Sekretess slår ransomware som största försäkringsproblem

När företagsdirektörer och säkerhetsteam kämpar för att säkerställa att de uppfyller Securities and Exchange Commissions (SEC) nya cybersäkerhetsbestämmelser, kan påståenden på grund av felaktig hantering av skyddad personlig identifierbar information (PII) konkurrera med kostnaden för ransomware-attacker, varnar David Anderson, vicepresident för cyber ansvar hos Woodruff Sawyer, en nationell försäkringsmäklare.

Medan integritetsanspråk tar år att arbeta sig igenom den rättsliga processen, "förluster är i allmänhet lika katastrofala under loppet av tre till fem år som ett anspråk på ransomware är under loppet av tre till fem dagar", säger han.

I en presentation med fokus på 2024 års rättstrender, Dan Burke, senior vice president och nationell ledare för cyberpraxis på Woodruff Sawyer, noterade, "Pixel-spårningspåståenden är det senaste målet för kärandenas bar - att gå efter företag som spårar webbplatsaktivitet genom pixlar på skärmen utan att erhålla korrekt samtycke."

Sådana aktiviteter kan vara anledningen till att 31 % av försäkringsgaranterna för cyberförsäkring i en Woodruff Sawyer-undersökning valde integritet som sin främsta oro för 2024 – näst efter ransomware, utvald av 63 % av de tillfrågade.

Sekretess är en affärsfråga

James Tuplin, senior vice president och chef för internationell cyber på Mosaic Insurance, håller med om att försäkringsgivare kommer att titta mycket närmare på integritetstrender i år. Det tar ofta fem till sju år för integritetstvister att fungera genom domstolarna, bekräftar han, vilket innebär att 2024 kommer att se kulmen på integritetsärenden som lämnats in 2017 till 2019 – innan många länder och amerikanska delstater började anta nya integritetslagar. Till exempel trädde EU:s allmänna dataskyddsförordning (GDPR) i kraft 2018, så dessa fall representerar initiala GDPR-överträdelser.

För försäkringsgivaren kan dock utbetalningen för integritetskrav inte vara lika stor eftersom "försäkringsbolagen har lång tid på sig att spela med sitt kapital medan dessa förluster bygger på sin slutliga lösning", förklarar Anderson. Det beror på att försäkringsbolagen behåller intresset från att hålla medel i deposition medan fordringar fungerar genom förhandlingar och rättstvister.

Medan styrelser i allmänhet har kompetenta rådgivare om integritet, tenderar styrelser fortfarande att tänka på integritetsfrågor som en IT-fråga snarare än en affärsfråga, säger Tuplin. Vissa tillsynsmyndigheter, inklusive SEC, sätter CISOs i korset av regleringar även om de inte kontrollerar budgetarna eller har befogenhet att lösa alla cybersäkerhetsfrågor, tillägger han.

Spåra integritetslagar

En av anledningarna till att integritet har blivit utmanande för styrelser och säkerhetsteam är att organisationer i många fall inte vet vilken typ av data de samlar in och var dessa data finns, konstaterar Sherri Davidoff, grundare och VD på LMG Security. Företag tenderar att hamstra data som en tillgång snarare än att betrakta det som ett farligt material, säger hon.

"Det är som kärnavfall", säger hon. "Ju mer data du har, desto större risk har du."

Företag måste göra ett bättre jobb med att eliminera data – i synnerhet PII – som kan utlösa en lagöverträdelser eller lagöverträdelser om uppgifterna hamnar i orätta händer. Medan säkerhetskunniga har varit det berättat för företag i flera år att de behöver veta vilken data de har och var den finns, många företag, inklusive de som är föremål för strikt regulatorisk tillsyn, gör ofta ett dåligt jobb med att klassificera och identifiera var all sin data finns, säger hon.

En annan stor utmaning som många företag står inför är att de inte spårar alla integritetslagar och regulatoriska krav för de uppgifter de har. Att förstå USA:s dataskyddslagstiftning är svårt nog, men det blir mer utmanande när man tänker på det nästan varje stat har unika lagar behandlar specifikt hälsojournaler och barns data. Dessutom måste organisationer som har PII om EU-medborgare också överensstämma med GDPR. Företag som gör affärer i andra länder måste låta juridisk rådgivning titta på lagar i alla länder där ett företag gör affärer för att säkerställa att de uppfyller dessa integritetslagar.

Litet fel = stor förlust

Många företag tror att om de följer de olika efterlevnadsreglerna, följer statliga lagar och har cyberförsäkring, så är allt klart.
"Det är faktiskt inte tillräckligt", säger Michelle Schaap, som leder sekretess- och datasäkerhetspraxis på advokatbyrån Chiesa Shahinian & Giantomasi (CSG Law). "Även om det kan vara tillräckligt för att skydda mot en konsuments talan eller rättsliga åtgärder från justitiekanslers eller en annan tillsynsmyndighets åtgärder mot den utsatta enheten, finns det andra överväganden."

Vad som kan tyckas vara ett mindre överträdelse - som att inte följa en upplagd integritetspolicy helt - kan utlösa flera böter för brott mot reglerna.

"Det är en vilseledande handelspraxis", säger Schaap. "Om du säger att du gör X och i själva verket inte gör det, blir det den första punkten i FTC-anspråket. Varje stat har sina egna små FTC-lagar eller konsumentskyddslagar."

Ett annat exempel på vad som kan tyckas vara en mindre överträdelse som företagens säkerhetsteam kan förbise men som kan generera en efterlevnad eller lagöverträdelse är en enkel begäran om att välja bort. När en konsument ber att ett företag ska tas bort från en e-postlista måste begäran omfatta alla e-postadresser som begäranden använder för att följa alla statliga lagar. Således, även om ett företag säger att det följer lagen, kanske det inte är kompatibelt för alla de stater där det är verksamt. Felaktig angivande av dess efterlevnad av integritetslagar kan utlösa ett avslag på ett försäkringskrav.

För att fylla några av dessa efterlevnadshål som de kanske inte ens känner till, rekommenderar Schaap att företag drar fördel av all hjälp som deras cyberförsäkringsgivare tillhandahåller, såsom säkerhet bordsskiva och andra övningar, för att hålla sig på rätt sida av reglerna och hålla sina policyer i bra ställe.

Detta är inte bara teoretiskt. År 2022 gjorde ett företag en felaktig användning av multifaktorautentisering på sin försäkringsansökan frågeformulär. Cyberförsäkringsföretaget, Travelers, stämde företaget och behöll i slutändan de premier som företaget betalade trots att de avbröt cyberförsäkringen - och avvisade kravet.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance