Az adatvédelem felülmúlja a Ransomware-t, mint a legfőbb biztosítási aggályt

Miközben a vállalati igazgatók és a biztonsági csapatok azon fáradoznak, hogy megfeleljenek az Értékpapír- és Tőzsdefelügyelet (SEC) új kiberbiztonsági előírásainak, a védett személyazonosításra alkalmas adatok (PII) helytelen kezeléséből fakadó követelések vetekedhetnek a zsarolóvírus-támadások költségeivel – figyelmeztet David Anderson, a kiberügyekért felelős alelnöke. felelősség a Woodruff Sawyernél, egy nemzeti biztosítási brókernél.

Míg az adatvédelmi követelések évekig tartanak, amíg a jogi folyamaton keresztül jutnak el, „a veszteségek általában ugyanolyan katasztrofálisak három-öt év alatt, mint a zsarolóprogramokkal kapcsolatos követelések három-öt nap alatt” – mondja.

egy előadás, amely a 2024-es peres folyamatokra fókuszál, Dan Burke, a Woodruff Sawyer vezető alelnöke és országos kibergyakorlat-vezetője megjegyezte: „A pixelkövetési követelések jelentik a felperesek sávjának legújabb célpontját – olyan cégek után, amelyek megfelelő beleegyezés nélkül követik nyomon a webhelyek tevékenységét a képernyőn megjelenő pixeleken keresztül.”

Egy Woodruff Sawyer felmérésben a kiberbiztosítást biztosítók 31%-a az ehhez hasonló tevékenységek miatt jelölte meg a magánéletet a legfontosabb szempontként 2024-ben – ez a második a ransomware után, amelyet a válaszadók 63%-a választott.

Az adatvédelem üzleti kérdés

James Tuplin, a Mosaic Insurance alelnöke és nemzetközi kiberrészlegének vezetője egyetért azzal, hogy a biztosítók ebben az évben sokkal alaposabban megvizsgálják az adatvédelmi trendeket. Megerősítette, hogy gyakran öt-hét évbe telik, amíg az adatvédelmi perek a bíróságokon áthaladnak, ami azt jelenti, hogy 2024-ben a 2017 és 2019 között benyújtott adatvédelmi ügyek csúcspontja lesz – mielőtt sok országban és az Egyesült Államokban új adatvédelmi törvényeket fogadtak volna el. Például az Európai Unió általános adatvédelmi rendelete (GDPR) 2018-ban lépett hatályba, tehát ezek az esetek a GDPR kezdeti megsértésének minősülnek.

A biztosító számára azonban előfordulhat, hogy a magánéleti követelések kifizetése nem olyan nagy, mert „a biztosítóknak sokáig kell játszaniuk a tőkéjükkel, amíg ezek a veszteségek a végső megoldásig terjednek” – magyarázza Anderson. Ennek az az oka, hogy a biztosítók megtartják az alapok letétbe helyezésének kamatait, miközben a követelések tárgyalásokon és peres úton haladnak.

Míg az igazgatótanácsoknak általában vannak hozzáértő tanácsadói a magánélet védelmével kapcsolatban, a testületek továbbra is hajlamosak az adatvédelmi kérdéseket informatikai kérdésnek tekinteni, nem pedig üzleti ügynek, mondja Tuplin. Egyes szabályozók, köztük a SEC is ezt állítja A CISO-k a célkeresztben Hozzáteszi, hogy nem ellenőrzik a költségvetést, és nem rendelkeznek hatáskörrel az összes kiberbiztonsági kérdés megoldására.

Az adatvédelmi törvények követése

Az okok között, amelyek miatt az adatvédelem kihívást jelent az igazgatóságok és a biztonsági csapatok számára, az az, hogy a szervezetek sok esetben nem tudják, milyen típusú adatokat gyűjtenek, és hol találhatók ezek az adatok – jegyzi meg Sherri Davidoff, az LMG Security alapítója és vezérigazgatója. A vállalatok hajlamosak adatokat felhalmozni eszköznek tekintjük, nem pedig veszélyes anyagnak, mondja.

„Olyan, mint a nukleáris hulladék” – mondja. "Minél több adattal rendelkezik, annál nagyobb a kockázata."

A vállalatoknak jobb munkát kell végezniük az adatok – különösen a személyazonosításra alkalmas adatok – kiiktatásában, amelyek kiválthatják a szabályozás vagy jogszabály megsértése ha az adatok rossz kezekbe kerülnek. Míg a biztonsági szakértők voltak évek óta mesél a cégeknek hogy tudniuk kell, milyen adatokkal rendelkeznek és hol találhatók, sok vállalat, köztük a szigorú szabályozási felügyelet alá tartozók is, gyakran rosszul osztályozzák és azonosítják minden adatuk helyét – mondja.

Egy másik nagy kihívás, amellyel sok cég szembesül, az, hogy nem követik nyomon a birtokukban lévő adatokra vonatkozó összes adatvédelmi törvényt és szabályozási követelményt. Megértése a Az Egyesült Államok adatvédelmi törvényei elég nehéz, de még nagyobb kihívást jelent, ha azt vesszük, hogy majdnem minden államnak egyedi törvényei vannak kifejezetten az egészségügyi nyilvántartásokkal és a gyermekek adataival foglalkozik. Ezenkívül azoknak a szervezeteknek is meg kell tenniük, amelyek az Európai Unió polgáraira vonatkozó személyes adatokkal rendelkeznek megfelelnek a GDPR-nek. A más országokban üzleti tevékenységet folytató vállalatoknak jogi tanácsadót kell kérniük minden olyan országban, ahol a vállalat üzleti tevékenységet folytat, annak biztosítása érdekében, hogy megfeleljenek ezeknek az adatvédelmi törvényeknek.

Kis hiba = nagy veszteség

Sok cég úgy gondolja, hogy ha betartja a különböző megfelelőségi előírásokat, betartja az állami törvényeket, és rendelkezik kiberbiztosítással, akkor minden készen áll.
„Ez valójában nem elég” – mondja Michelle Schaap, a Chiesa Shahinian & Giantomasi (CSG Law) ügyvédi iroda adatvédelmi és adatbiztonsági gyakorlatának vezetője. "Bár elegendő lehet a fogyasztó perével vagy a főügyészek vagy más végrehajtó hivatal által a veszélyeztetett szervezettel szembeni keresetekkel szembeni védelemre, vannak más szempontok is."

Ami kisebb jogsértésnek tűnhet – például a közzétett adatvédelmi szabályzat teljes be nem tartása – többszörös szabálysértési bírságot vonhat maga után.

„Ez egy megtévesztő kereskedelmi gyakorlat” – mondja Schaap. „Ha azt mondod, hogy X-et teszel, de valójában nem, akkor ez lesz az első szám az FTC követelésében. Minden államnak megvannak a saját kis FTC-törvényei vagy fogyasztóvédelmi törvényei."

Egy másik példa arra, hogy a vállalati biztonsági csapatok figyelmen kívül hagyhatják, de amely szabálysértést vagy jogi megsértést eredményezhet, egy egyszerű leiratkozási kérelem. Amikor a fogyasztó azt kéri egy cégtől, hogy töröljék le a levelezőlistáról, a kérésnek ki kell terjednie a kérelmező által használt összes e-mail címre, hogy megfeleljen az összes állami törvénynek. Így még ha egy vállalat azt állítja is, hogy megfelel a törvénynek, előfordulhat, hogy nem felel meg minden olyan államban, amelyben működik. Az adatvédelmi törvények betartásának téves állítása a biztosítási igény elutasítását válthatja ki.

A Schaap azt javasolja a vállalatoknak, hogy a megfelelőségi hiányosságok némelyikének kitöltése érdekében használjanak ki a kiberbiztosítójuk által nyújtott minden segítséget, például biztonsági asztali gyakorlatokat és egyéb gyakorlatokat annak érdekében, hogy a szabályozások helyes oldalán maradjanak, és biztosítsák politikáikat. helyette.

Ez nem csak elméleti. 2022-ben egy vállalat félreértette a többtényezős hitelesítés használatát biztosítási kérelem kérdőív. A kiberbiztosítási szolgáltató, a Travelers beperelte a társaságot, és végül megtartotta a társaság által fizetett díjakat, annak ellenére, hogy felmondta a kiberbiztosítási kötvényt – és tagadta a követelést.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance