Siber İşlerden Sorumlu Başkan Yardımcısı David Anderson, şirket yöneticileri ve güvenlik ekiplerinin Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) yeni siber güvenlik düzenlemelerini karşıladıklarından emin olmak için çabalarken, korunan kişisel olarak tanımlanabilir bilgilerin (PII) yanlış kullanılmasından kaynaklanan iddiaların fidye yazılımı saldırılarının maliyetine rakip olabileceği konusunda uyarıyor Ulusal sigorta komisyoncusu Woodruff Sawyer’da sorumluluk.
Gizlilik iddialarının yasal süreç boyunca ilerlemesi yıllar alsa da, “kayıplar genellikle üç ila beş yıl boyunca bir fidye yazılımı iddiasının üç ila beş gün içinde gerçekleşmesi kadar felaket olur” diyor.
İçinde 2024 dava trendlerine odaklanan sunumWoodruff Sawyer’ın kıdemli başkan yardımcısı ve ulusal siber uygulama lideri Dan Burke şunları kaydetti: “Piksel izleme iddiaları, davacılar barının en son hedefidir; uygun onay almadan ekrandaki pikseller aracılığıyla web sitesi etkinliğini izleyen şirketlerin peşine düşmek.”
Bunun gibi faaliyetler, Woodruff Sawyer anketine katılan siber sigorta sigortacılarının %31’inin 2024 için en önemli endişe konusu olarak gizliliği seçmesinin nedeni olabilir; yanıt verenlerin %63’ü tarafından fidye yazılımlarından sonra ikinci sırada yer alıyor.
Gizlilik Bir Ticari Sorundur
Mosaic Insurance’ın kıdemli başkan yardımcısı ve uluslararası siber başkanı James Tuplin, sigortacıların bu yıl gizlilik trendlerini çok daha yakından inceleyeceklerini kabul ediyor. Kendisi, mahremiyet davalarının mahkemeler aracılığıyla sonuçlanmasının genellikle beş ila yedi yıl sürdüğünü doğruluyor; bu, 2024’ün, pek çok ülke ve ABD eyaletinin yeni mahremiyet yasalarını çıkarmaya başlamadan önce, 2017’den 2019’a kadar açılan mahremiyet davalarının doruk noktasını göreceği anlamına geliyor. Örneğin, Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) 2018’de yürürlüğe girdi, dolayısıyla bu vakalar ilk GDPR ihlallerini temsil ediyor.
Ancak sigortacı için gizlilik talepleri için yapılan ödeme o kadar büyük olmayabilir çünkü “sigortacıların sermayeleriyle oynamak için uzun bir zamanları var ve bu kayıplar nihai çözüme ulaşır”, diye açıklıyor Anderson. Bunun nedeni, sigortacıların fonları emanette tutmanın faizini elinde tutması, taleplerin ise müzakereler ve dava yoluyla kendi yolunda ilerlemesidir.
Tuplin, yönetim kurullarının genellikle mahremiyet konusunda yetenekli danışmanlara sahip olmasına rağmen, kurulların hâlâ mahremiyet meselelerini bir iş meselesi yerine bir BT meselesi olarak düşünme eğiliminde olduğunu söylüyor. SEC de dahil olmak üzere bazı düzenleyiciler, CISO’lar hedef tahtasında Bütçeleri kontrol etmelerine veya tüm siber güvenlik sorunlarını çözme yetkisine sahip olmamalarına rağmen düzenlemelerin yürürlükte olduğunu da sözlerine ekledi.
Gizlilik Yasalarının Takibi
LMG Security’nin kurucusu ve CEO’su Sherri Davidoff, mahremiyetin yönetim kurulları ve güvenlik ekipleri için zorlayıcı hale gelmesinin nedenlerinden biri de kuruluşların çoğu durumda ne tür veriler topladıklarını ve bu verilerin nerede bulunduğunu bilmemeleri olduğunu belirtiyor. Şirketler veri biriktirme eğiliminde tehlikeli bir madde olarak görmek yerine bir varlık olarak değerlendirdiğini söylüyor.
“Nükleer atık gibi” diyor. “Ne kadar çok veriye sahip olursanız, o kadar fazla riske sahip olursunuz.”
Kuruluşların, bir kriz tetikleyebilecek verileri (özellikle PII’yi) ortadan kaldırmak için daha iyi bir iş yapması gerekiyor. düzenleyici veya yasal ihlal veriler yanlış ellere düşerse. Güvenlik uzmanları bu sırada Yıllardır şirketlere söylüyorum Hangi verilere sahip olduklarını ve bunların nerede bulunduğunu bilmeleri gerektiğinden, sıkı düzenleyici denetime tabi olanlar da dahil olmak üzere pek çok şirketin, genellikle tüm verilerinin konumlarını sınıflandırma ve tanımlama konusunda yetersiz bir iş çıkardığını söylüyor.
Pek çok firmanın karşılaştığı bir diğer büyük zorluk da, ellerinde bulundurdukları verilere ilişkin tüm gizlilik yasalarını ve düzenleyici gereklilikleri takip etmemeleridir. Anlamak ABD veri gizliliği yasası ortamı yeterince zordur, ancak neredeyse düşünüldüğünde daha da zorlayıcı hale gelir her eyaletin kendine özgü yasaları vardır özellikle sağlık kayıtları ve çocuk verileriyle ilgileniyoruz. Ayrıca, Avrupa Birliği vatandaşlarına ilişkin PII’ye sahip kuruluşların da GDPR’ye uymak. Diğer ülkelerde iş yapan şirketlerin, bu gizlilik yasalarına uyduklarından emin olmak için, şirketin iş yaptığı her ülkedeki yasaları incelemesi için hukuk danışmanlarına ihtiyacı vardır.
Küçük Hata = Büyük Kayıp
Birçok şirket, çeşitli uyumluluk düzenlemelerine uymaları, eyalet yasalarına uymaları ve siber sigortaya sahip olmaları durumunda her şeyin hazır olduğunu düşünüyor.
Chiesa Shahinian & Giantomasi (CSG Hukuk) hukuk firmasında gizlilik ve veri güvenliği uygulamalarını yöneten Michelle Schaap, “Aslında bu yeterli değil” diyor. “Bir tüketicinin davasına veya başsavcıların veya başka bir icra kurumunun tehlikeye atılan kuruluşa karşı başlattığı yasal işlemlere karşı koruma sağlamak yeterli olsa da, başka hususlar da vardır.”
Yayınlanan bir gizlilik politikasını tam olarak takip etmemek gibi küçük bir ihlal gibi görünen bir durum, birden fazla düzenleme ihlali cezasını tetikleyebilir.
Schaap, “Bu aldatıcı bir ticaret uygulamasıdır” diyor. “X yaptığınızı söylüyorsanız ve aslında yapmıyorsanız, bu FTC iddiasındaki ilk husus olur. Her eyaletin kendi küçük FTC yasaları veya tüketiciyi koruma yasaları vardır.”
Kurumsal güvenlik ekiplerinin gözden kaçırabileceği küçük bir ihlal gibi görünen ancak uyumluluk veya yasal ihlal oluşturabilecek bir başka örnek de basit bir devre dışı bırakma talebidir. Bir tüketici, bir şirketin posta listesinden çıkarılmasını istediğinde, talebin, talepte bulunan kişinin tüm eyalet yasalarına uymak için kullandığı tüm e-posta adreslerini kapsaması gerekir. Dolayısıyla bir şirket yasalara uygun olduğunu söylese bile faaliyet gösterdiği tüm eyaletlerde uyumlu olmayabilir. Gizlilik yasalarına bağlılığının yanlış beyan edilmesi, sigorta talebinin reddedilmesine neden olabilir.
Schaap, kendilerinin bile bilmeyebileceği bu uyumluluk boşluklarından bazılarını doldurmak için şirketlerin, düzenlemelerin doğru tarafında kalmaları ve politikalarını iyi durumda tutmaları için siber sigorta şirketlerinin sağladığı güvenlik masası ve diğer uygulamalar gibi her türlü yardımdan yararlanmalarını öneriyor. yerine.
Bu sadece teorik değil. 2022’de bir şirket, çok faktörlü kimlik doğrulama kullanımını yanlış beyan etti sigorta başvurusu anket. Siber sigorta şirketi Travellers, şirkete dava açtı ve sonuçta siber sigorta poliçesini iptal etmesine rağmen şirketin ödediği primleri elinde tuttu ve iddiayı reddetti.