Da Unternehmensleiter und Sicherheitsteams darum kämpfen, sicherzustellen, dass sie die neuen Cybersicherheitsvorschriften der Securities and Exchange Commission (SEC) einhalten, könnten Schadensersatzforderungen aufgrund der missbräuchlichen Handhabung geschützter personenbezogener Daten (PII) mit den Kosten von Ransomware-Angriffen mithalten, warnt David Anderson, Vizepräsident für Cybersicherheit Haftpflicht bei Woodruff Sawyer, einem nationalen Versicherungsmakler.
Während Datenschutzansprüche Jahre brauchen, um den rechtlichen Prozess zu durchlaufen, „sind Verluste im Allgemeinen im Laufe von drei bis fünf Jahren genauso katastrophal wie ein Ransomware-Anspruch im Verlauf von drei bis fünf Tagen“, sagt er.
In einer Präsentation mit Schwerpunkt auf den Prozesstrends im Jahr 2024Dan Burke, Senior Vice President und nationaler Cyber-Practice-Leiter bei Woodruff Sawyer, bemerkte: „Pixel-Tracking-Ansprüche sind das neueste Ziel der Klägeranwaltschaft – gegen Unternehmen, die Website-Aktivitäten über Pixel auf dem Bildschirm verfolgen, ohne die entsprechende Zustimmung einzuholen.“
Aktivitäten wie diese könnten der Grund dafür sein, dass 31 % der Versicherer von Cyberversicherungen in einer Woodruff Sawyer-Umfrage den Datenschutz als ihre größte Sorge für 2024 nannten – an zweiter Stelle hinter Ransomware, die von 63 % der Befragten gewählt wurde.
Datenschutz ist ein Geschäftsproblem
James Tuplin, Senior Vice President und Head of International Cyber bei Mosaic Insurance, stimmt zu, dass Versicherer in diesem Jahr einen viel genaueren Blick auf Datenschutztrends werfen werden. Er bestätigt, dass es oft fünf bis sieben Jahre dauert, bis Datenschutzklagen vor Gericht landen, was bedeutet, dass im Jahr 2024 die in den Jahren 2017 bis 2019 eingereichten Datenschutzklagen ihren Höhepunkt erreichen werden – bevor viele Länder und US-Bundesstaaten mit der Verabschiedung neuer Datenschutzgesetze begannen. Da beispielsweise im Jahr 2018 die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft getreten ist, handelt es sich bei diesen Fällen um erste DSGVO-Verstöße.
Für den Versicherer ist die Auszahlung für Datenschutzansprüche jedoch möglicherweise nicht so hoch, weil „die Versicherer lange Zeit haben, mit ihrem Kapital zu spielen, während sich diese Verluste bis zu ihrem endgültigen Beschluss aufbauen“, erklärt Anderson. Das liegt daran, dass die Versicherer die Zinsen aus der Hinterlegung von Geldern auf einem Treuhandkonto behalten, während sich die Ansprüche durch Verhandlungen und Rechtsstreitigkeiten ihren Weg bahnen.
Während Vorstände in der Regel kompetente Berater zum Thema Datenschutz haben, tendieren Vorstände immer noch dazu, Datenschutzfragen eher als eine IT-Angelegenheit denn als eine Geschäftsangelegenheit zu betrachten, sagt Tuplin. Einige Aufsichtsbehörden, darunter die SEC, stimmen zu CISOs im Fadenkreuz Er fügt hinzu, dass sie die Regulierungsvorschriften vernachlässigen, obwohl sie weder die Budgets kontrollieren noch befugt sind, alle Cybersicherheitsprobleme zu lösen.
Verfolgung von Datenschutzgesetzen
Einer der Gründe, warum der Datenschutz für Vorstände und Sicherheitsteams zu einer Herausforderung geworden ist, liegt darin, dass Unternehmen in vielen Fällen nicht wissen, welche Arten von Daten sie sammeln und wo sich diese Daten befinden, bemerkt Sherri Davidoff, Gründerin und CEO von LMG Security. Unternehmen neigen dazu, Daten zu horten als Vermögenswert statt als gefährliches Material zu betrachten, sagt sie.
„Es ist wie Atommüll“, sagt sie. „Je mehr Daten Sie haben, desto größer ist das Risiko.“
Unternehmen müssen Daten – insbesondere personenbezogene Daten –, die eine Bedrohung auslösen könnten, besser eliminieren Verstöße gegen Vorschriften oder Gesetze sollten die Daten in die falschen Hände geraten. Während Sicherheitsexperten es waren Unternehmen seit Jahren davon erzählen Da sie wissen müssen, über welche Daten sie verfügen und wo sich diese befinden, leisten viele Unternehmen, darunter auch solche, die einer strengen behördlichen Aufsicht unterliegen, oft nur unzureichende Arbeit bei der Klassifizierung und Identifizierung der Speicherorte aller ihrer Daten, sagt sie.
Eine weitere große Herausforderung für viele Unternehmen besteht darin, dass sie nicht alle Datenschutzgesetze und behördlichen Anforderungen der von ihnen gespeicherten Daten im Auge behalten. Das verstehen US-Datenschutzgesetzlandschaft ist schwierig genug, aber es wird noch anspruchsvoller, wenn man das fast betrachtet Jeder Staat hat einzigartige Gesetze sich speziell mit Gesundheitsakten und Kinderdaten befassen. Darüber hinaus müssen auch Organisationen, die über personenbezogene Daten von Bürgern der Europäischen Union verfügen, dies tun Einhaltung der DSGVO. Unternehmen, die in anderen Ländern geschäftlich tätig sind, benötigen einen Rechtsbeistand, der die Gesetze in jedem Land prüft, in dem ein Unternehmen geschäftlich tätig ist, um sicherzustellen, dass sie diese Datenschutzgesetze einhalten.
Kleiner Fehler = großer Verlust
Viele Unternehmen meinen, wenn sie die verschiedenen Compliance-Vorschriften einhalten, sich an staatliche Gesetze halten und eine Cyber-Versicherung abschließen, seien sie bestens gerüstet.
„Das ist tatsächlich nicht genug“, sagt Michelle Schaap, die die Datenschutz- und Datensicherheitspraxis der Anwaltskanzlei Chiesa Shahinian & Giantomasi (CSG Law) leitet. „Obwohl dies zum Schutz vor einer Klage eines Verbrauchers oder rechtlichen Schritten eines Generalstaatsanwalts oder einer anderen Vollzugsbehörde gegen das kompromittierte Unternehmen ausreichen könnte, gibt es noch andere Überlegungen.“
Was wie ein geringfügiger Verstoß erscheinen mag – etwa die Nichtbeachtung einer veröffentlichten Datenschutzrichtlinie – könnte mehrere Bußgelder wegen Verstößen gegen gesetzliche Vorschriften nach sich ziehen.
„Es handelt sich um eine betrügerische Handelspraxis“, sagt Schaap. „Wenn Sie sagen, dass Sie X tun, und das tatsächlich nicht der Fall ist, wird dies zum ersten Punkt im FTC-Anspruch. Jeder Staat hat seine eigenen kleinen FTC-Gesetze oder Verbraucherschutzgesetze.“
Ein weiteres Beispiel für einen scheinbar geringfügigen Verstoß, den die Sicherheitsteams von Unternehmen übersehen könnten, der jedoch zu einer Compliance- oder Rechtsverletzung führen könnte, ist eine einfache Opt-out-Anfrage. Wenn ein Verbraucher ein Unternehmen darum bittet, von einer Mailingliste gestrichen zu werden, muss der Antrag alle E-Mail-Adressen abdecken, die der Antragsteller verwendet, um alle staatlichen Gesetze einzuhalten. Selbst wenn ein Unternehmen also angibt, dass es die Gesetze einhält, ist es möglicherweise nicht in allen Staaten, in denen es tätig ist, gesetzeskonform. Eine falsche Angabe der Einhaltung von Datenschutzgesetzen könnte zur Ablehnung eines Versicherungsanspruchs führen.
Um einige dieser Compliance-Lücken zu schließen, von denen sie vielleicht noch nicht einmal wissen, empfiehlt Schaap, dass Unternehmen die von ihrem Cyber-Versicherer bereitgestellte Hilfe in Anspruch nehmen, wie z. B. Security Tabletop und andere Übungen, um auf der richtigen Seite der Vorschriften zu bleiben und ihre Policen in gutem Zustand zu halten Statt.
Das ist nicht nur theoretisch. Im Jahr 2022 hat ein Unternehmen die Nutzung der Multifaktor-Authentifizierung auf seinen Websites falsch angegeben Versicherungsantrag Fragebogen. Der Cyber-Versicherungsträger Travelers verklagte das Unternehmen und behielt schließlich die von dem Unternehmen gezahlten Prämien, obwohl er die Cyber-Versicherungspolice kündigte – und lehnte die Klage ab.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance
