Siber iddialar, büyük ölçüde veri ve gizlilik ihlali olaylarında bir artışla yönlendirilen geçtiğimiz yıl boyunca yukarı doğru eğilimlerini sürdürdü.
Allianz ticari talep analizine göre, 2024’ün ilk altı ayında büyük siber iddiaların (> 1 milyon €) sıklığı% 14 arttı. Bu, frekansta% 41’lik bir artışı izledi, ancak 2023 sırasında şiddette sadece% 1’lik bir artış. Bu büyük kayıpların üçte ikisinde veri ve gizlilik ihlali ile ilgili unsurlar mevcuttur.
Siber sigorta talepleri arasındaki veri ihlali kayıplarının artan önemi, bir dizi önemli eğilim tarafından yönlendirilmektedir. Fidye yazılımı saldırılarındaki veri açığa çıkması da dahil olmak üzere bir artış, saldırgan taktiklerinin değişmesinin ve daha fazla kişisel kayıt paylaşan kuruluşlar arasındaki artan bağımlılıkların bir sonucudur. Aynı zamanda, gelişen düzenleyici ve yasal ortam, kişisel verilerin yanlış toplanması ve işlenmesi gibi olaylardan kaynaklanan ‘saldırı olmayan’ veri gizliliği ile ilgili sınıf eylem davalarında bir artış getirmiştir-bu iddiaların payı sadece iki yıl içinde değer kazanmıştır. İleriye baktığımızda, yapay zekaya (AI) güvenmek, turbo şarj maruziyeti potansiyeline sahiptir, ancak AI siber saldırılarla mücadelede de önemli bir araç haline gelecektir.
Gizlilik davası arttıkça ‘saldırı olmayan’ iddialar arttıkça
‘Talep olmayan’ veri gizliliği iddialarındaki artış, teknolojideki gelişmelerin, kişisel verilerin artan ticari değerinin ve gelişmekte olan bir düzenleyici ve yasal manzaranın sonucudur. Örneğin, AB’nin Genel Veri Koruma Yönetmeliği (GDPR) ‘dan farklı olarak, ABD’deki gizlilik düzenlemeleri daha az kuralcı ve yorumlamaya açıktır, davacı avukatlar potansiyel gelir kaynaklarına açtır. Bu, sınıf eylem davası için olgunlaşmış gri bir alan yaratıyor.
ABD’de, büyük ABD ve uluslararası şirketlere karşı, rıza ve veri kullanımı gibi gizlilik ihlalleriyle ilgili sınıf eylem davaları için artan bir eğilimin olduğu daha fazla veri gizlilik ihlali iddiası görüyoruz. Bu iddiaların bazılarının maliyeti, itibar hasarı maliyeti dahil olmak üzere yüz milyonlarca dolarlık bir fidye yazılımı olayından bile daha büyük olabilir.
Özellikle geçen yıl, veri ihlalleri ABD sınıfı eylem davalarının en hızlı büyüyen alanlarından biri olarak ortaya çıkmıştır. Hukuk firması Duane Morris’e göre, 2023’te 2023 yılında çok çeşitli veri gizliliği düzenlemeleri, 2022’de açılan sayısının iki katından fazla ve 2021’de yapılan dört kat daha fazla veri gizlilik düzenlemeleri yapıldı.
Tüketici davranışlarını izlemek için Meta Pixel gibi izleme araçlarını kullanmak için kuruluşlara karşı birden fazla sınıf eylem davası başlatılmıştır. Bu arada, eğlence akışı platformları, gizlilik koruma haklarını ihlal etmiş olabileceğini iddia eden sınıf eylem davalarıyla hedeflenmiştir.
Büyük veri ihlali olayları da hiper davaya dönüşebilir ve bir olay bir dizi sınıf eylemini tetikler. 2023 MOVEIT veri ihlali ile ilgili 240’dan fazla dava, Ekim 2023’te tek bir çok taraflı dava halinde birleştirildi. Ve çok sayıda davacı ile her iki taraftaki tarafların yerleşmesi için teşvikler var. Geçen yılki ilk 10 veri ihlali sınıfı eylem yerleşimi, 2022’de kaydedilen 350 milyon dolar üzerinde önemli bir artış olan 516 milyon dolardı.
Birçok yargı alanında, veri ihlalleri mümkün olan en kısa sürede bilgilendirilmeli ve iletilmelidir, bu da bir olayı sorgulamaları gündeme getirmek ve bir sınıf eylemi başlatmak için hızlı olan davacı avukatlarının dikkatine getirmelidir. Bu bir çift kenar kılıç. Şirketlerin neler olduğu hakkında konuşabilmeleri için ihtiyacımız var, ancak şeffaflık da patlayıcı medyanın dikkatine ve davasına yol açabilir.
Veri ihlali davası riski de Avrupa’da büyüyor. Veri koruma hakları konusunda artan farkındalık, üçüncü taraf dava finansmanının mevcudiyetindeki artış ve daha tüketici dostu bir dava ortamı, ABD ile aynı ölçekte olmasa da kitle veri gizlilik iddialarını gerçeğe dönüştürebilir.
Veri Defiltrasyonu: Veri ihlali talepleri için bir oyun değiştirici
Son 18 ay, yüz milyonlarca kişiye ait kayıtların çalınmasına neden olan ve şirketler için büyük toplam talepleri ödemek için artan baskı ile sonuçlanan, Moveit, MGM, T-Mobile, Değişim Sağlık ve Kar Tanesi dahil olmak üzere birkaç yüksek profilli kitle verisi eksfiltrasyon siber saldırıları gördü.
Veri açığa çıkışındaki artış bir oyun değiştirici oldu. Artık köklü bir siber gasp yöntemidir. Bir yedeklemeniz olsa bile, saldırganların bir kopyası olduğundan ve Karanlık Web’de yayınlamakla tehdit edeceğinden verileriniz etkili bir şekilde kaybolur.
Tipik olarak, fidye yazılımı kaybı olarak başlayan şey, saldırganların kişisel verileri çaldığı ortaya çıktıktan sonra bir veri gizliliği olayına dönüşür. Bu, gasp taleplerine, birinci taraf maliyetlerine ve fidye yazılımı saldırısından herhangi bir potansiyel iş kesintisine ek olarak, düzenleyici para cezaları, bildirim maliyetleri ve potansiyel olarak üçüncü taraf davaları içeren büyük bir iddiaya yol açabilir.
İhlal edilen bildirimler için posta maliyeti gibi daha az tartışılan maliyet bile önemli maliyetlere neden olabilir. Örneğin, sadece 50 milyon kişiye bir kağıt mektubu postalama maliyeti 20 milyon dolarlık bir bölgede bir yerde olabilir.
AI gelecekteki veri gizlilik ihlallerini güçlendirmek için
Yapay zekanın işletmeler ve kamu kurumları tarafından kullanılması her geçen gün büyüyor ve neredeyse her endüstri uygulamaları kullanıyor. Bir McKinsey anketine göre, kuruluşların neredeyse üçte ikisi (%65) düzenli olarak AI kullandıklarını söylüyor, bir yıl önceki sayının neredeyse iki katı.
AI, AI modellerini eğitmek ve doğru tahminler veya öneriler yapmak için kişisel, sağlık ve biyometrik bilgiler de dahil olmak üzere çok miktarda verilerin toplanmasına ve işlenmesine dayanır. AI ayrıca, gözetim, izleme ve izleme sistemleri, sohbet botları ve sürücüsüz araçlar için kişisel asistanlar gibi bazı teknolojilerin ayrılmaz bir parçasıdır.
Bu gelişmeler göz önüne alındığında, AI uygun şekilde yönetilmezse potansiyel gizlilik ve güvenlik riskleri yaratabilir. Çok fazla veri toplanıp işlenirken, hackleme veya diğer güvenlik ihlalleri yoluyla yanlış ellere düşme riski vardır. Ayrıca, kuruluşların yapay zeka aracılığıyla verileri işlemek için uygun rızaya sahip olup olmadıkları gibi, gizlilik yasalarının potansiyel ihlalleri konusunda endişeler de vardır. Yapay zeka düzenlemesi iyi gelişene kadar yıllar alacaktır. O zamana kadar, kuruluşlar yüksek bir belirsizlik aşamasıyla karşı karşıyadır ve veri gizliliğiyle ilgili kayıp riski normal seviyelerin üzerinde olacaktır.
Farklı AI uygulamaları değişen derecelerde risk taşır. Tüketici ürünleri ve hizmetlerine (sohbet botları veya üretilen içerik gibi) odaklanan AI kullanım durumlarının, iç süreçlerin otomasyonu gibi idari uygulamalardan daha yüksek derecede veri gizliliği riski getirmesi muhtemeldir.
Siber Güvenlik, Veri Koruma ve Gizliliği ikiye katlama
Bu fona karşı, büyük ve küçük işletmeler, verileri koruma çabalarını iki katına çıkarmalıdır. Son yıllarda siber güvenliğe yapılan yatırımın artması için genel bir eğilime rağmen, son 18 ay boyunca en büyük bazıları da dahil olmak üzere birçok veri ihlali, kuruluşlardaki zayıf siber güvenliğin ve/veya tedarik zincirlerinin sonucudur.
Veri ihlali riskleri, güçlü erişim kontrolleri, veritabanı ayrımı, yedeklemeler, yama ve eğitim dahil olmak üzere iyi siber hijyen ile en iyi şekilde hafifletilir. Buna ek olarak, siber güvenlik zayıflıklarının, ihlalin yanıtı ve kriz yönetimini belirlemeye yardımcı olabilecek ihlal ve saldırı simülasyon araçları gibi kişisel verilerin korunmasına yardımcı olan başka önlemler de vardır. Satıcı siber güvenlik gözetimi, düzenli denetimler de dahil olmak üzere, iyi siber güvenliğin giderek daha önemli bir yönüdür ve birçok şirketin iyileştirilmesi gereken bir alandır.
Erken tespit ve yanıt yetenekleri de anahtardır. İhlallerin yaklaşık üçte ikisi tipik olarak üçüncü bir taraf veya saldırganların kendileri tarafından rapor edilir. Tespit edilmeyen ve erken içermeyen siber ihlaller, olanlardan 1000 kat daha pahalı olabilir.
Yapay zeka, siber saldırılara karşı mücadelede önemli bir araç haline geliyor, çünkü bir güvenlik ihlalini hızlı bir şekilde tanımlayabilir ve sistemleri ve veritabanlarını otomatik olarak izole edebilir ve ayrıca forensik ve bildirimler gibi görevleri otomatikleştirip hızlandırarak bir veri ihlali iddiasının maliyetini ve yaşam döngüsünü önemli ölçüde azaltma potansiyeline sahip olabilir. IBM’e göre, siber güvenlik AI ve otomasyonu kullanan kuruluşlar, veri ihlali maliyetini ortalama olarak yaklaşık 2 milyon dolar azalttı.
Sigorta endüstrisi, veri gizliliğine odaklanmalı, sigortalı kayıpların hala önemli olduğu, ancak stabilize olduğu, siber güvenlik ve yedekleme stratejileri, sigortalı şirketlerin saldırılara daha iyi dayanmasına yardımcı olduğu için fidye yazılımındaki son başarıları çoğaltmalıdır. Bu, bu siber maruziyetin bu gittikçe daha önemli alanına kayıp önleme ve azaltma tavsiyesi sağlamak anlamına gelir.
Yazar hakkında
Rishi Baviskar, Allianz Commercial için küresel siber risk danışmanlığı başkanı olarak görev yapıyor. Bay Baviskar’a e -posta ile ulaşılabilir. [email protected].