הפרטיות מנצחת את תוכנת הכופר כדאגת הביטוח המובילה

בזמן שמנהלי תאגידים וצוותי אבטחה מתאמצים להבטיח שהם עומדים בתקנות אבטחת הסייבר החדשות של רשות ניירות ערך (SEC), טענות עקב טיפול לא נכון במידע אישי מזהה מוגן (PII) עלולות להתחרות במחיר של התקפות כופר, מזהיר דיוויד אנדרסון, סגן נשיא לסייבר אחריות בוודרוף סוייר, תיווך לביטוח לאומי.

בעוד שלטענות פרטיות לוקח שנים לפלס את דרכן בתהליך המשפטי, "הפסדים הם בדרך כלל קטסטרופליים במהלך שלוש עד חמש שנים כמו תביעת תוכנת כופר במהלך שלושה עד חמישה ימים", הוא אומר.

ב מצגת המתמקדת במגמות ליטיגציה של 2024דן בורק, סגן נשיא בכיר ומנהיג תרגול סייבר לאומי בוודרופ סוייר, ציין, "תביעות מעקב פיקסלים הן היעד האחרון לבר של התובעים - ללכת אחרי חברות שעוקבות אחר פעילות האתר דרך פיקסלים על המסך מבלי לקבל הסכמה מתאימה".

פעילויות כאלה יכולות להיות הסיבה לכך ש-31% מחתמי ביטוח הסייבר בסקר של Woodruff Sawyer בחרו בפרטיות כדאגה העיקרית שלהם לשנת 2024 - שניה רק ​​לאחר תוכנת הכופר, שנבחרה על ידי 63% מהנשאלים.

פרטיות היא בעיה עסקית

ג'יימס טופלין, סגן נשיא בכיר וראש הסייבר הבינלאומי ב- Mosaic Insurance, מסכים שהחתמים יסתכלו הרבה יותר מקרוב על מגמות הפרטיות השנה. לעתים קרובות לוקח חמש עד שבע שנים עד שהליטיגציה בנושא פרטיות תעבוד בבתי המשפט, הוא מאשר, מה שאומר שבשנת 2024 תראה את השיא של תיקי פרטיות שהוגשו בשנים 2017 עד 2019 - לפני שמדינות ומדינות רבות בארה"ב החלו להעביר חוקי פרטיות חדשים. לדוגמה, תקנת הגנת המידע הכללית (GDPR) של האיחוד האירופי נכנסה לתוקף בשנת 2018, כך שמקרים אלו מייצגים הפרות ראשוניות של ה-GDPR.

עם זאת, עבור המבטחת, התשלום עבור תביעות פרטיות עשוי להיות לא כל כך גדול מכיוון ש"לחתמים יש זמן רב לשחק עם ההון שלהם בזמן שההפסדים האלה מתבססים על ההחלטה הסופית שלהם", מסביר אנדרסון. הסיבה לכך היא שמבטחים שומרים על האינטרס מהחזקת כספים בנאמנות בזמן שהתביעות פועלות בדרכן באמצעות משא ומתן וליטיגציה.

בעוד שלדירקטוריונים יש בדרך כלל יועצים מוכשרים לפרטיות, מועצות המנהלים עדיין נוטות לחשוב על נושאי פרטיות כעניין IT ולא כעניין עסקי, אומר טופלין. כמה רגולטורים, כולל ה-SEC, שמים CISOs על הכוונת של התקנות למרות שאינן שולטות בתקציבים או שיש להן סמכות לפתור את כל נושאי אבטחת הסייבר, הוא מוסיף.

מעקב אחר חוקי הפרטיות

בין הסיבות לכך שהפרטיות הפכה מאתגרת לדירקטוריונים וצוותי אבטחה היא שבמקרים רבים, ארגונים אינם יודעים אילו סוגי נתונים הם אוספים והיכן הנתונים הללו נמצאים, מציינת שרי דוידוף, מייסדת ומנכ"לית LMG Security. חברות נוטות לאגור נתונים כנכס במקום להתייחס אליו כחומר מסוכן, היא אומרת.

"זה כמו פסולת גרעינית", היא אומרת. "ככל שיש לך יותר נתונים, כך יש לך יותר סיכון."

ארגונים צריכים לעשות עבודה טובה יותר בביטול נתונים - PII, בפרט - שעלולים לעורר א הפרה רגולטורית או חוקית אם הנתונים ייפלו לידיים הלא נכונות. בעוד מומחי אבטחה היו מספר לחברות במשך שנים שהם צריכים לדעת אילו נתונים יש להם והיכן הם נמצאים, חברות רבות, כולל אלו הכפופות לפיקוח רגולטורי קפדני, עושות לרוב עבודה גרועה בסיווג וזיהוי המיקומים של כל הנתונים שלהן, היא אומרת.

אתגר מרכזי נוסף שעומדות בפני חברות רבות הוא שהן אינן עוקבות אחר כל חוקי הפרטיות והדרישות הרגולטוריות של הנתונים שבידיהן. הבנת ה נוף חוקי פרטיות המידע בארה"ב זה קשה מספיק, אבל זה הופך מאתגר יותר כשחושבים על זה כמעט לכל מדינה יש חוקים ייחודיים התמודדות ספציפית עם רישומי בריאות ונתוני ילדים. בנוסף, גם ארגונים שיש להם PII על אזרחי האיחוד האירופי חייבים לציית לתמ"ג. חברות שעושות עסקים במדינות אחרות צריכות לקבל ייעוץ משפטי שיבדוק את החוקים בכל מדינה שבה חברה עושה עסקים כדי להבטיח שהן עומדות בחוקי הפרטיות הללו.

שגיאה קטנה = הפסד גדול

חברות רבות חושבות שאם הן עומדות בתקנות הציות השונות, עומדות בחוקי המדינה ויש להן ביטוח סייבר, אז הכל מסודר.
"זה לא, למעשה, מספיק", אומרת מישל שאפ, שמובילה את פרקטיקת הפרטיות ואבטחת המידע במשרד עורכי הדין Chiesa Shahinian & Giantomasi (CSG Law). "אמנם זה עשוי להספיק כדי להגן מפני תביעה או תביעה משפטית של צרכן מפני פעולה של היועץ המשפטי לממשלה או סוכנות אכיפה אחרת נגד הישות שנפגעה, אך ישנם שיקולים אחרים".

מה שעשוי להיראות כמו הפרה קלה - כמו אי מילוי מלא של מדיניות הפרטיות שפורסמה - עלול לגרום לקנסות מרובים על הפרות רגולטוריות.

"זו נוהג סחר מטעה", אומר שאפ. "אם אתה אומר שאתה עושה X ולמעשה, אתה לא, זה הופך להיות הספירה הראשונה בתביעת ה-FTC. לכל מדינה יש חוקי FTC קטנים משלה, או חוקי הגנת הצרכן".

דוגמה נוספת למה שעשוי להיראות כהפרה קלה שצוותי האבטחה הארגוניים יכולים להתעלם ממנה, אך שעלולה ליצור ציות או הפרת חוק היא בקשת ביטול פשוטה. כאשר צרכן מבקש מחברה להסיר מרשימת תפוצה, הבקשה צריכה לכסות את כל כתובות האימייל שבהן משתמש המבקש כדי לעמוד בכל חוקי המדינה. לפיכך, גם אם חברה אומרת שהיא מצייתת לחוק, ייתכן שהיא לא תואמת לכל המדינות שבהן היא פועלת. הצגה מוטעית של עמידתה בחוקי הפרטיות עלולה לגרום לדחיית תביעת ביטוח.

כדי למלא כמה מחורי הציות הללו שאולי אפילו לא ידעו עליהם, Schaap ממליץ לחברות לנצל כל עזרה שמבטחת הסייבר שלהן מספקת, כגון אבטחה שולחנית ותרגילים אחרים, כדי להישאר בצד הנכון של התקנות ולשמור על המדיניות שלהן. במקום.

זה לא רק תיאורטי. בשנת 2022, חברה הציגה את השימוש שלה באימות רב-גורמי בקשה לביטוח שְׁאֵלוֹן. חברת ביטוח הסייבר, טראוולס, תבעה את החברה, ובסופו של דבר שמרה על הפרמיות שהחברה שילמה למרות ביטול פוליסת ביטוח הסייבר - ודחתה את התביעה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance