개인 정보 보호가 랜섬웨어를 제치고 최고의 보험 문제로 떠오름

기업 이사와 보안 팀이 증권거래위원회(SEC)의 새로운 사이버 보안 규정을 준수하기 위해 안간힘을 쓰고 있는 가운데, 보호된 개인 식별 정보(PII)를 잘못 처리하여 발생한 소송은 랜섬웨어 공격으로 인한 비용과 맞먹을 수 있다고 사이버 담당 부사장인 데이비드 앤더슨이 경고했습니다. 국가 보험 중개업체인 Woodruff Sawyer의 책임입니다.

개인 정보 보호 청구가 법적 절차를 완료하는 데 수년이 걸리지만 "랜섬웨어 청구가 3~5일에 걸쳐 진행되는 것과 마찬가지로 손실은 일반적으로 3~5년에 걸쳐 재앙적입니다."라고 그는 말합니다.

안에 2024년 소송 동향에 초점을 맞춘 프레젠테이션Woodruff Sawyer의 수석 부사장이자 국가 사이버 실무 리더인 Dan Burke는 "픽셀 추적 주장은 적절한 동의를 얻지 않고 화면의 픽셀을 통해 웹 사이트 활동을 추적하는 회사를 추적하는 원고의 바의 최신 목표입니다."라고 말했습니다.

Woodruff Sawyer 설문조사에서 사이버 보험업자 중 31%가 2024년 최대 관심사로 개인 정보 보호를 선택한 이유는 이러한 활동 때문일 수 있습니다. 이는 응답자의 63%가 랜섬웨어에 이어 두 번째로 선택한 것입니다.

개인 정보 보호는 비즈니스 문제입니다

모자이크 보험(Mosaic Insurance)의 수석 부사장 겸 국제 사이버 책임자인 제임스 터플린(James Tuplin)은 보험사가 올해 개인 정보 보호 동향을 훨씬 더 면밀히 조사할 것이라는 점에 동의합니다. 그는 개인 정보 보호 소송이 법원을 통과하는 데 2024~2017년이 걸리는 경우가 많다고 확인했습니다. 즉, 많은 국가와 미국 주에서 새로운 개인 정보 보호법이 통과되기 전인 2019~2018년에 제기된 개인 정보 보호 소송이 XNUMX년에 정점을 찍게 될 것이라고 확인했습니다. 예를 들어, 유럽 연합의 GDPR(일반 데이터 보호 규정)은 XNUMX년에 발효되었으므로 이러한 사례는 초기 GDPR 위반을 의미합니다.

그러나 보험사의 경우 개인 정보 보호 청구에 대한 지불금이 그리 크지 않을 수 있습니다. "보험사는 자본을 가지고 노는 데 오랜 시간이 걸리고 손실은 최종 해결에 도달하기 때문"이라고 Anderson은 설명합니다. 그 이유는 청구가 협상과 소송을 통해 진행되는 동안 보험사가 에스크로에 자금을 보유함으로써 이익을 유지하기 때문입니다.

이사회에는 일반적으로 개인 정보 보호에 대한 유능한 조언자가 있지만 이사회는 여전히 개인 정보 보호 문제를 비즈니스 문제가 아닌 IT 문제로 생각하는 경향이 있다고 Tuplin은 말합니다. SEC를 포함한 일부 규제 당국은 십자선에 있는 CISO 그는 예산을 통제하지 않거나 모든 사이버 보안 문제를 해결할 권한이 없음에도 불구하고 규제가 너무 많다고 덧붙였습니다.

개인 정보 보호법 추적

LMG Security의 설립자이자 CEO인 셰리 다비도프(Sherri Davidoff)는 개인 정보 보호가 이사회와 보안 팀에게 어려운 이유 중 하나는 많은 경우 조직이 수집하는 데이터의 종류와 해당 데이터가 어디에 있는지 모르기 때문이라고 말합니다. 기업은 데이터를 저장하는 경향이 있습니다. 위험 물질로 간주하기보다는 자산으로 간주한다고 그녀는 말합니다.

“그것은 핵폐기물과 같습니다.”라고 그녀는 말합니다. “데이터가 많을수록 위험도 커집니다.”

기업은 범죄를 유발할 수 있는 데이터, 특히 PII를 제거하는 작업을 더 잘 수행해야 합니다. 규제 또는 법적 위반 데이터가 잘못된 사람의 손에 넘어갈 경우. 보안 전문가들은 수년간 회사에 말하다 그녀는 자신이 어떤 데이터를 보유하고 있는지, 어디에 있는지 알아야 하기 때문에 엄격한 규제 감독을 받는 기업을 포함해 많은 기업이 모든 데이터의 위치를 ​​분류하고 식별하는 작업을 제대로 수행하지 못하는 경우가 많다고 말합니다.

많은 기업이 직면하고 있는 또 다른 주요 과제는 보유한 데이터에 대한 모든 개인 정보 보호법과 규제 요구 사항을 추적하지 않는다는 것입니다. 이해하기 미국 데이터 개인 정보 보호법 환경 충분히 어렵지만 거의 고려하면 더욱 어려워집니다. 모든 주에는 고유한 법률이 있습니다. 특히 건강 기록과 아동 데이터를 다루고 있습니다. 또한 유럽 연합 시민에 대한 PII를 보유한 조직은 다음 사항도 준수해야 합니다. GDPR을 준수하다.. 다른 국가에서 비즈니스를 수행하는 회사는 회사가 비즈니스를 수행하는 모든 국가의 법률을 조사하여 해당 개인정보 보호법을 준수하는지 법률 자문을 받아야 합니다.

작은 오류 = 큰 손실

많은 기업들은 다양한 규정 준수 규정을 준수하고, 주 법률을 준수하며, 사이버 보험에 가입하면 모든 것이 해결된다고 생각합니다.
법률 회사인 Chiesa Shahinian & Giantomasi(CSG Law)에서 개인 정보 보호 및 데이터 보안 실무를 이끌고 있는 Michelle Schaap은 "사실 그것만으로는 충분하지 않습니다."라고 말합니다. "소비자 소송이나 법무장관이나 다른 집행 기관의 피해 기업에 대한 법적 조치로부터 보호하는 것만으로도 충분할 수 있지만 다른 고려 사항도 있습니다."

게시된 개인 정보 보호 정책을 완전히 따르지 않는 등 사소한 위반처럼 보일 수도 있지만 여러 차례의 규제 위반 벌금이 부과될 수 있습니다.

“이것은 기만적인 거래 관행입니다.”라고 Schaap은 말합니다. “당신이 X를 하고 있다고 말하고 실제로는 그렇지 않다면 그것이 FTC 청구의 첫 번째 항목이 됩니다. 각 주에는 자체적인 작은 FTC 법률, 즉 소비자 보호법이 있습니다.”

기업 보안 팀이 간과할 수 있는 사소한 위반처럼 보이지만 규정 준수 또는 법적 위반을 초래할 수 있는 또 다른 예는 간단한 옵트아웃 요청입니다. 소비자가 회사에 메일링 리스트에서 제외해 달라고 요청하는 경우 모든 주 법률을 준수하기 위해 요청자는 요청자가 사용하는 모든 이메일 주소를 포함해야 합니다. 따라서 회사가 법을 준수한다고 말하더라도 회사가 운영되는 모든 주에서는 준수하지 않을 수도 있습니다. 개인 정보 보호법 준수 여부를 잘못 기재하면 보험 청구가 거부될 수 있습니다.

Schaap은 그들이 알지도 못하는 이러한 규정 준수 허점을 메우기 위해 보안 테이블탑 및 기타 연습과 같이 사이버 보험사가 제공하는 모든 지원을 활용하여 규정을 준수하고 정책을 양호한 상태로 유지할 것을 권장합니다. 대신.

이것은 단지 이론적인 것이 아닙니다. 2022년에 한 회사는 다중 요소 인증 사용을 잘못 기술했습니다. 보험 신청 설문지. 사이버 보험사인 트래블러스(Travelers)는 회사를 상대로 소송을 제기했고, 결국 사이버 보험을 취소했음에도 불구하고 회사가 지불한 보험료를 그대로 유지하고 청구를 거부했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance