Поскольку корпоративные директора и службы безопасности изо всех сил стараются обеспечить соответствие новым правилам кибербезопасности Комиссии по ценным бумагам и биржам (SEC), претензии, связанные с неправильным обращением с защищенной личной информацией (PII), могут соперничать с затратами на атаки с использованием программ-вымогателей, предупреждает Дэвид Андерсон, вице-президент по кибербезопасности. ответственность в Woodruff Sawyer, национальной страховой брокерской компании.
Хотя судебные разбирательства по искам о конфиденциальности занимают годы, «потери, как правило, столь же катастрофичны в течение трех-пяти лет, как иск о вымогателе в течение трех-пяти дней», — говорит он.
В презентация о тенденциях судебных разбирательств в 2024 годуДэн Берк, старший вице-президент и руководитель национальной кибер-практики компании Woodruff Sawyer, отметил: «Иски об отслеживании пикселей являются последней целью для коллегии истцов — они преследуют компании, отслеживающие активность веб-сайтов с помощью пикселей на экране без получения надлежащего согласия».
Подобные действия могут быть причиной того, что 31% андеррайтеров киберстрахования в опросе Woodruff Sawyer выбрали конфиденциальность в качестве своей главной проблемы на 2024 год — уступая только программам-вымогателям, выбранным 63% респондентов.
Конфиденциальность — это проблема бизнеса
Джеймс Таплин, старший вице-президент и руководитель отдела международных кибербезопасностей Mosaic Insurance, согласен, что в этом году андеррайтеры будут гораздо более внимательно следить за тенденциями в области конфиденциальности. Он подтверждает, что судебные разбирательства по вопросам конфиденциальности зачастую проходят через пять-семь лет, а это означает, что в 2024 году произойдет кульминация дел о конфиденциальности, возбужденных в 2017–2019 годах — до того, как многие страны и штаты США начали принимать новые законы о конфиденциальности. Например, Общий регламент ЕС по защите данных (GDPR) вступил в силу в 2018 году, поэтому эти случаи представляют собой первоначальные нарушения GDPR.
Однако для страховщика выплата по претензиям о конфиденциальности может быть не такой большой, потому что «андеррайтерам придется долго играть со своим капиталом, пока эти убытки достигают окончательного решения», - объясняет Андерсон. Это связано с тем, что страховщики сохраняют проценты от хранения средств на условном депонировании, в то время как претензии решаются посредством переговоров и судебных разбирательств.
Хотя в советах директоров обычно есть компетентные консультанты по вопросам конфиденциальности, советы по-прежнему склонны рассматривать вопросы конфиденциальности как вопрос ИТ, а не бизнеса, говорит Таплин. Некоторые регуляторы, в том числе SEC, вводят Директора по информационной безопасности в прицеле правил, даже несмотря на то, что они не контролируют бюджеты и не имеют полномочий решать все вопросы кибербезопасности, добавляет он.
Отслеживание законов о конфиденциальности
Среди причин, по которым конфиденциальность стала проблемой для советов директоров и групп безопасности, заключается в том, что во многих случаях организации не знают, какие данные они собирают и где находятся эти данные, отмечает Шерри Давидофф, основатель и генеральный директор LMG Security. Компании склонны копить данные как актив, а не рассматривать его как опасный материал, говорит она.
«Это похоже на ядерные отходы», — говорит она. «Чем больше у вас данных, тем больше у вас риска».
Предприятиям необходимо лучше устранять данные (в частности, личные данные), которые могут спровоцировать нормативное или юридическое нарушение если данные попадут в чужие руки. Хотя эксперты по безопасности были рассказывая компаниям годами Поскольку им необходимо знать, какие данные у них есть и где они находятся, многие компании, в том числе подлежащие строгому нормативному надзору, часто плохо классифицируют и определяют местонахождение всех своих данных, говорит она.
Еще одна серьезная проблема, с которой сталкиваются многие компании, заключается в том, что они не отслеживают все законы о конфиденциальности и нормативные требования к данным, которые они хранят. Понимание Законодательство США о конфиденциальности данных достаточно сложно, но становится еще труднее, если учесть, что почти в каждом штате есть уникальные законы конкретно занимаясь медицинскими записями и данными детей. Кроме того, организации, у которых есть персональные данные граждан Европейского Союза, также должны соблюдать. Компаниям, ведущим бизнес в других странах, необходимо, чтобы юрисконсульт изучил законы каждой страны, где компания ведет бизнес, чтобы убедиться, что они соответствуют этим законам о конфиденциальности.
Маленькая ошибка = большая потеря
Многие компании думают, что если они соблюдают различные нормативные требования, законы штата и имеют киберстрахование, то все в порядке.
«На самом деле этого недостаточно», — говорит Мишель Шаап, руководитель практики конфиденциальности и безопасности данных в юридической фирме Chiesa Shahinian & Giantomasi (CSG Law). «Хотя этого может быть достаточно для защиты от иска потребителя или судебного иска со стороны генеральной прокуратуры или другого правоохранительного органа против скомпрометированной организации, есть и другие соображения».
То, что может показаться незначительным нарушением — например, неполным соблюдением опубликованной политики конфиденциальности — может повлечь за собой многочисленные штрафы за нарушение нормативных требований.
«Это обманная торговая практика», — говорит Шаап. «Если вы говорите, что делаете X, а на самом деле это не так, это становится первым пунктом обвинения в иске FTC. В каждом штате есть свои маленькие законы Федеральной торговой комиссии или законы о защите прав потребителей».
Еще одним примером того, что может показаться незначительным нарушением, которое команды корпоративной безопасности могут игнорировать, но которое может привести к нарушению нормативных требований или правовых норм, является простой запрос на отказ. Когда потребитель просит исключить компанию из списка рассылки, запрос должен охватывать все адреса электронной почты, которые использует запрашивающий, чтобы соответствовать всем законам штата. Таким образом, даже если компания заявляет, что соблюдает закон, она может не соблюдать его во всех штатах, в которых она работает. Неверное заявление о соблюдении законов о конфиденциальности может стать причиной отказа в страховом возмещении.
Чтобы заполнить некоторые из этих пробелов в соблюдении требований, о которых они, возможно, даже не подозревают, Шаап рекомендует компаниям воспользоваться любой помощью, которую предоставляет их киберстраховщик, например, настольными играми по безопасности и другими упражнениями, чтобы оставаться на правильной стороне правил и поддерживать свою политику в хорошем состоянии. вместо.
Это не просто теоретически. В 2022 году компания неверно заявила об использовании многофакторной аутентификации в своих заявление на страхование анкета. Компания по киберстрахованию Travelers подала на компанию в суд, в конечном итоге удержав уплаченные компанией страховые премии, несмотря на отмену полиса киберстрахования и отклонение иска.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance
- :имеет
- :является
- :нет
- :куда
- 2017
- 2018
- 2019
- 2022
- 2024
- 7
- a
- О нас
- Действие
- деятельность
- Дополнительно
- адреса
- Добавляет
- придерживаться
- соблюдение
- плюс
- Консультанты
- После
- против
- агентство
- соглашается с тем,
- Все
- причислены
- an
- и
- андерсон
- Другой
- любой
- МЫ
- AS
- активы
- At
- нападки
- адвокат
- Аутентификация
- власть
- бар
- BE
- ударов
- , так как:
- становиться
- становится
- было
- до
- начал
- Лучшая
- большой
- брокерский
- Бюджеты
- строить
- бизнес
- но
- by
- способный
- столица
- случаев
- катастрофический
- Генеральный директор
- вызов
- сложные
- Дети
- выбранный
- Граждане
- утверждать
- требования
- ближе
- Сбор
- комиссии
- Компании
- Компания
- полностью
- Соответствие закону
- уступчивый
- соблюдать
- Ослабленный
- Беспокойство
- согласие
- соображения
- принимая во внимание
- считает
- потребитель
- Защита потребителя
- контроль
- Корпоративное
- Цена
- может
- адвокат
- считать
- страны
- страна
- "Курс"
- Суды
- чехол для варгана
- кибер-
- Информационная безопасность
- данным
- конфиденциальность данных
- защита данных
- безопасность данных
- Давид
- Дней
- занимавшийся
- Несмотря на
- трудный
- Директора
- do
- приносит
- дело
- два
- каждый
- эффект
- уничтожение
- принуждение
- достаточно
- обеспечивать
- организация
- ошибка
- условное депонирование
- Европейская кухня
- Европейский Союз
- Даже
- Каждая
- пример
- обмена
- Объясняет
- Face
- факт
- Осень
- подано
- заполнять
- окончательный
- конец
- Фирма
- Компаний
- Во-первых,
- 5
- фокусировка
- после
- Что касается
- основатель
- Основатель и Главный Исполнительный Директор
- от
- Федеральная торговая комиссия
- средства
- GDPR
- Общие
- Общие данные
- Положение о защите данных Общие
- в общем
- порождать
- будет
- хорошо
- Руки
- Есть
- he
- Медицина
- помощь
- держать
- проведение
- Отверстия
- Однако
- HTTPS
- идентифицируемый
- идентифицирующий
- if
- in
- В других
- В том числе
- информация
- начальный
- страхование
- интерес
- Мультиязычность
- в
- мобильной
- вопрос
- вопросы
- IT
- ЕГО
- работа
- JPG
- всего
- Сохранить
- хранение
- виды
- Знать
- большой
- последний
- закон
- юридическая фирма
- Законодательство
- лидер
- Лиды
- Юр. Информация
- Судебный иск
- ответственность
- такое как
- Список
- Судебный процесс
- мало
- расположенный
- места
- Длинное
- много времени
- посмотреть
- от
- потери
- рассылки
- основной
- многих
- материала
- Вопрос
- Май..
- означает
- Встречайте
- Мишель
- может быть
- небольшая
- плохое обращение
- БОЛЕЕ
- много
- многофакторная аутентификация
- с разными
- должен
- национальный
- почти
- Необходимость
- потребности
- переговоры
- Новые
- отметил,
- Заметки
- ядерный
- получение
- of
- от
- .
- on
- ONE
- только
- работает
- or
- заказ
- организации
- Другое
- за
- надзор
- собственный
- выплачен
- особый
- Прохождение
- Лично
- взял
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- сборах
- политика
- состояния потока
- размещены
- практика
- президент
- политикой конфиденциальности.
- политике конфиденциальности
- процесс
- правильный
- для защиты
- защищенный
- защиту
- приводит
- Полагая
- вымогателей
- Атаки вымогателей
- скорее
- RE
- причины
- рекомендует
- учет
- "Регулирование"
- правила
- Регулирующие органы
- регуляторы
- регулирующий надзор
- представлять
- запросить
- Требования
- проживает
- Постановления
- респондентов
- сохранять
- правую
- Снижение
- Соперник
- s
- поговорка
- говорит
- экран
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- Во-вторых
- Ценные бумаги
- Комиссия по ценным бумагам и биржам
- безопасность
- посмотреть
- казаться
- старший
- набор
- семь
- она
- должен
- сторона
- просто
- небольшой
- So
- РЕШАТЬ
- некоторые
- конкретно
- Спонсоров
- Область
- Области
- оставаться
- По-прежнему
- Строгий
- предмет
- такие
- подали в суд
- достаточный
- Костюм
- Опрос
- взять
- приняты
- принимает
- с
- цель
- команды
- Тенденцию
- чем
- который
- Ассоциация
- закон
- их
- тогда
- теоретический
- Там.
- Эти
- они
- think
- этой
- В этом году
- те
- хоть?
- три
- Через
- Таким образом
- время
- в
- топ
- трек
- Отслеживание
- торговать
- путешественники
- Тенденции
- вызвать
- В конечном счете
- понимание
- союз
- созданного
- us
- США
- использование
- использования
- различный
- вице
- вице-президент
- НАРУШЕНИЕ
- Нарушения
- предупреждает
- Снизить отходы
- Путь..
- способы
- Вебсайт
- пошел
- Что
- когда
- , которые
- в то время как
- КТО
- зачем
- будете
- без
- Работа
- Неправильно
- плохие руки
- X
- год
- лет
- Ты
- зефирнет