ความเป็นส่วนตัวเอาชนะแรนซัมแวร์ในฐานะความกังวลด้านการประกันภัยอันดับต้นๆ

ในขณะที่ผู้อำนวยการองค์กรและทีมรักษาความปลอดภัยแย่งกันเพื่อให้แน่ใจว่าพวกเขาปฏิบัติตามกฎระเบียบด้านความปลอดภัยทางไซเบอร์ใหม่ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) การเรียกร้องเนื่องจากการจัดการข้อมูลส่วนบุคคล (PII) ที่ได้รับการป้องกันอย่างไม่ถูกต้องอาจเทียบเคียงกับต้นทุนของการโจมตีแรนซัมแวร์ได้ เดวิด แอนเดอร์สัน รองประธานฝ่ายไซเบอร์เตือน ความรับผิดที่ Woodruff Sawyer ซึ่งเป็นนายหน้าประกันภัยแห่งชาติ

ในขณะที่การเรียกร้องความเป็นส่วนตัวใช้เวลาหลายปีในการดำเนินการตามกระบวนการทางกฎหมาย “การสูญเสียโดยทั่วไปมักเป็นหายนะในช่วงสามถึงห้าปี เช่นเดียวกับการเรียกร้องค่าไถ่แรนซัมแวร์ภายในระยะเวลาสามถึงห้าวัน” เขากล่าว

ใน การนำเสนอที่เน้นไปที่แนวโน้มการดำเนินคดีในปี 2024Dan Burke รองประธานอาวุโสและผู้นำแนวปฏิบัติด้านไซเบอร์ระดับชาติของ Woodruff Sawyer กล่าวว่า “การเรียกร้องการติดตามพิกเซลเป็นเป้าหมายล่าสุดสำหรับบาร์ของโจทก์ โดยติดตามบริษัทต่างๆ ที่ติดตามกิจกรรมของเว็บไซต์ผ่านพิกเซลบนหน้าจอโดยไม่ได้รับความยินยอมที่เหมาะสม”

กิจกรรมเช่นนั้นอาจเป็นเหตุผลว่าทำไม 31% ของผู้จัดการการจัดจำหน่ายประกันภัยทางไซเบอร์ในแบบสำรวจของ Woodruff Sawyer เลือกความเป็นส่วนตัวเป็นปัญหาสูงสุดของพวกเขาในปี 2024 รองจากแรนซัมแวร์เท่านั้น โดย 63% ของผู้ตอบแบบสอบถามเลือก

ความเป็นส่วนตัวเป็นปัญหาทางธุรกิจ

James Tuplin รองประธานอาวุโสและหัวหน้าฝ่ายไซเบอร์ระหว่างประเทศของ Mosaic Insurance ตกลงว่าผู้จัดการการจัดจำหน่ายจะพิจารณาแนวโน้มความเป็นส่วนตัวอย่างใกล้ชิดยิ่งขึ้นในปีนี้ เขายืนยันว่าการฟ้องร้องเรื่องความเป็นส่วนตัวผ่านศาลมักจะใช้เวลาห้าถึงเจ็ดปี ซึ่งหมายความว่าในปี 2024 จะได้เห็นจุดสุดยอดของคดีความเป็นส่วนตัวที่ยื่นฟ้องในปี 2017 ถึง 2019 ก่อนที่หลายประเทศและรัฐของสหรัฐอเมริกาจะเริ่มผ่านกฎหมายความเป็นส่วนตัวฉบับใหม่ ตัวอย่างเช่น กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรปมีผลบังคับใช้ในปี 2018 ดังนั้น กรณีเหล่านี้จึงแสดงถึงการละเมิด GDPR เบื้องต้น

อย่างไรก็ตาม สำหรับบริษัทประกัน การจ่ายเงินสำหรับการเรียกร้องความเป็นส่วนตัวอาจไม่มากนัก เนื่องจาก “ผู้จัดการการจัดจำหน่ายมีเวลานานในการเล่นกับเงินทุนของพวกเขา ในขณะที่การสูญเสียเหล่านั้นสร้างขึ้นเพื่อการแก้ปัญหาขั้นสุดท้าย” แอนเดอร์สันอธิบาย นั่นเป็นเพราะว่าบริษัทประกันยังคงรักษาผลประโยชน์จากการถือกองทุนไว้ในเอสโครว์ ในขณะที่การเรียกร้องดำเนินไปในการเจรจาและการดำเนินคดี

แม้ว่าโดยทั่วไปแล้วคณะกรรมการบริหารจะมีที่ปรึกษาที่มีความสามารถเกี่ยวกับความเป็นส่วนตัว แต่คณะกรรมการยังคงมองว่าปัญหาความเป็นส่วนตัวเป็นเรื่องไอทีมากกว่าเรื่องธุรกิจ Tuplin กล่าว หน่วยงานกำกับดูแลบางแห่ง รวมถึง ก.ล.ต. กำลังดำเนินการ CISO อยู่ในเป้าเล็ง ของกฎระเบียบแม้ว่าจะไม่ได้ควบคุมงบประมาณหรือมีอำนาจในการแก้ไขปัญหาความปลอดภัยทางไซเบอร์ทั้งหมดก็ตาม เขากล่าวเสริม

การติดตามกฎหมายความเป็นส่วนตัว

เหตุผลที่ความเป็นส่วนตัวกลายเป็นเรื่องท้าทายสำหรับบอร์ดและทีมรักษาความปลอดภัยก็คือ ในหลายกรณี องค์กรต่างๆ ไม่ทราบว่าตนรวบรวมข้อมูลประเภทใด และข้อมูลนั้นอยู่ที่ใด Sherri Davidoff ผู้ก่อตั้งและซีอีโอของ LMG Security กล่าว บริษัทต่างๆ มักจะกักตุนข้อมูล เป็นสินทรัพย์แทนที่จะพิจารณาว่าเป็นวัตถุอันตราย เธอกล่าว

“มันเหมือนกับขยะนิวเคลียร์” เธอกล่าว “ยิ่งคุณมีข้อมูลมากเท่าไร คุณก็ยิ่งมีความเสี่ยงมากขึ้นเท่านั้น”

องค์กรต่างๆ จำเป็นต้องกำจัดข้อมูลได้ดีขึ้น โดยเฉพาะ PII ที่อาจกระตุ้นให้เกิด การละเมิดกฎระเบียบหรือกฎหมาย หากข้อมูลตกไปอยู่ในมือของคนผิด ในขณะที่ผู้เชี่ยวชาญด้านความปลอดภัยได้รับ บอกบริษัทต่างๆ มานานหลายปี พวกเขาจำเป็นต้องรู้ว่าข้อมูลใดที่ตนมีและตั้งอยู่ที่ใด บริษัทหลายแห่งรวมถึงผู้ที่อยู่ภายใต้การกำกับดูแลด้านกฎระเบียบที่เข้มงวด มักจะทำหน้าที่จำแนกและระบุตำแหน่งของข้อมูลทั้งหมดได้ไม่ดีนัก เธอกล่าว

ความท้าทายที่สำคัญอีกประการหนึ่งที่บริษัทหลายแห่งเผชิญคือพวกเขาไม่ได้ติดตามกฎหมายความเป็นส่วนตัวและข้อกำหนดด้านกฎระเบียบของข้อมูลที่พวกเขาเก็บไว้ทั้งหมด ทำความเข้าใจกับ ภาพรวมกฎหมายความเป็นส่วนตัวของข้อมูลของสหรัฐอเมริกา เป็นเรื่องยากพอสมควร แต่จะกลายเป็นความท้าทายมากขึ้นเมื่อพิจารณาว่าเกือบจะเป็นเช่นนั้น ทุกรัฐมีกฎหมายเฉพาะตัว การจัดการกับบันทึกสุขภาพและข้อมูลของเด็กโดยเฉพาะ นอกจากนี้ องค์กรที่มี PII เกี่ยวกับพลเมืองของสหภาพยุโรปก็ต้องปฏิบัติตามเช่นกัน สอดคล้องกับ GDPR. บริษัทที่ทำธุรกิจในประเทศอื่นจำเป็นต้องมีที่ปรึกษากฎหมายตรวจสอบกฎหมายในทุกประเทศที่บริษัททำธุรกิจเพื่อให้แน่ใจว่าเป็นไปตามกฎหมายความเป็นส่วนตัวเหล่านั้น

ข้อผิดพลาดเล็กน้อย = การสูญเสียครั้งใหญ่

บริษัทหลายแห่งคิดว่าหากพวกเขาปฏิบัติตามกฎข้อบังคับต่างๆ ปฏิบัติตามกฎหมายของรัฐ และมีประกันภัยทางไซเบอร์ ทุกอย่างก็เรียบร้อย
“ที่จริงแล้วยังไม่เพียงพอ” Michelle Schaap ซึ่งเป็นผู้นำด้านความเป็นส่วนตัวและความปลอดภัยของข้อมูลที่สำนักงานกฎหมาย Chiesa Shahinian & Giantomasi (CSG Law) กล่าว “แม้ว่าจะเพียงพอที่จะป้องกันการฟ้องร้องของผู้บริโภคหรือการดำเนินคดีทางกฎหมายจากอัยการสูงสุดหรือหน่วยงานบังคับใช้อื่น ๆ ต่อนิติบุคคลที่ถูกบุกรุก แต่ก็ยังมีข้อควรพิจารณาอื่น ๆ ”

สิ่งที่อาจดูเหมือนเป็นการละเมิดเล็กน้อย เช่น การไม่ปฏิบัติตามนโยบายความเป็นส่วนตัวที่โพสต์ไว้อย่างสมบูรณ์ อาจกระตุ้นให้เกิดค่าปรับการละเมิดกฎระเบียบหลายครั้ง

“มันเป็นแนวทางปฏิบัติทางการค้าที่หลอกลวง” Schaap กล่าว “หากคุณกำลังบอกว่าคุณกำลังทำ X แต่ในความเป็นจริง คุณไม่ได้ทำ นั่นจะกลายเป็นการนับครั้งแรกในการเรียกร้อง FTC แต่ละรัฐมีกฎหมาย FTC หรือกฎหมายคุ้มครองผู้บริโภคเล็กน้อยของตนเอง”

อีกตัวอย่างหนึ่งของสิ่งที่อาจดูเหมือนเป็นการละเมิดเล็กน้อยที่ทีมรักษาความปลอดภัยขององค์กรอาจมองข้ามไป แต่ที่อาจก่อให้เกิดการปฏิบัติตามข้อกำหนดหรือการละเมิดกฎหมายก็คือคำของ่ายๆ ในการยกเลิก เมื่อผู้บริโภคขอให้บริษัทลบรายชื่อผู้รับจดหมาย คำขอจะต้องครอบคลุมที่อยู่อีเมลทั้งหมดที่ผู้ขอใช้เพื่อปฏิบัติตามกฎหมายของรัฐทั้งหมด ดังนั้น แม้ว่าบริษัทจะกล่าวว่าตนปฏิบัติตามกฎหมาย แต่ก็อาจไม่สอดคล้องกับทุกรัฐที่บริษัทดำเนินธุรกิจอยู่ การไม่ปฏิบัติตามกฎหมายความเป็นส่วนตัวอาจนำไปสู่การปฏิเสธการเรียกร้องค่าสินไหมทดแทน

เพื่อเติมเต็มช่องโหว่ด้านการปฏิบัติตามกฎระเบียบที่พวกเขาอาจไม่รู้ด้วยซ้ำ Schaap แนะนำให้บริษัทต่างๆ ใช้ประโยชน์จากความช่วยเหลือที่บริษัทประกันภัยไซเบอร์มอบให้ เช่น การรักษาความปลอดภัยบนโต๊ะและแบบฝึกหัดอื่นๆ เพื่อให้ปฏิบัติตามกฎระเบียบที่ถูกต้องและรักษานโยบายของตนให้ดี แทน

นี่ไม่ใช่แค่เชิงทฤษฎีเท่านั้น ในปี 2022 บริษัทแห่งหนึ่งระบุการใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยอย่างไม่ถูกต้อง การสมัครประกันภัย แบบสอบถาม. ผู้ให้บริการประกันภัยทางไซเบอร์อย่าง Travellers ฟ้องร้องบริษัท โดยเก็บเบี้ยประกันที่บริษัทจ่ายไปในท้ายที่สุด แม้จะยกเลิกกรมธรรม์ประกันภัยทางไซเบอร์ และปฏิเสธการเรียกร้องดังกล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance