Ketika direktur perusahaan dan tim keamanan berusaha keras untuk memastikan mereka memenuhi peraturan keamanan siber baru dari Komisi Sekuritas dan Bursa (SEC), klaim akibat kesalahan penanganan informasi pengenal pribadi (PII) yang dilindungi dapat menyaingi dampak serangan ransomware, David Anderson, wakil presiden dunia maya memperingatkan. tanggung jawab di Woodruff Sawyer, sebuah pialang asuransi nasional.

Meskipun klaim privasi membutuhkan waktu bertahun-tahun untuk diselesaikan melalui proses hukum, “kerugian pada umumnya sama besarnya dengan bencana dalam jangka waktu tiga hingga lima tahun seperti halnya klaim ransomware dalam jangka waktu tiga hingga lima hari,” katanya.

Di sebuah presentasi yang berfokus pada tren litigasi tahun 2024, Dan Burke, wakil presiden senior dan pemimpin praktik siber nasional di Woodruff Sawyer, menyatakan, “Klaim pelacakan piksel adalah target terbaru penggugat — mengejar perusahaan yang melacak aktivitas situs web melalui piksel di layar tanpa mendapatkan persetujuan yang sesuai.”

Aktivitas seperti itulah yang menjadi alasan 31% penjamin emisi asuransi siber dalam survei Woodruff Sawyer memilih privasi sebagai perhatian utama mereka pada tahun 2024 – nomor dua setelah ransomware, yang dipilih oleh 63% responden.

Privasi Adalah Masalah Bisnis

James Tuplin, wakil presiden senior dan kepala siber internasional di Asuransi Musa, setuju bahwa penjamin emisi akan mencermati tren privasi tahun ini. Seringkali diperlukan waktu lima hingga tujuh tahun agar litigasi privasi dapat diselesaikan melalui pengadilan, ia menegaskan, yang berarti pada tahun 2024 akan terjadi puncak dari kasus privasi yang diajukan pada tahun 2017 hingga 2019 – sebelum banyak negara dan negara bagian AS mulai mengesahkan undang-undang privasi yang baru. Misalnya, Peraturan Perlindungan Data Umum (GDPR) Uni Eropa mulai berlaku pada tahun 2018, sehingga kasus-kasus ini merupakan pelanggaran awal GDPR.

Namun bagi perusahaan asuransi, pembayaran atas klaim privasi mungkin tidak terlalu besar karena “penjamin emisi memiliki waktu yang lama untuk menggunakan modalnya sementara kerugian tersebut akan diselesaikan,” jelas Anderson. Hal ini karena perusahaan asuransi tetap memiliki kepentingan untuk menyimpan dana di escrow sementara klaim dilakukan melalui negosiasi dan litigasi.

Meskipun dewan direksi umumnya memiliki penasihat privasi yang cakap, dewan direksi masih cenderung menganggap masalah privasi sebagai masalah TI dan bukan masalah bisnis, kata Tuplin. Beberapa regulator, termasuk SEC, telah menetapkan hal ini CISO berada di garis bidik peraturan meskipun mereka tidak mengontrol anggaran atau memiliki wewenang untuk menyelesaikan semua masalah keamanan siber, tambahnya.

Melacak Hukum Privasi

Salah satu alasan mengapa privasi menjadi tantangan bagi dewan direksi dan tim keamanan adalah karena dalam banyak kasus, organisasi tidak mengetahui jenis data apa yang mereka kumpulkan dan di mana data tersebut berada, kata Sherri Davidoff, pendiri dan CEO LMG Security. Perusahaan cenderung menimbun data sebagai aset daripada menganggapnya sebagai bahan berbahaya, katanya.

“Ini seperti limbah nuklir,” katanya. “Semakin banyak data yang Anda miliki, semakin besar pula risiko yang Anda hadapi.”

Perusahaan perlu melakukan pekerjaan yang lebih baik dalam menghilangkan data – khususnya PII – yang dapat memicu a pelanggaran peraturan atau hukum jika data jatuh ke tangan yang salah. Sementara pakar keamanan telah melakukannya memberitahu perusahaan selama bertahun-tahun bahwa mereka perlu mengetahui data apa yang mereka miliki dan di mana lokasinya, banyak perusahaan, termasuk perusahaan yang tunduk pada pengawasan peraturan yang ketat, sering kali tidak melakukan pekerjaan yang baik dalam mengklasifikasikan dan mengidentifikasi lokasi semua data mereka, katanya.

Tantangan besar lainnya yang dihadapi banyak perusahaan adalah mereka tidak melacak semua undang-undang privasi dan persyaratan peraturan dari data yang mereka miliki. Memahami Lanskap hukum privasi data AS cukup sulit, namun menjadi lebih menantang ketika kita menganggapnya hampir setiap negara bagian memiliki undang-undang yang unik menangani secara khusus dengan catatan kesehatan dan data anak-anak. Selain itu, organisasi yang memiliki PII pada warga negara Uni Eropa juga harus melakukannya mematuhi GDPR. Perusahaan yang melakukan bisnis di negara lain perlu memiliki penasihat hukum yang mengkaji undang-undang di setiap negara tempat perusahaan melakukan bisnis untuk memastikan mereka memenuhi undang-undang privasi tersebut.

Kesalahan Kecil = Kerugian Besar

Banyak perusahaan berpikir bahwa jika mereka mematuhi berbagai peraturan kepatuhan, mematuhi undang-undang negara bagian, dan memiliki asuransi siber, maka semuanya sudah siap.
“Faktanya, hal tersebut belum cukup,” kata Michelle Schaap, yang memimpin praktik privasi dan keamanan data di firma hukum Chiesa Shahinian & Giantomasi (CSG Law). “Meskipun mungkin cukup untuk melindungi dari tuntutan konsumen atau tindakan hukum dari jaksa agung atau tindakan lembaga penegak hukum lainnya terhadap entitas yang disusupi, ada pertimbangan lain.”

Apa yang mungkin tampak seperti pelanggaran kecil – seperti tidak menindaklanjuti sepenuhnya kebijakan privasi yang diposting – dapat memicu beberapa denda pelanggaran peraturan.

“Ini adalah praktik perdagangan yang menipu,” kata Schaap. “Jika Anda mengatakan Anda melakukan X dan, pada kenyataannya, tidak, itu menjadi hitungan pertama dalam klaim FTC. Setiap negara bagian memiliki undang-undang FTC kecilnya sendiri, atau undang-undang perlindungan konsumen.”

Contoh lain dari pelanggaran kecil yang mungkin diabaikan oleh tim keamanan perusahaan, namun dapat mengakibatkan kepatuhan atau pelanggaran hukum adalah permintaan untuk tidak ikut serta. Saat konsumen meminta perusahaan untuk dikeluarkan dari milis, permintaan tersebut harus mencakup semua alamat email yang digunakan pemohon untuk mematuhi semua undang-undang negara bagian. Oleh karena itu, meskipun sebuah perusahaan mengatakan bahwa mereka mematuhi hukum, perusahaan tersebut mungkin tidak mematuhi semua negara bagian tempat perusahaan tersebut beroperasi. Salah menyatakan kepatuhannya terhadap undang-undang privasi dapat memicu penolakan klaim asuransi.

Untuk mengisi beberapa lubang kepatuhan yang mungkin tidak mereka ketahui, Schaap merekomendasikan agar perusahaan memanfaatkan bantuan apa pun yang diberikan oleh perusahaan asuransi cyber mereka, seperti meja keamanan dan latihan lainnya, untuk tetap mematuhi peraturan dan menjaga kebijakan mereka tetap baik. manfaat.

Ini bukan sekedar teori. Pada tahun 2022, sebuah perusahaan salah menyatakan penggunaan autentikasi multifaktor pada perusahaannya permohonan asuransi daftar pertanyaan. Perusahaan asuransi siber, Travellers, menggugat perusahaan tersebut, yang pada akhirnya tetap mempertahankan premi yang dibayarkan perusahaan meskipun telah membatalkan polis asuransi siber – dan menolak klaim tersebut.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance