Privacidade supera ransomware como principal preocupação em seguros

À medida que os diretores corporativos e as equipes de segurança lutam para garantir o cumprimento das novas regulamentações de segurança cibernética da Comissão de Valores Mobiliários (SEC), as reclamações devido ao manuseio incorreto de informações de identificação pessoal (PII) protegidas podem rivalizar com o custo dos ataques de ransomware, alerta David Anderson, vice-presidente de cibersegurança. responsabilidade na Woodruff Sawyer, uma corretora de seguros nacional.

Embora as reivindicações de privacidade levem anos para passar pelo processo legal, “as perdas são geralmente tão catastróficas ao longo de três a cinco anos quanto uma reivindicação de ransomware ocorre ao longo de três a cinco dias”, diz ele.

Em um artigo do apresentação com foco nas tendências de litígio para 2024, Dan Burke, vice-presidente sênior e líder nacional de práticas cibernéticas da Woodruff Sawyer, observou: “As reivindicações de rastreamento de pixels são o alvo mais recente da ordem dos demandantes – perseguindo empresas que rastreiam a atividade do site por meio de pixels na tela sem obter o consentimento adequado”.

Atividades como essa podem ser a razão pela qual 31% dos subscritores de seguros cibernéticos em uma pesquisa da Woodruff Sawyer escolheram a privacidade como sua principal preocupação para 2024 – perdendo apenas para o ransomware, escolhido por 63% dos entrevistados.

Privacidade é uma questão comercial

James Tuplin, vice-presidente sênior e chefe de cibersegurança internacional da Mosaic Insurance, concorda que os subscritores analisarão muito mais de perto as tendências de privacidade este ano. Muitas vezes, são necessários cinco a sete anos para que os litígios sobre privacidade cheguem aos tribunais, confirma ele, o que significa que 2024 verá o culminar dos casos de privacidade apresentados entre 2017 e 2019 – antes de muitos países e estados dos EUA começarem a aprovar novas leis de privacidade. Por exemplo, o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia entrou em vigor em 2018, pelo que estes casos representam violações iniciais do RGPD.

Para a seguradora, no entanto, o pagamento por reclamações de privacidade pode não ser tão grande porque os “subscritores têm muito tempo para brincar com o seu capital enquanto essas perdas chegam à sua resolução final”, explica Anderson. Isso ocorre porque as seguradoras retêm o interesse de manter fundos em depósito enquanto os sinistros avançam por meio de negociações e litígios.

Embora os conselhos de administração geralmente tenham consultores competentes em matéria de privacidade, os conselhos ainda tendem a pensar nas questões de privacidade como uma questão de TI e não como uma questão de negócios, diz Tuplin. Alguns reguladores, incluindo a SEC, estão colocando CISOs na mira de regulamentações, embora não controlem os orçamentos nem tenham autoridade para resolver todas as questões de segurança cibernética, acrescenta.

Rastreamento de leis de privacidade

Uma das razões pelas quais a privacidade se tornou um desafio para os conselhos de administração e as equipas de segurança é que, em muitos casos, as organizações não sabem que tipos de dados estão a recolher e onde esses dados residem, observa Sherri Davidoff, fundadora e CEO da LMG Security. As empresas tendem a acumular dados como um ativo, em vez de considerá-lo um material perigoso, diz ela.

“É como lixo nuclear”, diz ela. “Quanto mais dados você tiver, maior será o risco.”

As empresas precisam fazer um trabalho melhor na eliminação de dados – PII, em particular – que poderiam desencadear um violação regulatória ou legal caso os dados caiam em mãos erradas. Embora os especialistas em segurança tenham sido dizendo às empresas há anos que precisam saber quais dados possuem e onde estão localizados, muitas empresas, incluindo aquelas sujeitas a supervisão regulatória rigorosa, muitas vezes fazem um mau trabalho de classificação e identificação da localização de todos os seus dados, diz ela.

Outro grande desafio que muitas empresas enfrentam é que não monitorizam todas as leis de privacidade e requisitos regulamentares dos dados que detêm. Compreendendo o Panorama da lei de privacidade de dados dos EUA é bastante difícil, mas torna-se mais desafiador quando se considera que quase cada estado tem leis únicas lidando especificamente com registros de saúde e dados de crianças. Além disso, as organizações que possuem PII de cidadãos da União Europeia também devem cumprir com o GDPR. As empresas que fazem negócios em outros países precisam de aconselhamento jurídico para analisar as leis em todos os países onde uma empresa faz negócios para garantir que cumprem essas leis de privacidade.

Pequeno erro = grande perda

Muitas empresas pensam que, se cumprirem os vários regulamentos de conformidade, aderirem às leis estaduais e tiverem seguro cibernético, tudo estará pronto.
“Na verdade, isso não é suficiente”, diz Michelle Schaap, que lidera a prática de privacidade e segurança de dados no escritório de advocacia Chiesa Shahinian & Giantomasi (CSG Law). “Embora possa ser suficiente para proteger contra uma ação judicial do consumidor ou ação legal de procuradores-gerais ou de outra agência de aplicação da lei contra a entidade comprometida, há outras considerações.”

O que pode parecer uma infração menor – como não seguir completamente uma política de privacidade publicada – pode desencadear diversas multas por violação regulatória.

“É uma prática comercial enganosa”, diz Schaap. “Se você está dizendo que está fazendo X e, na verdade, não está, essa se torna a primeira contagem na reivindicação da FTC. Cada estado tem suas próprias leis da FTC, ou leis de proteção ao consumidor.”

Outro exemplo do que pode parecer uma infração menor que as equipes de segurança corporativa poderiam ignorar, mas que poderia gerar uma violação legal ou de conformidade, é uma simples solicitação de cancelamento. Quando um consumidor solicita que uma empresa seja retirada de uma lista de e-mails, a solicitação precisa abranger todos os endereços de e-mail que o solicitante usa para cumprir todas as leis estaduais. Assim, mesmo que uma empresa diga que está em conformidade com a lei, pode não estar em conformidade com todos os estados em que opera. Declarar incorretamente a sua adesão às leis de privacidade pode desencadear a negação de uma reclamação de seguro.

Para preencher algumas dessas lacunas de conformidade que talvez nem conheçam, Schaap recomenda que as empresas aproveitem qualquer ajuda fornecida por sua seguradora cibernética, como mesa de segurança e outros exercícios, para permanecerem do lado certo das regulamentações e manterem suas políticas em boas condições. lugar.

Isto não é apenas teórico. Em 2022, uma empresa declarou erroneamente o uso da autenticação multifatorial em seus solicitação de seguro questionário. A seguradora cibernética, Travellers, processou a empresa, mantendo os prêmios pagos pela empresa, apesar do cancelamento da apólice de seguro cibernético – e negando a reclamação.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance