Поскольку корпоративные директора и службы безопасности изо всех сил стараются обеспечить соответствие новым правилам кибербезопасности Комиссии по ценным бумагам и биржам (SEC), претензии, связанные с неправильным обращением с защищенной личной информацией (PII), могут соперничать с затратами на атаки с использованием программ-вымогателей, предупреждает Дэвид Андерсон, вице-президент по кибербезопасности. ответственность в Woodruff Sawyer, национальной страховой брокерской компании.
Хотя судебные разбирательства по искам о конфиденциальности занимают годы, «потери, как правило, столь же катастрофичны в течение трех-пяти лет, как иск о вымогателе в течение трех-пяти дней», — говорит он.
В презентация о тенденциях судебных разбирательств в 2024 годуДэн Берк, старший вице-президент и руководитель национальной кибер-практики компании Woodruff Sawyer, отметил: «Иски об отслеживании пикселей являются последней целью для коллегии истцов — они преследуют компании, отслеживающие активность веб-сайтов с помощью пикселей на экране без получения надлежащего согласия».
Подобные действия могут быть причиной того, что 31% андеррайтеров киберстрахования в опросе Woodruff Sawyer выбрали конфиденциальность в качестве своей главной проблемы на 2024 год — уступая только программам-вымогателям, выбранным 63% респондентов.
Конфиденциальность — это проблема бизнеса
Джеймс Таплин, старший вице-президент и руководитель отдела международных кибербезопасностей Mosaic Insurance, согласен, что в этом году андеррайтеры будут гораздо более внимательно следить за тенденциями в области конфиденциальности. Он подтверждает, что судебные разбирательства по вопросам конфиденциальности зачастую проходят через пять-семь лет, а это означает, что в 2024 году произойдет кульминация дел о конфиденциальности, возбужденных в 2017–2019 годах — до того, как многие страны и штаты США начали принимать новые законы о конфиденциальности. Например, Общий регламент ЕС по защите данных (GDPR) вступил в силу в 2018 году, поэтому эти случаи представляют собой первоначальные нарушения GDPR.
Однако для страховщика выплата по претензиям о конфиденциальности может быть не такой большой, потому что «андеррайтерам придется долго играть со своим капиталом, пока эти убытки достигают окончательного решения», - объясняет Андерсон. Это связано с тем, что страховщики сохраняют проценты от хранения средств на условном депонировании, в то время как претензии решаются посредством переговоров и судебных разбирательств.
Хотя в советах директоров обычно есть компетентные консультанты по вопросам конфиденциальности, советы по-прежнему склонны рассматривать вопросы конфиденциальности как вопрос ИТ, а не бизнеса, говорит Таплин. Некоторые регуляторы, в том числе SEC, вводят Директора по информационной безопасности в прицеле правил, даже несмотря на то, что они не контролируют бюджеты и не имеют полномочий решать все вопросы кибербезопасности, добавляет он.
Отслеживание законов о конфиденциальности
Среди причин, по которым конфиденциальность стала проблемой для советов директоров и групп безопасности, заключается в том, что во многих случаях организации не знают, какие данные они собирают и где находятся эти данные, отмечает Шерри Давидофф, основатель и генеральный директор LMG Security. Компании склонны копить данные как актив, а не рассматривать его как опасный материал, говорит она.
«Это похоже на ядерные отходы», — говорит она. «Чем больше у вас данных, тем больше у вас риска».
Предприятиям необходимо лучше устранять данные (в частности, личные данные), которые могут спровоцировать нормативное или юридическое нарушение если данные попадут в чужие руки. Хотя эксперты по безопасности были рассказывая компаниям годами Поскольку им необходимо знать, какие данные у них есть и где они находятся, многие компании, в том числе подлежащие строгому нормативному надзору, часто плохо классифицируют и определяют местонахождение всех своих данных, говорит она.
Еще одна серьезная проблема, с которой сталкиваются многие компании, заключается в том, что они не отслеживают все законы о конфиденциальности и нормативные требования к данным, которые они хранят. Понимание Законодательство США о конфиденциальности данных достаточно сложно, но становится еще труднее, если учесть, что почти в каждом штате есть уникальные законы конкретно занимаясь медицинскими записями и данными детей. Кроме того, организации, у которых есть персональные данные граждан Европейского Союза, также должны соблюдать. Компаниям, ведущим бизнес в других странах, необходимо, чтобы юрисконсульт изучил законы каждой страны, где компания ведет бизнес, чтобы убедиться, что они соответствуют этим законам о конфиденциальности.
Маленькая ошибка = большая потеря
Многие компании думают, что если они соблюдают различные нормативные требования, законы штата и имеют киберстрахование, то все в порядке.
«На самом деле этого недостаточно», — говорит Мишель Шаап, руководитель практики конфиденциальности и безопасности данных в юридической фирме Chiesa Shahinian & Giantomasi (CSG Law). «Хотя этого может быть достаточно для защиты от иска потребителя или судебного иска со стороны генеральной прокуратуры или другого правоохранительного органа против скомпрометированной организации, есть и другие соображения».
То, что может показаться незначительным нарушением — например, неполным соблюдением опубликованной политики конфиденциальности — может повлечь за собой многочисленные штрафы за нарушение нормативных требований.
«Это обманная торговая практика», — говорит Шаап. «Если вы говорите, что делаете X, а на самом деле это не так, это становится первым пунктом обвинения в иске FTC. В каждом штате есть свои маленькие законы Федеральной торговой комиссии или законы о защите прав потребителей».
Еще одним примером того, что может показаться незначительным нарушением, которое команды корпоративной безопасности могут игнорировать, но которое может привести к нарушению нормативных требований или правовых норм, является простой запрос на отказ. Когда потребитель просит исключить компанию из списка рассылки, запрос должен охватывать все адреса электронной почты, которые использует запрашивающий, чтобы соответствовать всем законам штата. Таким образом, даже если компания заявляет, что соблюдает закон, она может не соблюдать его во всех штатах, в которых она работает. Неверное заявление о соблюдении законов о конфиденциальности может стать причиной отказа в страховом возмещении.
Чтобы заполнить некоторые из этих пробелов в соблюдении требований, о которых они, возможно, даже не подозревают, Шаап рекомендует компаниям воспользоваться любой помощью, которую предоставляет их киберстраховщик, например, настольными играми по безопасности и другими упражнениями, чтобы оставаться на правильной стороне правил и поддерживать свою политику в хорошем состоянии. вместо.
Это не просто теоретически. В 2022 году компания неверно заявила об использовании многофакторной аутентификации в своих заявление на страхование анкета. Компания по киберстрахованию Travelers подала на компанию в суд, в конечном итоге удержав уплаченные компанией страховые премии, несмотря на отмену полиса киберстрахования и отклонение иска.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/data-privacy/privacy-ransomware-top-2024-cyber-insurance
