Cyber Crime und E-Datenschutzverletzungen

Transcrição

Cyber Crime und
E-Datenschutzverletzungen
Rechtlicher Überblick, Kostenschätzungen und
Erfahrungen mit Marktlösungen
Inhaltsübersicht
1. Ausgangslage, Fallbeispiele, Ursachen und Kosten
2. Rechtliche Situation USA, EU und CH
3. Bestehende Deckungen, Nachfrage und Anbieter, Erfahrungen
4. Risk Management, erforderliche Angaben
5. Trends
3
Ausgangslage
• „wertvolle“ persönliche Informationen, Kontaktdaten,
Passwörter, Kreditkartennummern, medizinische
Informationen
• Intellectual Property, trade secrets
• Technologie erleichtert Zugang, Speicherung und
Bearbeitung
• diverse Unternehmen bearbeiten Daten
• finanzielle Folgeschäden Reputationsverluste
• rechtliche Grundlagen, Regulierungen, Auflagen und
Bussgelder
4
Fallbeispiele
Sony PlayStation Network
Mehr als 100 Mio. Kundendaten gestohlen,
Gerichtsverfahren in CA läuft
Citigroup Data Breach
Raub von mind. 200'000 Kreditkarten Datensätzen
LinkedIn
Unberechtigter Verkauf von Kundeninfos zu Werbezwecken
Google Buzz Settlement
FTC schliesst settlement mit Google "yearly audits from an
independent party for the next twenty years"
TJX Companies, retail chaines
Heartland Payment Systems, credit card processing company
Die beiden grössten (bekannten und abgewickelten) Schäden
5
Mögliche Ursachen für Verletzung des Datenschutzes
Computerviren
Hacker
Fehlerhafte
Bedienung
InternetVandalismus
Computer- /
Serverausfall
OnlineErpressung
InternetHaftpflicht
denial of
website
service
disability
Serviceausfall
unseriöse
des Application böswillige CodeAdministratoren
Service
Übermittlung
Provider
Ausfall des
Verletzung des
Verletzung der
geistigen
Internet Service
Privatssphäre
Eigentums
Provider
Unix &
Windows O.S
Fehler
6
Kosten (The Ponemon Institute)
Notification costs per client in USD,
including lost client costs
USA
USD 214
Germany
USD 177
Total average cost per breach
USD 7‘200‘000
Thereoff 14% for defense costs
Nicht eingerechnet sind Strafgebühren und Aufwendungen zur Erfüllung der Anforderungen der
Behörden.
Deutschland 2009: 53% hatten in den letzten 12 Monaten einen Vorfall
UK: 70%, vorallem die Finanzindustrie und die öffentliche Hand sind betroffen.
In USA hat es diverse Fälle mit über USD 100 Mio Schadensumme.
75% der Fälle werden durch Fehler der Anwender oder der Systeme verursacht.
Die grössten Schadenhöhen sind bei den 25% der Fälle, die durch bösartige und kriminelle
Handlungen verursacht werden.
7
Mögliche Konsequenzen
Ansprüche aus
Verletzung der
Privatsphäre
und der
Persönlichkeit
Reputation
Wertverlust Brand
Kundenverluste
PR -Kosten
Drittschaden
Forensic Costs
Weitere Ansprüche
Dritter
Information der
Betroffenen
Betriebsunterbruch
Datenverlust
Vandalismus
Krisenmanagement
Strafgebühr &
Verteidigungskosten
Kundenbetrug
Schadenminderungskosten
Haftung
Daten Treuhänder
Eigenschaden
Daten Treuhänder
Eigenschaden
Schäden durch
Veruntreuung
Die Versicherungsprodukte sind analog dieser möglichen Konsequenzen
strukturiert und aufgebaut.
8
Rechtliche Situation USA
• Auslöser waren Haftungsfälle und Sammelklagen in den USA
• Anforderung an Daten Treuhänder bei Datenschutzverletzungen haften zu lassen und sie
zu verpflichten, die betroffenen Personen zu informieren und sie zu unterstützen
• Je Bundesstaat unterschiedlich. 46 privacy notification laws.
• HIPAA Privacy Rule protects personal health information (PHI)
• Fair and Accurate Credit Transactions Act of 2003 (FACTA
• Payment Card Industry Security Council
• Federal Trade Commission (FTC),
Security Exchange Commission (SEC)
9
Rechtliche Situation EU
Direktiven sind in der EU vorgegeben. Die lokalen Gesetze wurden unterschiedlich
ausgestaltet.
Directive 95/46/EC „Datenschutzrichtlinie“
Grundlegende Anforderung an Sicherheit der Datenbearbeitung von persönlichen Daten
Sicherheit entsprechend der Art der Daten
Sicherheit ist von überragender Bedeutung
Directive 2002/58/EC „e-Privacy Directive“
Verpflichtung zur Kundeninformation für Telekommunikation und Internet Service Provider –
ähnlich wie in USA
Intention die Verpflichtung auf alle Branchen auszuweiten.
Einzelne Länder führten Bussgelder ein.
ENISA – European Network Information Security Agency
Lokale Behörden zur Überwachung zum Beispiel UK:
Information Commissioner’s Office (ICO)
Financial Services Authority (FSA)
10
Rechtliche Situation CH
Schweiz hat die Direktiven der EU (noch) nicht umgesetzt.
Kein rechtlicher Anspruch der Kunden auf Information.
Die Risiken für Reputation, Kundenverluste, Vertrauensschaden und Eigenschaden sind jedoch
vorhanden.
In der Schweiz läuft das Koordinations- und Gesetzgebungsverfahren zu e-health-suisse.
Bundesgesetz über den Datenschutz (DSG) - Auskunftsrecht
Kein explizites Anti Spam Law, jedoch Schutzbestimmungen in
-Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs BÜPF
-Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG anti-spam Regeln seit 01.04.07
-Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF)
- European Cybercrime Convention (ECC), die die Schweiz akzeptierte
Für alle CH Firmen mit Kunden in der EU und USA sind die Risiken auch heute schon
vorhanden.
11
Bestehende Deckungen
Keine umfassende Deckung
Limitierte Ausschnittsdeckungen sind in der Professional Indemnity und Crime
Police enthalten.
Zu prüfen sind die Deckungen und Ausschlüsse folgender Policen:
- Betriebs- und Produktehaftpflicht
- Professional Indemnity
- Crime
- Sach- und Betriebsunterbrechungsversicherung sowie EDV-Versicherungen
- Kidnapping and Ransom
12
Nachfrage & Anbieter
Nachfrage:
Finanzinstitute
Finanz- und IT-Dienstleistungsunternehmen
Gesundheitswesen (Versicherer, Krankenhäuser, Serviceprovider)
Telekommunikationsunternehmen
Unternehmen der öffentlichen Hand
Medienunternehmen
Alle Unternehmen, die Zahlungen übers Internet abwickeln wie Detailhändler,
Reiseunternehmen etc.
Die Anbieter auf dem europäischen Markt sind:
Chartis, ACE, XL, Zürich, Chubb, Allianz, sowie der Londoner Markt, Lloyds (Beazey, Hiscox)
und Spezialversicherer wie CNA, RLI, Allied World
Die Deckungen können auf dem US und dem Londoner Markt eingekauft werden.
CHUBB wird die erste Police auf dem Schweizer Markt ausstellen.
Die Schweizer Versicherer haben zugesagt bei konkreten Anfragen zu prüfen, die Policen in
der Schweiz auszustellen.
13
Erfahrungen
> More noise then policies at the moment
> Limits (CHF 10 – CHF 25 per carrier, in total max. CHF 100 to CHF 150)
> Deductibles
> Premiums
> Wordings – self contained - English
> Structure
14
Risk Management
• Integration in Enterprise Risk Management
• Compliance
• Technology – Security (People and Processes) and Best Practices
• Emergency Plan and Response Plan
• Legal Risk Management (Contracts, Insurance Requirement, Due Diligence /
Screening for Subcontractors)
• there is remaining risk
15
Informationsbedarf bei Versicherungsabschluss
Die benötigten Informationen werden anhand eines Fragebogens erhoben. Dabei
werden die Fragen in folgende Bereiche unterteilt:
- Allgemeine Angaben
- Gefahrenpotentiale
- Risiken bezüglich Privatsphäre
- Kreditkarten Transaktionen
- Netzwerksicherheit
- Datensicherheit
- Optional: Gesundheitsbranche
- Betriebsunterbrechung
- Historische Informationen
Ergänzende Informationen sind hilfreich und zum Teil auch gefordert:
- Liste Zertifizierungen
- Standard Operating Procedur’s
- Risk Management Organisation (technisch, organisatorisch, rechtlich)
- Firmen-, Länderpräsentationen
16
Trends
> Anforderung der Kunden
> Regulierung
> Kausalhaftung
> Fähigkeit der Hacker und Professionalisierung der Verwertung der Daten
> Frequenz steigt
> Versicherungsdeckung wird Standard werden
17
Fragen?
18

Cyber Crime und E-Datenschutzverletzungen

Transcrição

Documentos relacionados

Vocabulary - juvenile crime

Was ist los in der Alm?

Handreichung zu und gegen "Mobbingseiten" - Jugendnetz

Wenn die Tage kürzer werden.

PDF downloaden

kkkk kkkk kkkkk kkkkk

Lepo HW 10_11

Pitti Uomo 90

klicken, um PDF runterzuladen.

Torture and Crime