Et ugyldigt søgsmål fra et cyberforsikringsselskab, der hævder, at dets kunde vildledte den på sin forsikringsansøgning, kunne potentielt bane vejen for at ændre, hvordan forsikringsgivere vurderer krav om selvbekræftelse på forsikringsansøgninger.
Sagen – Travelers Property Casualty Company of America mod International Control Services Inc. (ICS) – hang sammen med ICS og hævdede, at den havde multifaktorautentificering (MFA) på plads, da elektronikproducenten ansøgte om en politik. I maj oplevede virksomheden et ransomware-angreb. Retsmedicinske efterforskere fastslog, at der ikke var nogen MFA på plads, så Travelers hævdede, at det ikke burde være ansvarlig for kravet.
Sagen (nr. 22-cv-2145) blev anlagt ved den amerikanske distriktsdomstol for det centrale distrikt i Illinois den 6. juli. I slutningen af august indvilligede parterne i at annullere kontrakten, hvilket afsluttede ICS' bestræbelser på at få sit forsikringsselskab dækket sine tab.
Denne sag var usædvanlig, idet de rejsende fastholdt, at den urigtige fremstilling "vesentligt påvirkede accepten af risikoen og/eller den fare, som rejsende påtog sig" i retssagen.
At tage en klient for retten er en afvigelse fra andre lignende sager, hvor et forsikringsselskab simpelthen nægtede kravet, men det er næppe unikt, sagde Scott Godes, en partner hos Barnes & Thornburg LLP, et Washington, DC-baseret advokatfirma.
"Jeg har set dette problem boble op i løbet af de sidste par år. Fra mit perspektiv har forsikringsselskaber gjort dette til et hårdt marked - hæve præmierne og sænke grænserne - og det har opmuntret dem til at vælge den nukleare mulighed ved at ophæve dækningen," siger Godes.
Sikkerhed bør være proaktiv og stoppe mulige brud, før de opstår, i stedet for blot at reagere på hvert vellykket angreb, bemærker Sean O'Brien, besøgsstipendiat ved Information Society Project på Yale Law School og grundlæggeren af Privacy Lab på Yale Law School.
"Forsikringsindustrien vil sandsynligvis blive mere og mere pertentlig, efterhånden som cybersikkerhedskrav stiger, forsvarer deres bundlinje og undgår refusion, hvor det er muligt," siger O'Brien. "Dette har selvfølgelig altid været forsikringstilpassernes rolle, og deres forretning er på mange måder modstridende for din organisations interesser, efter at støvet har lagt sig fra et cyberangreb."
Når det er sagt, bør organisationer ikke forventer en udbetaling for dårlige cybersikkerhedspolitikker og -praksis, bemærker han.
Mens Travellers-sagen specifikt handlede om den enkelte MFA-sikkerhedskontrol, kan forsikringsselskaber ændre deres forsikringsselskabers afhængighed af selvattestering uden en form for tredjepartsverifikation af andre sikkerhedskontroller fremover, bemærker Jess Burn, senioranalytiker hos Forrester Research .
"Søgsmålene og ophævelsen af dækningen, opkaldet af de forsikrede og forsikringstagerne på små fibs, som de fortalte, eller udeladelse af detaljer omkring, hvordan de er beskyttet i deres sikre praksis" ser ud til at være en ny tendens, siger Burn.
En mulighed for at fjerne eventuelle spørgsmål om, hvorvidt en virksomhed er implementering af sikkerhedskontrol er at yde verificeret støtte, tilføjer hun. Selv hvis gennemsigtigheden ikke er påkrævet, bør tredjepartsbekræftelse af, at kontroller er på plads for MFA, tredjeparts risikostyring, slutpunktsdetektion eller en af de utallige sikkerhedskontroller, eliminere enhver misforståelse eller bekymring, før politikken bliver udstedt.
Cyberforsikring i udvikling
Mens teknologi- og sikkerhedsimplementeringer ændrer sig over tid, revurderer cyberforsikringsselskaber deres forsikringskontrol årligt, bemærker Marc Schein, national co-chair ved Cyber Center for Excellence hos Marsh McLennan Agency, verdens største forsikringsmægler. I modsætning til almindelige ulykkesforsikringer, som har en meget omfattende statistisk historie for forsikringsselskaber, betragtes cyberforsikring stadig som et begyndende felt, og forsikringsselskaber perfektionerer stadig deres algoritmer og analyser til den bedste prisrisiko.
Et område, hvor forsikringsgivere i høj grad er afhængige af selvattestering fra virksomheder vedrørende deres risikoprofil, er kontroller: hvilke kontroller de har på plads, hvor godt de var konfigureret og deres effektivitet. Til tider, fortsatte Schein, kan en forsikringsgiver kræve en forsikringsudsigt for at gennemgå evalueringer såsom en penetrationstest. Skulle testen vende tilbage med et væsentligt anderledes resultat end forventet - for eksempel hvis 100 porte er åbne, som prospektet sagde var lukkede - ville forsikringsselskabet sandsynligvis have en diskussion om disse åbne havne, såvel som andre attester, for at afgøre, om virksomheden forsøgte bevidst at skjule et problem, eller om der var en utilsigtet fejl.
CISO'er er tilbageholdende med at besvare spørgsmål om ansøgninger, der kan få garantigiveren til at kræve betydelige investeringer for at afbøde problemet, før forsikringen godkendes, siger Schein. Hvis et selskab angiver, at det planlægger at investere i afbødningsindsatsen, men projektet forventes ikke at blive afsluttet før efter den dato, hvor forsikringen træder i kraft, kan forsikringsselskabet gå på kompromis ved at binde ansøgningen, men begrænse den faktiske dækning til en procentdel af policens grænser — måske 10 % af en polices dækningsgrænse på 1 million dollars — indtil udbedringsindsatsen er afsluttet.
"Det er bemærkelsesværdigt, at forsikringsselskaber nægter at teste, inspicere eller engagere sig i tabskontrol, når de tegner," bemærker advokat Godes. "Måske tror de, at de bare kan trække tæppet ud nedefra uvidende forsikringstagere og stole på opsigelse for at undgå at dække risici, som forsikringsselskaberne kunne have inspiceret på egen hånd."
Godes er ikke solgt på ideen om, at cyberforsikringsselskaber blot justerer deres forsikringsprocedurer. "Branchen gør det mere og mere udfordrende at svare på deres ansøgninger," bemærker han, "og der er fortsat luner i ansøgningerne."
"I min erfaring," siger han, "er den eneste undersøgelse [af cyberforsikringsselskaber] et forsøg på at finde ud af, hvordan luftfartsselskabet kan ophæve dækningen eller true med at gøre det, i stedet for at finde ud af, om kravet er dækket, og hvordan det skal blive afgjort."
