Mens bedriftsdirektører og sikkerhetsteam kjemper for å sikre at de oppfyller Securities and Exchange Commissions (SEC) nye cybersikkerhetsforskrifter, kan påstander på grunn av feilhåndtering av beskyttet personlig identifiserbar informasjon (PII) konkurrere med kostnadene for løsepengevareangrep, advarer David Anderson, visepresident for cyber ansvar hos Woodruff Sawyer, et nasjonalt forsikringsmeglerhus.
Mens personvernkrav tar år å jobbe seg gjennom den juridiske prosessen, "er tap generelt like katastrofale i løpet av tre til fem år som et løsepengevarekrav i løpet av tre til fem dager," sier han.
I en presentasjon med fokus på rettstrender i 2024, Dan Burke, senior visepresident og leder for nasjonal cyberpraksis hos Woodruff Sawyer, bemerket: "Pikselsporingskrav er det siste målet for saksøkernes bar - å gå etter selskaper som sporer nettstedaktivitet gjennom piksler på skjermen uten å innhente riktig samtykke."
Aktiviteter som dette kan være grunnen til at 31 % av cyberforsikringsgarantistene i en Woodruff Sawyer-undersøkelse valgte personvern som sin største bekymring for 2024 – nest etter løsepengevare, valgt av 63 % av respondentene.
Personvern er et forretningsproblem
James Tuplin, senior visepresident og leder for internasjonal cyber i Mosaic Insurance, er enig i at forsikringsgivere vil se mye nærmere på personverntrender i år. Det tar ofte fem til syv år før personvernsøksmål fungerer gjennom domstolene, bekrefter han, noe som betyr at 2024 vil se kulminasjonen av personvernsaker anlagt i 2017 til 2019 – før mange land og amerikanske stater begynte å vedta nye personvernlover. For eksempel trådte EUs generelle databeskyttelsesforordning (GDPR) i kraft i 2018, så disse tilfellene representerer innledende brudd på GDPR.
For forsikringsselskapet kan det imidlertid hende at utbetalingen for personvernkrav ikke er så stor fordi "forsikringsselskapene har lang tid til å spille med kapitalen mens disse tapene bygger seg opp til den endelige løsningen," forklarer Anderson. Det er fordi forsikringsselskapene beholder interessen fra å holde midler i depot mens krav fungerer gjennom forhandlinger og rettssaker.
Mens styrene generelt har dyktige rådgivere på personvern, har styrene fortsatt en tendens til å tenke på personvernspørsmål som en IT-sak snarere enn en forretningssak, sier Tuplin. Noen regulatorer, inkludert SEC, setter CISOer i trådkorset av forskrifter selv om de ikke kontrollerer budsjettene eller har myndighet til å løse alle cybersikkerhetsspørsmål, legger han til.
Sporing av personvernlover
Blant årsakene til at personvern har blitt utfordrende for styrer og sikkerhetsteam er at organisasjoner i mange tilfeller ikke vet hva slags data de samler inn og hvor disse dataene befinner seg, bemerker Sherri Davidoff, grunnlegger og administrerende direktør i LMG Security. Bedrifter har en tendens til å hamstre data som en eiendel fremfor å betrakte det som et farlig materiale, sier hun.
"Det er som atomavfall," sier hun. "Jo mer data du har, jo større risiko har du."
Bedrifter må gjøre en bedre jobb med å eliminere data – spesielt PII – som kan utløse en lovbrudd eller lovbrudd dersom dataene havner i feil hender. Mens sikkerhetseksperter har vært det fortalt selskaper i årevis at de trenger å vite hvilke data de har og hvor de befinner seg, gjør mange selskaper, inkludert de som er underlagt strengt regulatorisk tilsyn, ofte en dårlig jobb med å klassifisere og identifisere plasseringen av alle dataene deres, sier hun.
En annen stor utfordring mange firmaer står overfor, er at de ikke sporer alle personvernlover og regulatoriske krav til dataene de har. Å forstå USAs personvernlovgivning er vanskelig nok, men det blir mer utfordrende når man tenker på det nesten hver stat har unike lover omhandler spesielt helsejournaler og barns data. I tillegg må organisasjoner som har PII på EU-borgere også overholde GDPR. Selskaper som driver forretning i andre land, må ha juridisk rådgivning til å se på lover i alle land der et selskap driver forretninger for å sikre at de oppfyller disse personvernlovene.
Liten feil = stort tap
Mange selskaper tror at hvis de overholder de ulike compliance-forskriftene, overholder statlige lover og har cyberforsikring, så er de klare.
"Det er faktisk ikke nok," sier Michelle Schaap, som leder personvern- og datasikkerhetspraksisen hos advokatfirmaet Chiesa Shahinian & Giantomasi (CSG Law). "Selv om det kan være tilstrekkelig å beskytte mot en forbrukers sak eller rettslige skritt fra riksadvokatens eller et annet håndhevingsorgans handling mot den kompromitterte enheten, er det andre hensyn."
Det som kan virke som et mindre brudd - for eksempel å ikke følge fullstendig på en publisert personvernpolicy - kan utløse flere regulatoriske bruddbøter.
"Det er en villedende handelspraksis," sier Schaap. "Hvis du sier at du gjør X og faktisk ikke gjør det, blir det den første tellingen i FTC-kravet. Hver stat har sine egne små FTC-lover, eller forbrukerbeskyttelseslover."
Et annet eksempel på det som kan se ut til å være en mindre overtredelse som bedriftens sikkerhetsteam kan overse, men som kan føre til samsvar eller lovbrudd, er en enkel forespørsel om bortvalg. Når en forbruker ber et selskap om å bli tatt av en e-postliste, må forespørselen dekke alle e-postadresser forespørslen bruker for å overholde alle statlige lover. Derfor, selv om et selskap sier at det er i samsvar med loven, er det kanskje ikke kompatibelt for alle statene det opererer i. Feilinformasjon om overholdelse av personvernlovgivningen kan utløse avslag på et forsikringskrav.
For å fylle noen av disse etterlevelseshullene de kanskje ikke engang vet om, anbefaler Schaap at selskaper drar nytte av all hjelp deres cyberforsikringsselskap gir, for eksempel sikkerhet bordplater og andre øvelser, for å holde seg på rett side av regelverket og holde retningslinjene i orden. sted.
Dette er ikke bare teoretisk. I 2022 feilrapporterte et selskap bruken av multifaktorautentisering på sin forsikringssøknad spørreskjema. Cyberforsikringsselskapet, Travelers, saksøkte selskapet, og beholdt til slutt premiene selskapet betalte til tross for at de kansellerte cyberforsikringen - og avviste kravet.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance
- : har
- :er
- :ikke
- :hvor
- 2017
- 2018
- 2019
- 2022
- 2024
- 7
- a
- Om oss
- Handling
- aktivitet
- I tillegg
- adresser
- Legger
- overholde
- binding
- Fordel
- rådgivere
- Etter
- mot
- byrå
- er enig
- Alle
- også
- an
- og
- anderson
- En annen
- noen
- ER
- AS
- eiendel
- At
- Angrep
- advokat
- Autentisering
- myndighet
- Bar
- BE
- beats
- fordi
- bli
- blir
- vært
- før du
- begynte
- Bedre
- Stor
- megling
- Budsjetter
- bygge
- virksomhet
- men
- by
- stand
- hovedstad
- saker
- katastrofal
- konsernsjef
- utfordre
- utfordrende
- Barn
- valgt ut
- Borgere
- hevder
- krav
- nærmere
- Samle
- kommisjon
- Selskaper
- Selskapet
- helt
- samsvar
- kompatibel
- overholde
- kompromittert
- Bekymring
- samtykke
- betraktninger
- vurderer
- anser
- forbruker
- Forbrukerbeskyttelse
- kontroll
- Bedriftens
- Kostnad
- kunne
- råd
- telle
- land
- land
- Kurs
- Baner
- dekke
- cyber
- Cybersecurity
- dato
- personvern
- databeskyttelse
- datasikkerhet
- David
- Dager
- håndtering
- Til tross for
- vanskelig
- Styremedlemmer
- do
- gjør
- gjør
- to
- hver enkelt
- effekt
- eliminere
- emalje
- håndhevelse
- nok
- sikre
- enhet
- feil
- escrow
- europeisk
- Den Europeiske Union
- Selv
- Hver
- eksempel
- utveksling
- forklarer
- Face
- Faktisk
- Fall
- arkivert
- fyll
- slutt~~POS=TRUNC
- bøter
- Firm
- bedrifter
- Først
- fem
- fokusering
- etter
- Til
- Grunnleggeren
- Grunnlegger og administrerende direktør
- fra
- FTC
- midler
- GDPR
- general
- generell data
- Generell databeskyttelsesforskrift
- generelt
- generere
- skal
- god
- hender
- Ha
- he
- hode
- Helse
- hjelpe
- hold
- holder
- Holes
- Men
- HTTPS
- identifiserbar
- identifisering
- if
- in
- I andre
- Inkludert
- informasjon
- innledende
- forsikring
- interesse
- internasjonalt
- inn
- er n
- utstedelse
- saker
- IT
- DET ER
- Jobb
- jpg
- bare
- Hold
- holde
- slag
- Vet
- stor
- siste
- Law
- advokatfirma
- Lover
- leder
- Fører
- Lovlig
- Lovlig handling
- ansvar
- i likhet med
- Liste
- Rettssaker
- lite
- ligger
- steder
- Lang
- lang tid
- Se
- tap
- tap
- mailing
- større
- mange
- materiale
- Saken
- Kan..
- midler
- Møt
- michelle
- kunne
- mindre
- feilbehandling
- mer
- mye
- multifaktorautentisering
- flere
- må
- nasjonal
- nesten
- Trenger
- behov
- forhandlinger
- Ny
- bemerket
- Merknader
- kjernekraft
- å skaffe seg
- of
- off
- ofte
- on
- ONE
- bare
- opererer
- or
- rekkefølge
- organisasjoner
- Annen
- enn
- oppsyn
- egen
- betalt
- Spesielt
- Passerer
- personlig
- plukket
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- Politikk
- politikk
- dårlig
- postet
- praksis
- president
- privatliv
- personvernregler
- prosess
- ordentlig
- beskytte
- beskyttet
- beskyttelse
- gir
- Sette
- ransomware
- Ransomware-angrep
- heller
- RE
- grunner
- anbefaler
- poster
- Regulering
- forskrifter
- Regulatorer
- regulatorer
- forskriftsmessig tilsyn
- representere
- anmode
- Krav
- bor
- oppløsning
- respondentene
- beholde
- ikke sant
- Risiko
- Rival
- s
- sier
- sier
- Skjerm
- SEK
- Sekund
- Verdipapirer
- Securities and Exchange Commission
- sikkerhet
- se
- synes
- senior
- sett
- syv
- hun
- bør
- side
- Enkelt
- liten
- So
- LØSE
- noen
- spesielt
- Sponset
- Tilstand
- Stater
- opphold
- Still
- Streng
- emne
- slik
- saksøkt
- tilstrekkelig
- Dress
- Survey /Inspeksjonsfartøy
- Ta
- tatt
- tar
- ta
- Target
- lag
- tendens
- enn
- Det
- De
- loven
- deres
- deretter
- teoretiske
- Der.
- Disse
- de
- tror
- denne
- dette året
- De
- selv om?
- tre
- Gjennom
- Dermed
- tid
- til
- topp
- spor
- Sporing
- handel
- reisende
- Trender
- utløse
- Til syvende og sist
- forståelse
- union
- unik
- us
- Amerikanske stater
- bruke
- bruker
- ulike
- vice
- Vice President
- BRUDD
- Brudd
- advarer
- Avfall
- Vei..
- måter
- Nettsted
- gikk
- Hva
- når
- hvilken
- mens
- HVEM
- hvorfor
- vil
- med
- uten
- Arbeid
- Feil
- feil hender
- X
- år
- år
- Du
- zephyrnet
