Quyền riêng tư đánh bại Ransomware là mối lo ngại hàng đầu về bảo hiểm

Khi các giám đốc công ty và đội ngũ bảo mật nỗ lực đảm bảo đáp ứng các quy định an ninh mạng mới của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), các khiếu nại do xử lý sai thông tin nhận dạng cá nhân được bảo vệ (PII) có thể gây ra thiệt hại tương đương với chi phí của các cuộc tấn công bằng ransomware, David Anderson, phó chủ tịch mạng, cảnh báo. trách nhiệm pháp lý tại Woodruff Sawyer, một công ty môi giới bảo hiểm quốc gia.

Ông nói: Mặc dù các yêu cầu về quyền riêng tư phải mất nhiều năm để thực hiện theo quy trình pháp lý, nhưng “những tổn thất nói chung cũng rất thảm khốc trong khoảng thời gian từ 3 đến 5 năm vì yêu cầu bồi thường về ransomware chỉ kéo dài từ 3 đến 5 ngày”.

Trong một bài thuyết trình tập trung vào xu hướng kiện tụng năm 2024, Dan Burke, phó chủ tịch cấp cao và lãnh đạo thực hành mạng quốc gia tại Woodruff Sawyer, lưu ý, “Các khiếu nại về theo dõi pixel là mục tiêu mới nhất của các nguyên đơn - truy đuổi các công ty theo dõi hoạt động trang web thông qua các pixel trên màn hình mà không có được sự đồng ý thích hợp.”

Các hoạt động như vậy có thể là lý do tại sao 31% công ty bảo hiểm mạng trong cuộc khảo sát của Woodruff Sawyer chọn quyền riêng tư là mối quan tâm hàng đầu của họ trong năm 2024 — chỉ đứng sau ransomware, được 63% số người được hỏi chọn.

Quyền riêng tư là một vấn đề kinh doanh

James Tuplin, phó chủ tịch cấp cao và người đứng đầu bộ phận mạng quốc tế tại Bảo hiểm khảm, đồng ý rằng các nhà bảo lãnh sẽ xem xét kỹ hơn nhiều về xu hướng quyền riêng tư trong năm nay. Ông xác nhận, thường phải mất từ ​​2024 đến 2017 năm để các vụ kiện về quyền riêng tư được giải quyết thông qua tòa án, điều đó có nghĩa là năm 2019 sẽ chứng kiến ​​đỉnh điểm của các vụ kiện về quyền riêng tư được đệ trình vào năm 2018 đến XNUMX - trước khi nhiều quốc gia và tiểu bang của Hoa Kỳ bắt đầu thông qua luật quyền riêng tư mới. Ví dụ: Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu đã có hiệu lực vào năm XNUMX, vì vậy những trường hợp này thể hiện hành vi vi phạm GDPR ban đầu.

Tuy nhiên, đối với công ty bảo hiểm, khoản thanh toán cho các yêu cầu về quyền riêng tư có thể không lớn vì “các nhà bảo lãnh có thời gian dài sử dụng vốn của mình trong khi những tổn thất đó sẽ dẫn đến giải pháp cuối cùng của họ,” Anderson giải thích. Đó là bởi vì các công ty bảo hiểm giữ lại lợi ích từ việc giữ tiền ký quỹ trong khi các yêu cầu bồi thường được thực hiện theo cách của họ thông qua đàm phán và kiện tụng.

Tuplin nói, mặc dù ban giám đốc thường có những cố vấn có năng lực về quyền riêng tư, nhưng các ban giám đốc vẫn có xu hướng coi vấn đề quyền riêng tư là vấn đề CNTT hơn là vấn đề kinh doanh. Một số cơ quan quản lý, bao gồm cả SEC, đang đưa ra CISO trong tầm ngắm Ông cho biết thêm, tuân thủ các quy định mặc dù họ không kiểm soát ngân sách hoặc có thẩm quyền giải quyết tất cả các vấn đề an ninh mạng.

Theo dõi luật riêng tư

Sherri Davidoff, người sáng lập và Giám đốc điều hành tại LMG Security, lưu ý: Trong số các lý do khiến quyền riêng tư trở thành thách thức đối với hội đồng và nhóm bảo mật là trong nhiều trường hợp, các tổ chức không biết họ đang thu thập loại dữ liệu nào và dữ liệu đó nằm ở đâu. Các công ty có xu hướng tích trữ dữ liệu như một tài sản thay vì coi nó như một vật liệu nguy hiểm, cô nói.

“Nó giống như chất thải hạt nhân,” cô nói. “Bạn càng có nhiều dữ liệu, bạn càng gặp nhiều rủi ro.”

Các doanh nghiệp cần thực hiện tốt hơn việc loại bỏ dữ liệu - đặc biệt là PII - có thể gây ra vi phạm quy định hoặc pháp lý nếu dữ liệu rơi vào tay kẻ xấu. Trong khi các chuyên gia bảo mật đã nói với các công ty trong nhiều năm rằng họ cần biết dữ liệu nào họ có và vị trí của nó, nhiều công ty, bao gồm cả những công ty chịu sự giám sát chặt chẽ của cơ quan quản lý, thường thực hiện kém việc phân loại và xác định vị trí của tất cả dữ liệu của họ, cô nói.

Một thách thức lớn khác mà nhiều công ty phải đối mặt là họ không theo dõi tất cả các luật về quyền riêng tư và các yêu cầu pháp lý đối với dữ liệu họ nắm giữ. Hiểu biết về Bối cảnh luật bảo mật dữ liệu của Hoa Kỳ đã đủ khó khăn rồi, nhưng nó còn trở nên khó khăn hơn khi người ta cho rằng gần như mỗi bang đều có luật riêng xử lý cụ thể các hồ sơ sức khỏe và dữ liệu của trẻ em. Ngoài ra, các tổ chức có PII của công dân Liên minh Châu Âu cũng phải tuân thủ GDPR. Các công ty kinh doanh ở các quốc gia khác cần có cố vấn pháp lý xem xét luật pháp ở mọi quốc gia nơi công ty kinh doanh để đảm bảo họ đáp ứng các luật về quyền riêng tư đó.

Lỗi nhỏ = Mất mát lớn

Nhiều công ty nghĩ rằng nếu họ tuân thủ các quy định tuân thủ khác nhau, tuân thủ luật pháp của tiểu bang và có bảo hiểm mạng thì mọi việc đã ổn thỏa.
Michelle Schaap, người đứng đầu bộ phận bảo mật dữ liệu và quyền riêng tư tại công ty luật Chiesa Shahinian & Giantomasi (CSG Law), cho biết: “Trên thực tế, điều đó vẫn chưa đủ”. “Mặc dù có thể đủ để bảo vệ khỏi vụ kiện của người tiêu dùng hoặc hành động pháp lý từ hành động của các bộ trưởng tư pháp hoặc cơ quan thực thi khác đối với thực thể bị xâm phạm, nhưng vẫn có những cân nhắc khác.”

Những gì có vẻ giống như một vi phạm nhỏ - chẳng hạn như không tuân thủ đầy đủ chính sách quyền riêng tư đã đăng - có thể gây ra nhiều khoản tiền phạt vi phạm quy định.

Schaap nói: “Đó là một hành vi buôn bán lừa đảo. “Nếu bạn nói rằng bạn đang làm X và trên thực tế thì không phải vậy, điều đó sẽ trở thành điểm đầu tiên trong khiếu nại của FTC. Mỗi tiểu bang đều có luật FTC nhỏ hoặc luật bảo vệ người tiêu dùng của riêng họ.”

Một ví dụ khác về những gì có vẻ là một vi phạm nhỏ mà các nhóm bảo mật của công ty có thể bỏ qua nhưng có thể tạo ra sự tuân thủ hoặc vi phạm pháp luật là một yêu cầu từ chối đơn giản. Khi người tiêu dùng yêu cầu loại bỏ một công ty khỏi danh sách gửi thư, yêu cầu đó cần bao gồm tất cả các địa chỉ email mà người yêu cầu sử dụng để tuân thủ tất cả luật pháp của tiểu bang. Do đó, ngay cả khi một công ty cho biết họ tuân thủ luật pháp, công ty đó có thể không tuân thủ tất cả các tiểu bang mà công ty đó hoạt động. Việc trình bày sai việc tuân thủ luật về quyền riêng tư có thể dẫn đến việc từ chối yêu cầu bảo hiểm.

Để lấp đầy một số lỗ hổng tuân thủ mà họ thậm chí có thể không biết, Schaap khuyến nghị các công ty nên tận dụng mọi trợ giúp mà công ty bảo hiểm mạng của họ cung cấp, chẳng hạn như giải pháp bảo mật và các hoạt động khác, để tuân thủ đúng quy định và duy trì chính sách của họ tốt thay thế.

Đây không chỉ là lý thuyết. Vào năm 2022, một công ty đã trình bày sai việc sử dụng xác thực đa yếu tố trên đơn xin bảo hiểm bảng câu hỏi. Nhà cung cấp dịch vụ bảo hiểm mạng, Travelers, đã kiện công ty, cuối cùng vẫn giữ nguyên khoản phí bảo hiểm mà công ty đã trả mặc dù đã hủy hợp đồng bảo hiểm mạng — và từ chối yêu cầu bồi thường.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance