根据Allianz的报告,过去一年中,由于数据和隐私泄露事件的增加,网络保险索赔持续上升。
网络索赔超过100万欧元
根据该保险公司的索赔分析,2024年上半年,超过100万欧元的大额网络索赔频率增加了14%,而严重程度上升了17%,相比之下,2023年严重程度仅增加了1%,其中,三分之二的大额损失涉及数据和隐私泄露相关因素。总体来看,预计2024年的网络索赔总量将保持稳定,2023年索赔频率曾增加了30%,达到700多起索赔。
Allianz Commercial的全球网络索赔负责人Michael Daum解释道:“数据泄露损失在网络保险索赔中的重要性日益增加,这背后有多个明显趋势,包括数据外泄在内的勒索软件攻击增加,反映了攻击者策略的变化以及组织间共享更多个人记录的相互依赖关系,同时,法规和法律环境的演变也导致了‘非攻击’类数据隐私相关集体诉讼的增加,例如错误收集和处理个人数据的事件——这类索赔的金额在两年内翻了三倍。”
‘非攻击’类数据隐私索赔的增长
‘非攻击’类数据隐私索赔的增加,源于技术的进步、个人数据的商业价值增加,以及监管和法律环境的发展。例如,与欧盟的《通用数据保护条例》(GDPR)不同,美国的隐私法规规定较少,存在更多解释的空间,同时原告律师也在积极寻找潜在的收入来源,这就为集体诉讼的兴起创造了灰色地带,报告指出。
Daum表示:“我们在美国看到越来越多的数据隐私泄露索赔,集体诉讼针对大型美国和国际公司,涉及隐私违规,例如关于同意和数据使用的问题,这些索赔的费用有时甚至超过勒索软件事件,金额可达数亿美元。”
各行业面临多起集体诉讼
过去一年,数据泄露已成为美国集体诉讼领域增长最快的领域之一。根据Duane Morris律所的数据,2023年针对各种数据隐私法规的集体诉讼超过1300起,比2022年翻了一番,是2021年的四倍。
多个行业的组织,包括医疗保健、社交媒体和游戏行业,因使用Meta Pixel等跟踪工具监控消费者行为而面临集体诉讼,此外,娱乐流媒体平台也成为目标,被指可能违反了隐私保护权,大型数据泄露事件还可能演变为复杂的法律诉讼,一起事件可能引发大量的集体诉讼。
例如,2023年MOVEit数据泄露事件引发的240多起诉讼于2023年10月被合并为一个多地区诉讼案件。由于索赔人数量众多,双方都有动力进行和解。去年,十大数据泄露集体诉讼的和解金额总计达5.16亿美元,远高于2022年的3.5亿美元。
欧洲数据泄露诉讼风险增加
数据泄露诉讼的风险在欧洲也在增加。报告指出,数据保护权利的增强意识、第三方诉讼资金的增加,以及更为有利于消费者的诉讼环境,可能使大规模数据隐私索赔成为现实,尽管规模尚不及美国。
“作为网络保险公司,我们必须转变重点。在与客户的讨论中,了解他们的数据治理标准,以及他们在使用消费者数据时的透明度至关重要,包括他们与谁共享数据以及他们对供应商网络安全的态度。”Allianz Commercial 北美地区网络保险负责人 Tresa Stephens 表示。
几乎每个行业现在都在使用AI,这将对未来的网络和隐私风险格局产生重大影响。AI依赖于收集和处理大量数据,包括个人、健康和生物识别信息,用于训练AI模型以及做出预测或建议。
然而,像聊天机器人这样的AI工具如果管理不当,可能会带来隐私、错误信息和安全风险。随着如此多的数据被收集和处理,数据可能会通过黑客攻击或其他安全漏洞落入不法分子手中,同时,还存在对隐私法潜在违规的担忧,例如组织是否获得了通过AI处理数据的适当同意。
弱网络安全仍然是导致重大数据泄露的原因
尽管近年来网络安全投资呈上升趋势,但许多数据泄露事件,包括过去18个月内发生的部分大规模数据外泄网络攻击,仍然是由于组织及其供应链中的网络安全薄弱所致。
此类事件可能导致涉及监管罚款、通知费用和第三方诉讼的大量索赔,此外还包括勒索要求、第一方费用和业务中断。
Allianz Commercial 全球网络与金融险负责人 Vanessa Maxwell 表示:“保险行业也必须加大对网络风险中数据隐私方面的关注,并在向企业提供损失预防和减轻建议方面发挥关键作用,这一领域的风险正变得越来越重要。网络保险的价值远不止支付索赔,它帮助公司为网络安全投资提供商业理由,并将资源投入到最有效的措施中。”
通过良好的网络卫生(例如强大的访问控制、数据库隔离、备份、修补和培训)来减少数据泄露风险是最佳实践。许多公司需要改善对供应链中任何网络安全薄弱环节的监督。
Allianz Commercial 全球网络风险咨询主管 Rishi Baviskar 表示:“早期检测和响应能力也至关重要。大约三分之二的泄露事件通常是由第三方或攻击者自己报告的。那些未被及早检测并控制的网络漏洞,最终可能比及时发现的漏洞损失高出1000倍,可能从2万欧元的损失变成2000万欧元的灾难。”
Baviskar 还指出:“AI 正逐渐成为抵御网络攻击的重要工具,它能够迅速识别安全漏洞并自动隔离系统和数据库,此外,AI还有可能通过自动化任务,如取证和通知,大幅降低数据泄露索赔的成本和生命周期,帮助企业节省数百万美元。”