Zasebnost premaga izsiljevalsko programsko opremo kot največjo zavarovalniško skrb

Medtem ko se direktorji podjetij in varnostne ekipe trudijo zagotoviti izpolnjevanje novih predpisov Komisije za vrednostne papirje in borzo (SEC) o kibernetski varnosti, bi se zahtevki zaradi napačnega ravnanja z zaščitenimi osebno določljivimi podatki lahko kosali s stroški napadov z izsiljevalsko programsko opremo, opozarja David Anderson, podpredsednik kibernetskega oddelka. odgovornost pri Woodruff Sawyerju, nacionalnem zavarovalniškem posredništvu.

Medtem ko zahtevki glede zasebnosti trajajo leta, da se prebijejo skozi pravni postopek, so "izgube v treh do petih letih na splošno enako katastrofalne kot zahtevek za izsiljevalsko programsko opremo v treh do petih dneh," pravi.

V predstavitev, ki se osredotoča na trende sodnih sporov v letu 2024, Dan Burke, višji podpredsednik in vodja nacionalne kibernetske prakse pri Woodruff Sawyerju, je opozoril: "Trditve glede sledenja slikovnim pikam so zadnja tarča tožnikov – preganjajo podjetja, ki sledijo dejavnosti spletnega mesta prek slikovnih pik na zaslonu, ne da bi pridobila ustrezno soglasje."

Takšne dejavnosti bi lahko bile razlog, zakaj je 31 % zavarovateljev kibernetskega zavarovanja v raziskavi Woodruff Sawyer izbralo zasebnost kot glavno skrb za leto 2024 – takoj za izsiljevalsko programsko opremo, ki jo je izbralo 63 % anketirancev.

Zasebnost je poslovno vprašanje

James Tuplin, višji podpredsednik in vodja mednarodnega kibernetskega oddelka pri zavarovalnici Mosaic Insurance, se strinja, da bodo zavarovalci letos precej podrobneje preučili trende glede zasebnosti. Pogosto traja od pet do sedem let, da sodni spori glede zasebnosti uspejo na sodiščih, potrjuje, kar pomeni, da bo leta 2024 vrhunec primerov glede zasebnosti, vloženih v letih 2017 do 2019 – preden so številne države in zvezne države ZDA začele sprejemati nove zakone o zasebnosti. Na primer, Splošna uredba Evropske unije o varstvu podatkov (GDPR) je začela veljati leta 2018, zato ti primeri predstavljajo začetne kršitve GDPR.

Za zavarovalnico pa izplačilo za zahtevke glede zasebnosti morda ne bo tako veliko, ker imajo "zavarovalci dolgo časa, da se igrajo s svojim kapitalom, medtem ko te izgube narastejo do končne rešitve," pojasnjuje Anderson. To je zato, ker zavarovalnice ohranijo interes za hrambo sredstev v hrambi, medtem ko se terjatve uveljavljajo skozi pogajanja in sodne postopke.

Medtem ko imajo upravni odbori na splošno sposobne svetovalce za zasebnost, upravni odbori še vedno mislijo, da so vprašanja zasebnosti zadeva IT in ne poslovna zadeva, pravi Tuplin. Nekateri regulatorji, vključno s SEC, postavljajo CISO v križišču predpisov, čeprav ne nadzorujejo proračunov ali nimajo pristojnosti za reševanje vseh vprašanj kibernetske varnosti, dodaja.

Sledenje zakonodaji o zasebnosti

Eden od razlogov, zakaj je zasebnost postala izziv za uprave in varnostne ekipe, je ta, da organizacije v mnogih primerih ne vedo, kakšne vrste podatkov zbirajo in kje se ti podatki nahajajo, ugotavlja Sherri Davidoff, ustanoviteljica in izvršna direktorica LMG Security. Podjetja ponavadi kopičijo podatke kot sredstvo, namesto da bi ga obravnavali kot nevaren material, pravi.

»Je kot jedrski odpadek,« pravi. "Več podatkov kot imate, večje je tveganje."

Podjetja se morajo bolje potruditi pri odstranjevanju podatkov – zlasti PII –, ki bi lahko sprožili a kršitev predpisov ali zakonov če podatki pridejo v napačne roke. Varnostni strokovnjaki pa so bili podjetjem že leta da morajo vedeti, katere podatke imajo in kje se nahajajo, mnoga podjetja, vključno s tistimi, ki so pod strogim regulativnim nadzorom, pogosto slabo razvrščajo in identificirajo lokacije vseh svojih podatkov, pravi.

Drugi velik izziv, s katerim se soočajo mnoga podjetja, je, da ne sledijo vsem zakonom o zasebnosti in regulativnim zahtevam podatkov, ki jih imajo. Razumevanje Ameriška zakonodaja o zasebnosti podatkov je dovolj težko, vendar postane bolj zahtevno, če upoštevamo, da skoraj vsaka država ima edinstvene zakone ki se posebej ukvarjajo z zdravstvenimi kartotekami in podatki o otrocih. Poleg tega morajo to storiti tudi organizacije, ki imajo osebne podatke o državljanih Evropske unije v skladu z BDP. Podjetja, ki poslujejo v drugih državah, morajo imeti pravnega svetovalca, ki preuči zakone v vsaki državi, v kateri podjetje posluje, da zagotovi, da izpolnjujejo te zakone o zasebnosti.

Majhna napaka = velika izguba

Številna podjetja mislijo, da če izpolnjujejo različne predpise o skladnosti, se držijo državnih zakonov in imajo kibernetsko zavarovanje, potem so vse pripravljena.
»To pravzaprav ni dovolj,« pravi Michelle Schaap, ki vodi prakso zasebnosti in varnosti podatkov v odvetniški družbi Chiesa Shahinian & Giantomasi (CSG Law). "Čeprav bi lahko zadostovalo za zaščito pred potrošniško tožbo ali pravnim postopkom generalnega državnega tožilca ali drugega organa pregona proti ogroženi osebi, obstajajo še drugi vidiki."

Kar bi se lahko zdelo kot manjša kršitev – na primer neupoštevanje v celoti objavljene politike zasebnosti – bi lahko sprožilo več glob za kršitev predpisov.

"To je zavajajoča trgovinska praksa," pravi Schaap. »Če pravite, da delate X in v resnici niste, postane to prva točka v zahtevku FTC. Vsaka država ima svoje majhne zakone FTC ali zakone o varstvu potrošnikov.

Drug primer tega, kar se morda zdi manjša kršitev, ki bi jo skupine za korporativno varnost lahko spregledale, vendar bi lahko povzročilo skladnost ali pravno kršitev, je preprosta zahteva za izključitev. Ko potrošnik zahteva, da se podjetje umakne z poštnega seznama, mora zahteva zajemati vse e-poštne naslove, ki jih vlagatelj uporablja, da je v skladu z vsemi državnimi zakoni. Torej, tudi če podjetje trdi, da je v skladu z zakonodajo, morda ne bo v skladu z vsemi državami, v katerih deluje. Napačna navedba njegovega spoštovanja zakonov o zasebnosti bi lahko povzročila zavrnitev zavarovalnega zahtevka.

Da bi zapolnili nekatere od teh lukenj v skladnosti, za katere morda sploh ne vedo, Schaap priporoča, da podjetja izkoristijo kakršno koli pomoč, ki jo nudi njihova kibernetska zavarovalnica, kot so varnostna miza in druge vaje, da ostanejo na pravi strani predpisov in ohranijo svoje politike v dobrem namesto.

To ni samo teoretično. Leta 2022 je podjetje napačno navedlo svojo uporabo večfaktorske avtentikacije na svojem vloga za zavarovanje vprašalnik. Nosilec kibernetskega zavarovanja Travelers je tožil podjetje in na koncu obdržal premije, ki jih je podjetje plačalo kljub preklicu kibernetske zavarovalne police – in zavrnitvi zahtevka.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance