं, ''यह एक भ्रामक व्यापार प्रथा है।'' “यदि आप कह रहे हैं कि आप एक्स कर रहे हैं और वास्तव में, आप नहीं कर रहे हैं, तो यह एफटीसी दावे में पहली गिनती बन जाती है। प्रत्येक राज्य के अपने छोटे एफटीसी कानून या उपभोक्ता संरक्षण कानून हैं।

एक और उदाहरण जो एक मामूली उल्लंघन प्रतीत हो सकता है जिसे कॉर्पोरेट सुरक्षा टीमें अनदेखा कर सकती हैं लेकिन जो अनुपालन या कानूनी उल्लंघन उत्पन्न कर सकता है वह एक सरल ऑप्ट-आउट अनुरोध है। जब कोई उपभोक्ता किसी कंपनी को मेलिंग सूची से हटाने के लिए कहता है, तो अनुरोध में सभी राज्य कानूनों का अनुपालन करने के लिए अनुरोधकर्ता द्वारा उपयोग किए जाने वाले सभी ईमेल पते शामिल होने चाहिए। इस प्रकार, भले ही कोई कंपनी कहती है कि वह कानून का अनुपालन करती है, हो सकता है कि वह उन सभी राज्यों के लिए अनुपालन न करे जहां वह काम करती है। गोपनीयता कानूनों के पालन को गलत बताने से बीमा दावे को अस्वीकार किया जा सकता है।

इनमें से कुछ अनुपालन कमियों को भरने के लिए जिनके बारे में शायद उन्हें पता भी न हो, शाप ने सिफारिश की है कि कंपनियां नियमों के सही पक्ष पर बने रहने और अपनी नीतियों को अच्छा बनाए रखने के लिए अपने साइबर बीमाकर्ता द्वारा प्रदान की जाने वाली किसी भी मदद, जैसे सुरक्षा टेबलटॉप और अन्य अभ्यासों का लाभ उठाएं। स्थिर.

यह सिर्फ सैद्धांतिक नहीं है. 2022 में एक कंपनी ने अपने यहां मल्टीफैक्टर ऑथेंटिकेशन के इस्तेमाल को गलत बताया बीमा आवेदन प्रश्नावली. साइबर बीमा वाहक, ट्रैवलर्स ने कंपनी पर मुकदमा दायर किया, अंततः साइबर बीमा पॉलिसी को रद्द करने और दावे को अस्वीकार करने के बावजूद कंपनी द्वारा भुगतान किए गए प्रीमियम को बरकरार रखा।

समय टिकट:

से अधिक डार्क रीडिंग