پرائیویسی رینسم ویئر کو سب سے اوپر انشورنس تشویش کے طور پر ہرا دیتی ہے۔

سائبر کے نائب صدر ڈیوڈ اینڈرسن نے خبردار کیا کہ کارپوریٹ ڈائریکٹرز اور سیکیورٹی ٹیمیں سیکیورٹیز اینڈ ایکسچینج کمیشن (SEC) کے سائبر سیکیورٹی کے نئے ضوابط پر پورا اترنے کے لیے جدوجہد کر رہی ہیں، ذاتی طور پر قابل شناخت معلومات (PII) کو غلط طریقے سے ہینڈل کرنے کی وجہ سے دعوے رینسم ویئر حملوں کی لاگت کا مقابلہ کر سکتے ہیں، سائبر کے نائب صدر ڈیوڈ اینڈرسن نے خبردار کیا۔ Woodruff Sawyer پر ذمہ داری، ایک قومی انشورنس بروکریج۔

اگرچہ پرائیویسی کے دعووں کو قانونی عمل کے ذریعے کام کرنے میں برسوں لگتے ہیں، "نقصانات عام طور پر تین سے پانچ سال کے دوران اتنے ہی تباہ کن ہوتے ہیں جیسے کہ رینسم ویئر کا دعویٰ تین سے پانچ دنوں کے دوران ہوتا ہے،" وہ کہتے ہیں۔

ایک 2024 قانونی چارہ جوئی کے رجحانات پر توجہ مرکوز کرنے والی پیشکش، ڈین برک، سینئر نائب صدر اور ووڈرف ساویر کے نیشنل سائبر پریکٹس لیڈر، نے نوٹ کیا، "پکسل ٹریکنگ کے دعوے مدعی کے بار کے لیے تازہ ترین ہدف ہیں - مناسب رضامندی حاصل کیے بغیر اسکرین پر پکسلز کے ذریعے ویب سائٹ کی سرگرمیوں کو ٹریک کرنے والی کمپنیوں کے پیچھے جانا۔"

اس طرح کی سرگرمیاں اس وجہ سے ہو سکتی ہیں کہ ووڈرف ساویر کے سروے میں 31% سائبر انشورنس انڈر رائٹرز نے 2024 کے لیے پرائیویسی کو اپنی اولین تشویش کے طور پر منتخب کیا - رینسم ویئر کے بعد دوسرے نمبر پر، جسے 63% جواب دہندگان نے منتخب کیا۔

رازداری ایک کاروباری مسئلہ ہے۔

جیمز ٹوپلن، سینئر نائب صدر اور موزیک انشورنس میں بین الاقوامی سائبر کے سربراہ، اس بات سے اتفاق کرتے ہیں کہ انڈر رائٹرز اس سال پرائیویسی کے رجحانات کو بہت قریب سے دیکھیں گے۔ عدالتوں کے ذریعے پرائیویسی کے قانونی چارہ جوئی میں اکثر پانچ سے سات سال لگتے ہیں، وہ تصدیق کرتے ہیں، جس کا مطلب ہے کہ 2024 میں 2017 سے 2019 میں دائر کیے گئے پرائیویسی کیسز کا خاتمہ ہو گا — اس سے پہلے کہ بہت سے ممالک اور امریکی ریاستوں نے پرائیویسی کے نئے قوانین پاس کرنا شروع کیے ہوں۔ مثال کے طور پر، یورپی یونین کا جنرل ڈیٹا پروٹیکشن ریگولیشن (GDPR) 2018 میں نافذ ہوا، اس لیے یہ معاملات ابتدائی GDPR کی خلاف ورزیوں کی نمائندگی کرتے ہیں۔

بیمہ کرنے والے کے لیے، تاہم، رازداری کے دعووں کی ادائیگی اتنی بڑی نہیں ہو سکتی ہے کیونکہ "انڈر رائٹرز کے پاس اپنے سرمائے سے کھیلنے کے لیے کافی وقت ہوتا ہے جب کہ یہ نقصانات ان کے حتمی حل تک پہنچ جاتے ہیں،" اینڈرسن بتاتے ہیں۔ اس کی وجہ یہ ہے کہ بیمہ کنندگان ایسکرو میں فنڈز رکھنے سے دلچسپی برقرار رکھتے ہیں جبکہ دعوے مذاکرات اور قانونی چارہ جوئی کے ذریعے اپنے طریقے سے کام کرتے ہیں۔

ٹوپلن کا کہنا ہے کہ جب کہ بورڈ آف ڈائریکٹرز میں عام طور پر پرائیویسی کے بارے میں قابل مشیر ہوتے ہیں، بورڈ اب بھی رازداری کے مسائل کو کاروباری معاملے کے بجائے آئی ٹی کے معاملے کے طور پر سوچتے ہیں۔ SEC سمیت کچھ ریگولیٹرز ڈال رہے ہیں۔ کراس ہیئرز میں CISOs انہوں نے مزید کہا کہ قواعد و ضوابط کے باوجود وہ بجٹ کو کنٹرول نہیں کرتے یا سائبر سیکیورٹی کے تمام مسائل کو حل کرنے کا اختیار رکھتے ہیں۔

رازداری کے قوانین کا سراغ لگانا

ایل ایم جی سیکیورٹی کے بانی اور سی ای او شیری ڈیوڈوف نے نوٹ کیا کہ بورڈز اور سیکیورٹی ٹیموں کے لیے رازداری کے چیلنج ہونے کی وجوہات میں سے بہت سے معاملات میں، تنظیمیں نہیں جانتی ہیں کہ وہ کس قسم کا ڈیٹا اکٹھا کر رہے ہیں اور وہ ڈیٹا کہاں رہتا ہے۔ کمپنیاں ڈیٹا ذخیرہ کرنے کا رجحان رکھتی ہیں۔ وہ کہتی ہیں کہ اسے ایک اثاثہ کے طور پر ایک خطرناک مواد سمجھنے کی بجائے۔

"یہ جوہری فضلہ کی طرح ہے،" وہ کہتی ہیں۔ "آپ کے پاس جتنا زیادہ ڈیٹا ہے، اتنا ہی زیادہ خطرہ ہے۔"

انٹرپرائزز کو ڈیٹا کو ختم کرنے کا ایک بہتر کام کرنے کی ضرورت ہے — PII، خاص طور پر — جو کہ ایک کو متحرک کر سکتا ہے۔ ریگولیٹری یا قانونی خلاف ورزی ڈیٹا غلط ہاتھوں میں گرنا چاہئے. جبکہ سیکورٹی پنڈت رہے ہیں۔ سالوں سے کمپنیوں کو بتانا وہ کہتی ہیں کہ انہیں یہ جاننے کی ضرورت ہے کہ ان کے پاس کون سا ڈیٹا ہے اور یہ کہاں واقع ہے، بہت سی کمپنیاں، جن میں سخت ریگولیٹری نگرانی کی جاتی ہے، اکثر اپنے تمام ڈیٹا کی جگہوں کی درجہ بندی اور شناخت کرنے کا ناقص کام کرتی ہیں۔

ایک اور بڑا چیلنج جس کا سامنا بہت سی فرموں کو کرنا پڑتا ہے وہ یہ ہے کہ وہ رازداری کے تمام قوانین اور ان کے پاس موجود ڈیٹا کے ریگولیٹری تقاضوں کو نہیں مانتی ہیں۔ کو سمجھنا امریکی ڈیٹا پرائیویسی قانون لینڈ سکیپ کافی مشکل ہے، لیکن جب کوئی اسے قریب قریب سمجھتا ہے تو یہ زیادہ مشکل ہو جاتا ہے۔ ہر ریاست کے منفرد قوانین ہیں خاص طور پر صحت کے ریکارڈ اور بچوں کے ڈیٹا سے نمٹنا۔ مزید برآں، یورپی یونین کے شہریوں پر PII رکھنے والی تنظیمیں بھی لازمی ہیں۔ جی ڈی پی آر کے ساتھ عمل کریں. دوسرے ممالک میں کاروبار کرنے والی کمپنیوں کو ہر اس ملک میں جہاں کوئی کمپنی کاروبار کرتی ہے اس بات کو یقینی بنانے کے لیے کہ وہ ان پرائیویسی قوانین پر پورا اترتی ہے، قانونی صلاح کار کو قانون کا جائزہ لینے کی ضرورت ہے۔

چھوٹی غلطی = بڑا نقصان

بہت سی کمپنیاں سوچتی ہیں کہ اگر وہ تعمیل کے مختلف ضوابط کی تعمیل کرتی ہیں، ریاستی قوانین کی پابندی کرتی ہیں، اور سائبر انشورنس رکھتی ہیں، تو وہ بالکل تیار ہیں۔
"حقیقت میں یہ کافی نہیں ہے،" مشیل شاپ کہتی ہیں، جو لاء فرم چیسا شاہینان اینڈ گیانٹوماسی (CSG قانون) میں پرائیویسی اور ڈیٹا سیکیورٹی پریکٹس کی قیادت کرتی ہیں۔ "اگرچہ یہ صارف کے مقدمے یا اٹارنی جنرلز کی قانونی کارروائی یا سمجھوتہ کرنے والے ادارے کے خلاف کسی اور نافذ کرنے والے ادارے کی کارروائی کے خلاف حفاظت کے لیے کافی ہو سکتا ہے، اس کے علاوہ دیگر تحفظات بھی ہیں۔"

جو کچھ معمولی خلاف ورزی کی طرح لگ سکتا ہے - جیسے پوسٹ کردہ رازداری کی پالیسی پر مکمل طور پر عمل نہ کرنا - متعدد ریگولیٹری خلاف ورزی کے جرمانے کو متحرک کر سکتا ہے۔

"یہ ایک فریب دینے والا تجارتی عمل ہے،" Schaap کہتے ہیں۔ "اگر آپ کہہ رہے ہیں کہ آپ X کر رہے ہیں اور درحقیقت، آپ ایسا نہیں کر رہے ہیں، تو یہ FTC دعوے میں پہلی گنتی بن جاتی ہے۔ ہر ریاست کے اپنے چھوٹے FTC قوانین، یا صارفین کے تحفظ کے قوانین ہوتے ہیں۔"

اس کی ایک اور مثال جو ایک معمولی خلاف ورزی معلوم ہو سکتی ہے جسے کارپوریٹ سیکیورٹی ٹیمیں نظر انداز کر سکتی ہیں لیکن جس سے تعمیل یا قانونی خلاف ورزی ہو سکتی ہے ایک سادہ آپٹ آؤٹ درخواست ہے۔ جب کوئی صارف کسی کمپنی کو میلنگ لسٹ سے ہٹانے کے لیے کہتا ہے، تو درخواست میں ان تمام ای میل پتوں کا احاطہ کرنے کی ضرورت ہوتی ہے جنہیں درخواست کنندہ ریاست کے تمام قوانین کی تعمیل کے لیے استعمال کرتا ہے۔ اس طرح، یہاں تک کہ اگر کوئی کمپنی کہتی ہے کہ وہ قانون کے مطابق ہے، ہو سکتا ہے کہ یہ ان تمام ریاستوں کے لیے موافق نہ ہو جہاں وہ کام کرتی ہے۔ رازداری کے قوانین کی پابندی کو غلط سمجھنا انشورنس کے دعوے سے انکار کو متحرک کر سکتا ہے۔

تعمیل کے ان سوراخوں میں سے کچھ کو پُر کرنے کے لیے، Schaap تجویز کرتی ہے کہ کمپنیاں اپنے سائبر بیمہ کنندہ کی فراہم کردہ کسی بھی مدد سے فائدہ اٹھائیں، جیسے کہ سیکیورٹی ٹیبل ٹاپ اور دیگر مشقیں، ضوابط کے دائیں جانب رہنے اور اپنی پالیسیوں کو اچھی طرح سے برقرار رکھنے کے لیے۔ کی جگہ

یہ صرف نظریاتی نہیں ہے۔ 2022 میں، ایک کمپنی نے اس پر ملٹی فیکٹر کی توثیق کا غلط استعمال کیا۔ انشورنس کی درخواست سوالنامہ سائبر انشورنس کیریئر، ٹریولرز، نے کمپنی پر مقدمہ دائر کیا، بالآخر سائبر انشورنس پالیسی کو منسوخ کرنے کے باوجود - اور دعوے سے انکار کرنے کے باوجود کمپنی نے ادا کیے گئے پریمیم کو برقرار رکھا۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance