Privacy verslaat ransomware als grootste zorg voor verzekeringen

Terwijl bedrijfsdirecteuren en beveiligingsteams zich inspannen om ervoor te zorgen dat ze voldoen aan de nieuwe cyberbeveiligingsregels van de Securities and Exchange Commission (SEC), kunnen claims als gevolg van het verkeerd omgaan met beschermde persoonlijk identificeerbare informatie (PII) de kosten van ransomware-aanvallen evenaren, waarschuwt David Anderson, vice-president van cybersecurity. aansprakelijkheid bij Woodruff Sawyer, een nationale verzekeringsmakelaardij.

Hoewel privacyclaims er jaren over doen om door de juridische procedure heen te komen, “zijn verliezen over het algemeen net zo catastrofaal in de loop van drie tot vijf jaar als een ransomware-claim in de loop van drie tot vijf dagen”, zegt hij.

In een presentatie gericht op de procestrends voor 2024Dan Burke, senior vice-president en nationaal leider op het gebied van cyberpraktijken bij Woodruff Sawyer, merkte op: “Beweringen over pixeltracking zijn het nieuwste doelwit voor de eisers – ze gaan achter bedrijven aan die website-activiteit volgen via pixels op het scherm zonder de juiste toestemming te verkrijgen.”

Dit soort activiteiten zouden de reden kunnen zijn waarom 31% van de verzekeraars van cyberverzekeringen in een onderzoek van Woodruff Sawyer privacy als hun grootste zorg voor 2024 heeft gekozen – de tweede na ransomware, gekozen door 63% van de respondenten.

Privacy is een zakelijke kwestie

James Tuplin, senior vice-president en hoofd internationale cyber bij Mozaïek Insurance, is het ermee eens dat verzekeraars dit jaar de privacytrends veel nader zullen bekijken. Het duurt vaak vijf tot zeven jaar voordat privacygeschillen via de rechtbank worden afgehandeld, bevestigt hij, wat betekent dat in 2024 het hoogtepunt zal zijn van de privacyzaken die tussen 2017 en 2019 zijn ingediend – voordat veel landen en Amerikaanse staten nieuwe privacywetten begonnen aan te nemen. De Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie is bijvoorbeeld in 2018 van kracht geworden, dus deze gevallen vertegenwoordigen initiële AVG-schendingen.

Voor de verzekeraar is de uitbetaling voor privacyclaims echter mogelijk niet zo groot omdat de “underwriters veel tijd hebben om met hun kapitaal te spelen, terwijl die verliezen zich opbouwen tot hun uiteindelijke oplossing”, legt Anderson uit. Dat komt omdat verzekeraars het belang behouden van het in bewaring houden van geld, terwijl claims hun weg vinden via onderhandelingen en rechtszaken.

Hoewel raden van bestuur over het algemeen over bekwame adviseurs op het gebied van privacy beschikken, zijn besturen nog steeds geneigd om privacykwesties als een IT-aangelegenheid te beschouwen in plaats van als een zakelijke aangelegenheid, zegt Tuplin. Sommige toezichthouders, waaronder de SEC, zetten in CISO's in het vizier van regelgeving, ook al hebben ze geen controle over de begrotingen of hebben ze niet de bevoegdheid om alle cyberveiligheidsproblemen op te lossen, voegt hij eraan toe.

Privacywetten volgen

Een van de redenen waarom privacy een uitdaging is geworden voor besturen en beveiligingsteams is dat organisaties in veel gevallen niet weten welke soorten gegevens ze verzamelen en waar die gegevens zich bevinden, merkt Sherri Davidoff, oprichter en CEO van LMG Security op. Bedrijven hebben de neiging om data op te hamsteren als een bezit in plaats van het als een gevaarlijk materiaal te beschouwen, zegt ze.

“Het is net kernafval”, zegt ze. “Hoe meer gegevens je hebt, hoe meer risico je loopt.”

Bedrijven moeten beter hun best doen om gegevens (met name PII) te elimineren die een overtreding van regelgeving of wetgeving mocht de data in verkeerde handen vallen. Terwijl veiligheidsexperts dat wel zijn geweest bedrijven al jaren vertellen Omdat ze moeten weten welke gegevens ze hebben en waar deze zich bevinden, slagen veel bedrijven, inclusief bedrijven die onderworpen zijn aan streng toezicht, vaak slecht in het classificeren en identificeren van de locaties van al hun gegevens, zegt ze.

Een ander groot probleem waar veel bedrijven mee te maken hebben, is dat ze niet alle privacywetten en regelgevingsvereisten bijhouden van de gegevens die ze bewaren. Het begrijpen van de Landschap van de Amerikaanse wetgeving inzake gegevensprivacy is al moeilijk genoeg, maar het wordt nog uitdagender als je dat bijna in ogenschouw neemt elke staat heeft unieke wetten die zich specifiek bezighoudt met medische dossiers en gegevens van kinderen. Bovendien moeten organisaties die PII van burgers van de Europese Unie hebben, dit ook doen voldoen aan de GDPR. Bedrijven die zaken doen in andere landen moeten juridisch advies krijgen over de wetten in elk land waar een bedrijf zaken doet, om er zeker van te zijn dat ze aan die privacywetten voldoen.

Kleine fout = groot verlies

Veel bedrijven denken dat als ze zich houden aan de verschillende complianceregels, de staatswetten naleven en een cyberverzekering afsluiten, ze er helemaal klaar voor zijn.
“Dat is eigenlijk niet genoeg”, zegt Michelle Schaap, die leiding geeft aan de privacy- en databeveiligingspraktijk bij advocatenkantoor Chiesa Shahinian & Giantomasi (CSG Law). “Hoewel het voldoende zou kunnen zijn om bescherming te bieden tegen een rechtszaak van een consument of juridische stappen van de procureurs-generaal of een andere handhavingsinstantie tegen de gecompromitteerde entiteit, zijn er andere overwegingen.”

Wat misschien een kleine overtreding lijkt – zoals het niet volledig naleven van een gepost privacybeleid – kan aanleiding geven tot meerdere boetes voor overtreding van de regelgeving.

“Het is een misleidende handelspraktijk”, zegt Schaap. “Als je zegt dat je X doet en dat in feite niet doet, wordt dat de eerste telling in de FTC-claim. Elke staat heeft zijn eigen kleine FTC-wetten, oftewel consumentenbeschermingswetten.’

Een ander voorbeeld van wat misschien een kleine overtreding lijkt die beveiligingsteams van bedrijven over het hoofd zouden kunnen zien, maar die tot naleving van de wet of een wettelijke overtreding zou kunnen leiden, is een eenvoudig opt-outverzoek. Wanneer een consument een bedrijf vraagt ​​om van een mailinglijst te worden verwijderd, moet het verzoek alle e-mailadressen bestrijken die de aanvrager gebruikt om aan alle staatswetten te voldoen. Dus zelfs als een bedrijf zegt dat het aan de wet voldoet, is het mogelijk dat het niet in alle staten waar het actief is, aan de wet voldoet. Het verkeerd aangeven van de naleving van de privacywetten kan leiden tot de weigering van een verzekeringsclaim.

Om een ​​aantal van deze gaten in de naleving te dichten waar ze misschien nog niet eens van op de hoogte zijn, raadt Schaap bedrijven aan gebruik te maken van alle hulp die hun cyberverzekeraar biedt, zoals beveiligingstafels en andere oefeningen, om aan de goede kant van de regelgeving te blijven en hun beleid in goede banen te leiden. plaats.

Dit is niet alleen theoretisch. In 2022 gaf een bedrijf het gebruik van multifactor-authenticatie verkeerd aan verzekeringsaanvraag vragenlijst. De cyberverzekeringsmaatschappij Travellers klaagde het bedrijf aan en behield uiteindelijk de premies die het bedrijf betaalde, ondanks het annuleren van de cyberverzekeringspolis – en het ontkennen van de claim.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance