Confidențialitatea depășește ransomware-ul ca principală preocupare în materie de asigurări

Pe măsură ce directorii corporativi și echipele de securitate se luptă pentru a se asigura că respectă noile reglementări de securitate cibernetică ale Comisiei pentru Valori Mobiliare și Schimb (SEC), reclamațiile din cauza manipulării greșite a informațiilor protejate de identificare personală (PII) ar putea rivaliza cu costul atacurilor de tip ransomware, avertizează David Anderson, vicepreședinte al departamentului cibernetic. răspundere la Woodruff Sawyer, un broker național de asigurări.

În timp ce revendicările privind confidențialitatea durează ani pentru a-și parcurge procesul legal, „pierderile sunt, în general, la fel de catastrofale pe parcursul a trei până la cinci ani, precum o revendicare a unui ransomware în decurs de trei până la cinci zile”, spune el.

Într-o prezentare care se concentrează pe tendințele litigiilor din 2024, Dan Burke, vicepreședinte senior și lider național de practică cibernetică la Woodruff Sawyer, a remarcat: „Pretențiile de urmărire a pixelilor sunt cea mai recentă țintă pentru bara reclamanților – urmărind companiile care urmăresc activitatea site-ului prin pixeli de pe ecran fără a obține consimțământul corespunzător.”

Activități de acest fel ar putea fi motivul pentru care 31% dintre subscriitorii de asigurări cibernetice dintr-un sondaj Woodruff Sawyer au ales confidențialitatea drept principala preocupare pentru 2024 – pe locul doi după ransomware, ales de 63% dintre respondenți.

Confidențialitatea este o problemă de afaceri

James Tuplin, vicepreședinte senior și șef al departamentului cibernetic internațional la Mosaic Insurance, este de acord că asiguratorii vor analiza tendințele de confidențialitate în acest an. Adesea durează cinci până la șapte ani pentru ca litigiile privind confidențialitatea să treacă prin instanțe, confirmă el, ceea ce înseamnă că 2024 va vedea punctul culminant al cazurilor de confidențialitate depuse în 2017 până în 2019 – înainte ca multe țări și state din SUA să înceapă să adopte noi legi privind confidențialitatea. De exemplu, Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene a intrat în vigoare în 2018, astfel încât aceste cazuri reprezintă încălcări inițiale ale GDPR.

Pentru asigurător, totuși, plata pentru pretențiile de confidențialitate poate să nu fie la fel de mare, deoarece „asiguratorii au mult timp să se joace cu capitalul lor, în timp ce acele pierderi cresc până la soluția lor finală”, explică Anderson. Acest lucru se datorează faptului că asigurătorii rețin dobânda de la deținerea de fonduri în escrow în timp ce cererile își desfășoară drumul prin negocieri și litigii.

În timp ce consiliile de administrație au în general consilieri capabili în materie de confidențialitate, consiliile încă tind să se gândească la problemele de confidențialitate ca o chestiune IT, mai degrabă decât o problemă de afaceri, spune Tuplin. Unele autorități de reglementare, inclusiv SEC, pun CISO-urile în miză de reglementări, chiar dacă acestea nu controlează bugetele sau au autoritatea de a rezolva toate problemele de securitate cibernetică, adaugă el.

Urmărirea legilor privind confidențialitatea

Printre motivele pentru care confidențialitatea a devenit o provocare pentru consilii și echipe de securitate este că, în multe cazuri, organizațiile nu știu ce tipuri de date colectează și unde se află acele date, notează Sherri Davidoff, fondatoare și CEO la LMG Security. Companiile tind să acumuleze date ca un activ, mai degrabă decât să-l considere un material periculos, spune ea.

„Este ca deșeurile nucleare”, spune ea. „Cu cât aveți mai multe date, cu atât aveți mai multe riscuri.”

Întreprinderile trebuie să facă o treabă mai bună în eliminarea datelor – IPI, în special – care ar putea declanșa a încălcarea reglementărilor sau legale în cazul în care datele cad în mâini greșite. În timp ce expertii în securitate au fost spunând companiilor de ani de zile că trebuie să știe ce date au și unde se află, multe companii, inclusiv cele supuse unei supravegheri stricte de reglementare, fac adesea o treabă proastă în clasificarea și identificarea locațiilor tuturor datelor lor, spune ea.

O altă provocare majoră cu care se confruntă multe firme este că nu urmăresc toate legile privind confidențialitatea și cerințele de reglementare ale datelor pe care le dețin. Înțelegerea Peisajul legislației americane privind confidențialitatea datelor este destul de dificil, dar devine mai provocator când se consideră că aproape fiecare stat are legi unice care se ocupă în mod specific de dosarele de sănătate și datele copiilor. În plus, organizațiile care au PII cu privire la cetățenii Uniunii Europene trebuie și ele se conformează GDPR. Companiile care desfășoară afaceri în alte țări trebuie să solicite un consilier juridic să analizeze legile din fiecare țară în care o companie desfășoară afaceri pentru a se asigura că respectă acele legi de confidențialitate.

Mică eroare = Pierdere mare

Multe companii cred că, dacă respectă diferitele reglementări de conformitate, aderă la legile statului și au asigurare cibernetică, atunci toate sunt gata.
„De fapt, nu este suficient”, spune Michelle Schaap, care conduce practica de confidențialitate și securitate a datelor la firma de avocatură Chiesa Shahinian & Giantomasi (CSG Law). „Deși ar putea fi suficient pentru a proteja împotriva procesului unui consumator sau a acțiunii în justiție din partea procurorului general sau a unei alte agenții de aplicare împotriva entității compromise, există și alte considerații.”

Ceea ce ar putea părea o infracțiune minoră - cum ar fi nerespectarea completă a unei politici de confidențialitate postate - ar putea declanșa amenzi multiple pentru încălcarea reglementărilor.

„Este o practică comercială înșelătoare”, spune Schaap. „Dacă spui că faci X și, de fapt, nu, asta devine primul număr în revendicarea FTC. Fiecare stat are propriile mici legi FTC sau legi de protecție a consumatorilor.”

Un alt exemplu de ceea ce ar putea părea a fi o infracțiune minoră pe care echipele de securitate corporativă ar putea trece cu vederea, dar care ar putea genera o încălcare a conformității sau a legii este o simplă solicitare de renunțare. Când un consumator solicită unei companii să fie scoasă de pe o listă de corespondență, cererea trebuie să acopere toate adresele de e-mail pe care solicitantul le folosește pentru a respecta toate legile de stat. Astfel, chiar dacă o companie spune că respectă legea, este posibil să nu fie conformă pentru toate statele în care operează. Aderarea greșită la legile privind confidențialitatea ar putea declanșa respingerea unei cereri de asigurare.

Pentru a umple unele dintre aceste goluri de conformitate despre care s-ar putea să nu știe nici măcar, Schaap recomandă companiilor să profite de orice ajutor pe care asigurătorul lor cibernetic îl oferă, cum ar fi masa de securitate și alte exerciții, pentru a rămâne în partea corectă a reglementărilor și pentru a-și menține politicile în bune condiții. loc.

Acest lucru nu este doar teoretic. În 2022, o companie a declarat greșit utilizarea autentificării multifactoriale pe ea cerere de asigurare chestionar. Transportatorul de asigurări cibernetice, Travelers, a dat în judecată compania, păstrând în cele din urmă primele plătite de companie, în ciuda anulării poliței de asigurare cibernetică – și a respingerii reclamației.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance