Конфіденційність перевершує програмне забезпечення-вимагач як головне страхування

Поки корпоративні директори та служби безпеки намагаються забезпечити відповідність новим правилам кібербезпеки Комісії з цінних паперів і бірж (SEC), претензії через неправильне поводження із захищеною особистою інформацією (PII) можуть конкурувати з вартістю атак програм-вимагачів, попереджає Девід Андерсон, віце-президент відділу кібербезпеки. відповідальність у Woodruff Sawyer, національний страховий брокер.

У той час як позови щодо конфіденційності займають роки, щоб пройти через судовий процес, «втрати, як правило, такі ж катастрофічні протягом трьох-п’яти років, як претензії щодо програм-вимагачів протягом трьох-п’яти днів», – каже він.

В презентація, присвячена тенденціям судових процесів у 2024 році, Ден Берк, старший віце-президент і керівник національної кіберпрактики компанії Woodruff Sawyer, зазначив: «Претензії щодо відстеження пікселів є останньою мішенню для адвокатів позивачів — переслідування компаній, які відстежують діяльність веб-сайтів за допомогою пікселів на екрані без отримання належної згоди».

Подібна діяльність може бути причиною того, чому 31% страхувальників кіберстрахування в опитуванні Woodruff Sawyer вибрали конфіденційність як головну турботу у 2024 році — на другому місці після програм-вимагачів, які обрали 63% респондентів.

Конфіденційність – це питання бізнесу

Джеймс Таплін, старший віце-президент і керівник міжнародного кібернетичного відділу Mosaic Insurance, погоджується, що цього року страхові компанії будуть набагато уважніше дивитися на тенденції конфіденційності. Він підтверджує, що для розгляду судових процесів щодо конфіденційності зазвичай потрібно від п’яти до семи років, а це означає, що 2024 рік стане кульмінацією справ щодо конфіденційності, поданих у 2017–2019 роках — до того, як багато країн і штати США почали приймати нові закони про конфіденційність. Наприклад, Загальний регламент Європейського Союзу щодо захисту даних (GDPR) набув чинності в 2018 році, тому ці випадки є початковими порушеннями GDPR.

Однак для страховика виплата за претензіями щодо конфіденційності може бути не такою великою, оскільки «страховикам доводиться довго грати зі своїм капіталом, поки ці збитки досягають остаточного вирішення», — пояснює Андерсон. Це пов’язано з тим, що страховики зберігають інтерес до зберігання коштів у депозитному депонуванні, тоді як претензії вирішуються через переговори та судові процеси.

Хоча ради директорів зазвичай мають досвідчених консультантів з питань конфіденційності, ради все ще схильні думати про питання конфіденційності як про ІТ-сферу, а не як про бізнес, каже Туплін. Деякі регулятори, зокрема SEC, ставлять CISO у перехресті прицілу нормативних актів, навіть якщо вони не контролюють бюджети та не мають повноважень вирішувати всі питання кібербезпеки, додає він.

Відстеження законів про конфіденційність

За словами Шеррі Давідофф, засновника та генерального директора LMG Security, одна з причин, чому конфіденційність стала проблемою для правлінь і команд безпеки, полягає в тому, що в багатьох випадках організації не знають, які дані вони збирають і де вони зберігаються. Компанії схильні накопичувати дані як актив, а не як небезпечний матеріал, каже вона.

«Це як ядерні відходи», — каже вона. «Чим більше у вас даних, тим більше у вас ризику».

Підприємствам потрібно краще видаляти дані, зокрема ідентифікаційну інформацію, які можуть викликати a нормативно-правове порушення якщо дані потраплять у чужі руки. Тоді як фахівці з безпеки були розповідати компаніям роками Оскільки їм потрібно знати, які дані вони мають і де вони знаходяться, багато компаній, у тому числі ті, що підпадають під суворий регулятивний нагляд, часто погано класифікують та ідентифікують місцезнаходження всіх своїх даних, каже вона.

Ще одна серйозна проблема, з якою стикаються багато компаній, полягає в тому, що вони не відстежують усі закони про конфіденційність і нормативні вимоги до даних, які вони зберігають. Розуміння Закон США про конфіденційність даних досить складно, але це стає більш складним, якщо врахувати, що майже кожен штат має унікальні закони що стосується особливо медичних записів та даних про дітей. Крім того, організації, які мають ідентифікаційну інформацію громадян Європейського Союзу, також повинні дотримуватися ГДПР. Компанії, які ведуть бізнес в інших країнах, повинні мати юридичного консультанта, який вивчатиме закони кожної країни, де компанія веде бізнес, щоб переконатися, що вони дотримуються цих законів про конфіденційність.

Маленька помилка = велика втрата

Багато компаній вважають, що якщо вони дотримуються різноманітних нормативно-правових актів, дотримуються законів штату та мають кіберстрахування, то все готово.
«Насправді цього недостатньо», — каже Мішель Шаап, керівник практики конфіденційності та безпеки даних в юридичній фірмі Chiesa Shahinian & Giantomasi (CSG Law). «Хоча цього може бути достатньо для захисту від позову споживача або судового позову від дій генерального прокурора або іншого правоохоронного органу проти скомпрометованої організації, є й інші міркування».

Те, що може здатися незначним порушенням, наприклад неповним дотриманням опублікованої політики конфіденційності, може спричинити численні штрафи за порушення нормативних документів.

«Це оманлива торгова практика», — каже Шаап. «Якщо ви стверджуєте, що робите X, а насправді це не так, це стає першим пунктом позову FTC. У кожному штаті є свої маленькі закони FTC або закони про захист прав споживачів».

Іншим прикладом того, що може здатися незначним порушенням, яке можуть не помітити групи корпоративної безпеки, але яке може призвести до порушення вимог або законодавства, є простий запит на відмову. Коли споживач просить компанію вилучити її зі списку розсилки, запит має охоплювати всі адреси електронної пошти, які використовує запитувач, щоб відповідати всім державним законам. Таким чином, навіть якщо компанія каже, що вона відповідає закону, вона може не відповідати всім штатам, у яких вона працює. Помилкове твердження про дотримання законів про конфіденційність може спричинити відмову у страховій претензії.

Щоб заповнити деякі з цих прогалин у відповідності, про які вони, можливо, навіть не підозрюють, Шаап рекомендує компаніям скористатися будь-якою допомогою, яку надає їхній кіберстраховик, як-от настільна безпека та інші вправи, щоб дотримуватися правил і підтримувати свою політику в належному стані. місце.

Це не просто теоретично. У 2022 році компанія неправильно заявила про використання багатофакторної автентифікації на своєму заява на страхування анкета. Перевізник кіберстрахування Travelers подав до суду на компанію, зрештою зберігши сплачені премії, незважаючи на скасування полісу кіберстрахування — і відмову в позові.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance