プライバシーが保険上の最大の懸念事項としてランサムウェアを上回る

プライバシーが保険上の最大の懸念事項としてランサムウェアを上回る

タイムスタンプ:23年2024月12日23:XNUMX
Privacy Beats Ransomware as Top Insurance Concern PlatoBlockchain Data Intelligence. Vertical Search. Ai.

企業の取締役やセキュリティチームが証券取引委員会(SEC)の新しいサイバーセキュリティ規制を確実に満たすために奔走する中、保護された個人識別情報(PII)の取り扱いを誤ったことによる賠償請求はランサムウェア攻撃のコストに匹敵する可能性があるとサイバー部門副社長のデビッド・アンダーソン氏は警告する全国保険仲介業者ウッドラフ・ソーヤー社の責任。

プライバシー侵害の申し立てが法的手続きを経るまでに何年もかかりますが、「ランサムウェアの申し立てが 3 ~ 5 日かかるのと同じくらい、損害は一般に 3 ~ 5 年間で壊滅的になります」と彼は言います。

2024年の訴訟動向に焦点を当てたプレゼンテーション, ウッドラフ・ソーヤー社の上級副社長兼国家サイバー実務リーダーのダン・バーク氏は、「ピクセル追跡の主張は原告側の法廷の最新の標的であり、適切な同意を得ることなく画面上のピクセルを通じてウェブサイトの活動を追跡している企業を追及している」と述べた。

ウッドラフ・ソーヤーの調査で、サイバー保険引受会社の 31% が 2024 年の最大の懸念事項としてプライバシーを挙げ、回答者の 63% が選んだランサムウェアに次いで XNUMX 番目となったのは、このような活動が原因である可能性があります。

プライバシーはビジネス上の問題です

モザイク保険のシニアバイスプレジデント兼国際サイバー部門責任者であるジェームズ・タプリン氏は、保険会社が今年プライバシーの傾向をより詳しく調べることになることに同意する。プライバシー訴訟が裁判所で成立するには2024~2017年かかることが多い、と同氏は認めている。つまり、多くの国や米国の州が新たなプライバシー法を可決し始める前の、2019年から2018年に起こされたプライバシー訴訟がXNUMX年に最高潮に達することになる。たとえば、欧州連合の一般データ保護規則 (GDPR) は XNUMX 年に発効したため、これらのケースは初期の GDPR 違反に相当します。

しかし、保険会社にとっては、「最終的な解決に向けて損失が積み重なるまで、引受会社は資本を運用するのに長い時間がかかる」ため、プライバシー請求に対する支払いはそれほど大きくない可能性があるとアンダーソン氏は説明する。それは、保険会社が交渉や訴訟を通じて保険金請求を処理している間、エスクローで資金を保持することによる利息を保持しているためです。

通常、取締役会にはプライバシーに関して有能なアドバイザーがいますが、取締役会は依然としてプライバシー問題をビジネス問題ではなく IT 問題として考える傾向があるとタプリン氏は言います。 SEC を含む一部の規制当局は、 CISO が照準を合わせる たとえ規制が予算を管理したり、すべてのサイバーセキュリティ問題を解決する権限を持っていなくても、彼は付け加えた。

プライバシー法の追跡

取締役会やセキュリティ チームにとってプライバシーが困難になっている理由の 1 つは、多くの場合、組織がどのような種類のデータを収集しているのか、そのデータがどこに存在するのかを把握していないことが挙げられると、LMG セキュリティの創設者兼 CEO のシェリー ダビドフ氏は述べています。 企業はデータを溜め込む傾向がある 危険物として考えるのではなく、資産として扱うべきだと彼女は言います。

「核廃棄物のようなものです」と彼女は言う。 「データが多ければ多いほど、リスクも大きくなります。」

企業は、データ、特に PII を排除するという、問題を引き起こす可能性のあるデータをより適切に除去する必要があります。 規制または法律違反 データが悪者の手に渡った場合。安全保障の専門家が 何年も企業に言い続けてきた どのようなデータを保有し、それがどこにあるのかを知る必要があるが、厳格な規制監視の対象となっている企業を含む多くの企業は、すべてのデータの分類と場所の特定が不十分であることが多い、と彼女は言います。

多くの企業が直面するもう 1 つの大きな課題は、保有するデータのプライバシー法や規制要件をすべて追跡していないことです。理解する 米国のデータプライバシー法の展望 それだけでも十分難しいですが、ほぼ次のことを考えると、さらに難しくなります。 どの州にも独自の法律がある 特に健康記録と子供のデータを扱います。さらに、欧州連合国民に関する PII を持つ組織は、次のことも行う必要があります。 GDPRに従う。他国で事業を行う企業は、プライバシー法を確実に満たすために、事業を展開するすべての国の法律を弁護士に調査してもらう必要があります。

小さなエラー = 大きな損失

多くの企業は、さまざまなコンプライアンス規制を遵守し、州法を遵守し、サイバー保険に加入していれば大丈夫だと考えています。
「実際のところ、それだけでは十分ではありません」と、法律事務所キエサ・シャヒニアン&ジャイアントマシ(CSG法)でプライバシーとデータセキュリティ業務を率いるミシェル・シャープ氏は言う。 「侵害された事業体に対する司法長官や他の執行機関の措置による消費者の訴訟や法的措置から保護するには十分かもしれないが、考慮すべき点は他にもある。」

掲載されたプライバシー ポリシーを完全に遵守しないなど、軽微な違反に見える場合でも、複数の規制違反の罰金が科せられる可能性があります。

「これは欺瞞的な貿易慣行だ」とシャープ氏は言う。 「もしあなたがXをしていると言っているのに、実際はそうではないのであれば、それがFTCの主張の最初のカウントとなる。各州には独自の小さな FTC 法、つまり消費者保護法があります。」

企業のセキュリティ チームが見逃す可能性のある軽微な違反に見えても、コンプライアンス違反や法律違反を引き起こす可能性があるもののもう 1 つの例は、単純なオプトアウト リクエストです。消費者が企業に対してメーリング リストからの削除を要求する場合、すべての州法を遵守するために、要求者が使用するすべての電子メール アドレスを要求に含める必要があります。したがって、企業が法律を遵守していると言っているとしても、事業を展開しているすべての州で準拠しているわけではない可能性があります。プライバシー法の順守について虚偽の説明をすると、保険請求が拒否される可能性があります。

シャアプ氏は、企業が気づいていない可能性のあるコンプライアンスの穴を埋めるために、サイバー保険会社が提供するセキュリティ机上演習やその他の演習などのあらゆる支援を利用して、規制を正しく遵守し、自社のポリシーを適切に維持することを推奨しています。代わりに。

これは単なる理論上の話ではありません。 2022 年、ある企業が多要素認証の使用について虚偽の報告書を作成しました。 保険申請 アンケート。サイバー保険会社トラベラーズは同社を告訴し、最終的にはサイバー保険契約をキャンセルしたにもかかわらず、同社が支払った保険料を維持し、請求を拒否した。

タイムスタンプ:

より多くの 暗い読書