Prywatność przewyższa oprogramowanie ransomware jako główny problem ubezpieczeniowy

W miarę jak dyrektorzy korporacji i zespoły ds. bezpieczeństwa starają się zapewnić zgodność z nowymi przepisami Komisji Papierów Wartościowych i Giełd (SEC), roszczenia wynikające z niewłaściwego obchodzenia się z chronionymi danymi osobowymi (PII) mogą równać się kosztom ataków ransomware, ostrzega David Anderson, wiceprezes ds. cyberbezpieczeństwa w Woodruff Sawyer, firmie brokerskiej zajmującej się ubezpieczeniami społecznymi.

Choć roszczenia dotyczące prywatności wymagają lat, aby przejść przez proces prawny, „straty są na ogół tak samo katastrofalne w ciągu trzech do pięciu lat, jak roszczenie dotyczące oprogramowania ransomware trwa od trzech do pięciu dni” – mówi.

W prezentacja skupiająca się na trendach w sporach sądowych w roku 2024, Dan Burke, starszy wiceprezes i lider krajowej praktyki cybernetycznej w Woodruff Sawyer, zauważył: „Roszczenia dotyczące śledzenia pikseli są najnowszym celem baru powodów — ściga firmy śledzące aktywność w witrynach internetowych za pomocą pikseli na ekranie bez uzyskania odpowiedniej zgody”.

Takie działania mogą być powodem, dla którego 31% ubezpieczycieli cybernetycznych w ankiecie Woodruffa Sawyera wskazało prywatność jako najważniejszą kwestię w 2024 r. – ustępując jedynie oprogramowaniu ransomware wybranemu przez 63% respondentów.

Prywatność jest kwestią biznesową

James Tuplin, starszy wiceprezes i szef międzynarodowego cyberbezpieczeństwa w Mosaic Insurance, zgadza się, że ubezpieczyciele będą w tym roku znacznie bliżej przyjrzeć się trendom w zakresie prywatności. Potwierdza, że ​​rozstrzygnięcie sporów dotyczących prywatności w sądach często zajmuje od pięciu do siedmiu lat, co oznacza, że ​​w 2024 r. zakończy się liczba spraw dotyczących prywatności złożonych w latach 2017–2019 – zanim wiele krajów i stanów USA zaczęło uchwalać nowe przepisy dotyczące prywatności. Na przykład ogólne rozporządzenie o ochronie danych Unii Europejskiej (RODO) weszło w życie w 2018 r., więc te przypadki stanowią początkowe naruszenia RODO.

Jednak dla ubezpieczyciela wypłata z tytułu roszczeń dotyczących prywatności może nie być tak duża, ponieważ „ubezpieczyciele mają dużo czasu na zabawę swoim kapitałem do czasu, aż straty zostaną ostatecznie rozwiązane” – wyjaśnia Anderson. Dzieje się tak dlatego, że ubezpieczyciele zachowują odsetki od przechowywania środków na rachunku depozytowym, podczas gdy roszczenia dochodzą do skutku w drodze negocjacji i postępowań sądowych.

Choć zarządy na ogół mają kompetentnych doradców ds. prywatności, zarządy nadal mają tendencję do postrzegania kwestii prywatności raczej jako kwestii informatycznych, a nie biznesowych, mówi Tuplin. Niektóre organy regulacyjne, w tym SEC, stawiają CISO na celowniku przepisów, mimo że nie kontrolują budżetów i nie mają uprawnień do rozwiązywania wszelkich problemów związanych z cyberbezpieczeństwem – dodaje.

Śledzenie przepisów dotyczących prywatności

Jednym z powodów, dla których prywatność stała się wyzwaniem dla zarządów i zespołów ds. bezpieczeństwa, jest fakt, że w wielu przypadkach organizacje nie wiedzą, jakiego rodzaju dane gromadzą i gdzie one się znajdują, zauważa Sherri Davidoff, założycielka i dyrektor generalna LMG Security. Firmy mają tendencję do gromadzenia danych jako aktywa, a nie jako materiał niebezpieczny – mówi.

„To jak odpady nuklearne” – mówi. „Im więcej masz danych, tym większe ryzyko”.

Przedsiębiorstwa muszą skuteczniej eliminować dane – w szczególności PII – które mogłyby wywołać naruszenia przepisów lub prawa gdyby dane dostały się w niepowołane ręce. Chociaż eksperci ds. bezpieczeństwa byli mówi firmom od lat Ponieważ muszą wiedzieć, jakie dane posiadają i gdzie się one znajdują, wiele firm, w tym tych podlegających ścisłemu nadzorowi regulacyjnemu, często nie radzi sobie z klasyfikacją i identyfikacją lokalizacji wszystkich swoich danych, mówi.

Innym poważnym wyzwaniem, przed którym stoi wiele firm, jest to, że nie śledzą wszystkich przepisów dotyczących prywatności i wymogów regulacyjnych dotyczących przechowywanych przez siebie danych. Zrozumienie Krajobraz prawa dotyczącego prywatności danych w USA jest wystarczająco trudne, ale staje się trudniejsze, gdy weźmie się pod uwagę, że prawie każdy stan ma inne prawa zajmujących się w szczególności dokumentacją medyczną i danymi dzieci. Ponadto organizacje posiadające dane umożliwiające identyfikację obywateli Unii Europejskiej również muszą to zrobić zgodne z GDPR. Firmy prowadzące działalność w innych krajach muszą korzystać z pomocy radcy prawnego, aby zapoznać się z przepisami obowiązującymi w każdym kraju, w którym firma prowadzi działalność, aby upewnić się, że przestrzegają tych przepisów dotyczących prywatności.

Mały błąd = duża strata

Wiele firm uważa, że ​​jeśli będą przestrzegać różnych przepisów dotyczących zgodności, przestrzegać przepisów stanowych i posiadać ubezpieczenie cybernetyczne, wszystko będzie gotowe.
„To w rzeczywistości nie wystarczy” – mówi Michelle Schaap, która kieruje praktyką prywatności i bezpieczeństwa danych w kancelarii prawnej Chiesa Shahinian & Giantomasi (prawo CSG). „Chociaż może to wystarczyć do ochrony przed pozwem konsumenckim lub postępowaniem prawnym wynikającym z działań prokuratora generalnego lub innego organu egzekwowania prawa przeciwko zagrożonemu podmiotowi, istnieją inne względy”.

To, co może wydawać się drobnym naruszeniem – na przykład nieprzestrzeganie w całości opublikowanej polityki prywatności – może skutkować wieloma karami za naruszenie przepisów.

„To zwodnicza praktyka handlowa” – mówi Schaap. „Jeśli twierdzisz, że robisz X, a w rzeczywistości tak nie jest, staje się to pierwszym czynnikiem w roszczeniu FTC. Każdy stan ma swoje własne, małe przepisy FTC lub przepisy dotyczące ochrony konsumentów.

Innym przykładem czegoś, co może wydawać się drobnym naruszeniem, które korporacyjne zespoły ds. bezpieczeństwa mogą przeoczyć, ale które może spowodować naruszenie zgodności lub prawa, jest prosta prośba o rezygnację. Gdy konsument prosi firmę o usunięcie z listy mailingowej, aby zachować zgodność ze wszystkimi przepisami stanowymi, żądanie musi obejmować wszystkie adresy e-mail, których używa wnioskodawca. Zatem nawet jeśli firma twierdzi, że działa zgodnie z prawem, może nie być zgodna ze wszystkimi stanami, w których prowadzi działalność. Błędne oświadczenie o przestrzeganiu przepisów dotyczących prywatności może skutkować odrzuceniem roszczenia ubezpieczeniowego.

Aby wypełnić niektóre z tych luk w zgodności, o których mogą nawet nie wiedzieć, Schaap zaleca, aby firmy korzystały z wszelkiej pomocy zapewnianej przez ubezpieczycieli cybernetycznych, takiej jak ćwiczenia bezpieczeństwa i inne ćwiczenia, aby trzymać się właściwej strony przepisów i utrzymywać swoje polisy w dobrym stanie zamiast.

To nie jest tylko teoria. W 2022 r. pewna firma błędnie podała, że ​​korzysta z uwierzytelniania wielopoziomowego w swoich usługach wniosek o ubezpieczenie kwestionariusz. Przewoźnik zajmujący się ubezpieczeniami cybernetycznymi Travellers pozwał tę firmę, ostatecznie utrzymując zapłacone przez nią składki pomimo anulowania polisy ubezpieczeniowej i odrzucenia roszczenia.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance