Eine annullierte Klage eines Cyber-Versicherungsträgers, der behauptet, sein Kunde habe ihn bei seinem Versicherungsantrag getäuscht, könnte möglicherweise den Weg für eine Änderung der Art und Weise ebnen, wie Versicherer Selbstbescheinigungsansprüche in Versicherungsanträgen bewerten.
Der Fall – Travelers Property Casualty Company of America gegen International Control Services Inc. (ICS) – hing davon ab, dass ICS behauptete, beim Elektronikhersteller eine Multifaktor-Authentifizierung (MFA) eingesetzt zu haben eine Police beantragt. Im Mai erlebte das Unternehmen einen Ransomware-Angriff. Forensische Ermittler stellten fest, dass keine MFA vorhanden war, weshalb Travelers geltend machte, dass das Unternehmen nicht für den Anspruch haftbar gemacht werden sollte.
Der Fall (Nr. 22-cv-2145) wurde am 6. Juli beim US-Bezirksgericht für den Central District of Illinois eingereicht. Ende August einigten sich die Prozessbeteiligten auf die Aufhebung des Vertrags und beendeten damit die Bemühungen von ICS, seinen Versicherer zu schützen seine Verluste.
Dieser Fall war insofern ungewöhnlich, als Travelers in der Gerichtsakte behauptete, die falsche Darstellung habe „die Akzeptanz des von Travelers übernommenen Risikos und/oder der Gefahr wesentlich beeinflusst“.
Einen Klienten vor Gericht zu bringen, sei ein Unterschied zu anderen ähnlichen Fällen, in denen eine Versicherungsgesellschaft den Anspruch einfach ablehnte, aber es sei kein Einzelfall, sagte Scott Godes, Partner bei Barnes & Thornburg LLP, einer Anwaltskanzlei mit Sitz in Washington, D.C.
„Ich habe gesehen, wie dieses Problem in den letzten Jahren immer häufiger aufkam. Aus meiner Sicht haben die Versicherungsträger dies zu einem harten Markt gemacht – Prämien erhöhen und Limiten senken – und das hat sie ermutigt, sich für die nukleare Option zu entscheiden, indem sie die Berichterstattung aufkündigten“, sagt Godes.
Sicherheit sollte proaktiv sein und mögliche Verstöße stoppen, bevor sie auftreten, anstatt einfach auf jeden erfolgreichen Angriff zu reagieren, bemerkt Sean O'Brien, Gastwissenschaftler am Information Society Project an der Yale Law School und Gründer des Privacy Lab an der Yale Law School.
„Die Versicherungsbranche wird angesichts der steigenden Cybersicherheitsansprüche wahrscheinlich immer hartnäckiger werden, ihr Endergebnis verteidigen und Erstattungen wo immer möglich vermeiden“, sagt O'Brien. „Das war natürlich schon immer die Aufgabe von Versicherungssachverständigen, und ihr Geschäft steht in vielerlei Hinsicht im Widerspruch zu den Interessen Ihres Unternehmens, nachdem sich der Staub nach einem Cyberangriff gelegt hat.“
Allerdings sollten Organisationen dies nicht tun eine Auszahlung erwarten für schlechte Cybersicherheitsrichtlinien und -praktiken, stellt er fest.
Während es im Travelers-Fall speziell um die einzige MFA-Sicherheitskontrolle ging, könnten Versicherungsunternehmen künftig die Abhängigkeit ihrer Versicherer von Selbstbescheinigungen ändern, ohne irgendeine Art von Drittüberprüfung anderer Sicherheitskontrollen, bemerkt Jess Burn, leitende Analystin bei Forrester Research .
„Die Klagen und die Aufhebung des Versicherungsschutzes, das Anprangern der Versicherten und der Versicherungsnehmer wegen kleiner Lügen, die sie erzählt haben, oder des Auslassens von Details darüber, wie sie in ihren sicheren Praxen geschützt sind“, scheinen ein aufkommender Trend zu sein, sagt Burn.
Eine Möglichkeit, Fragen zur Existenz eines Unternehmens zu beseitigen Implementierung von Sicherheitskontrollen sei es, verifizierte Unterstützung zu leisten, fügt sie hinzu. Auch wenn die Transparenz nicht erforderlich ist, sollte die Bereitstellung einer Überprüfung durch Dritte, ob Kontrollen für MFA, Risikomanagement Dritter, Endpunkterkennung oder eine der unzähligen Sicherheitskontrollen vorhanden sind, Missverständnisse oder Bedenken vor der Inkraftsetzung der Richtlinie beseitigen ausgegeben.
Sich weiterentwickelnde Cyber-Versicherung
Während sich Technologie- und Sicherheitsimplementierungen im Laufe der Zeit ändern, bewerten Cyber-Versicherungsunternehmen ihre Underwriting-Kontrollen jedes Jahr neu, bemerkt Marc Schein, nationaler Co-Vorsitzender des Cyber Center for Excellence bei Marsh McLennan Agency, dem weltweit größten Versicherungsmakler. Im Gegensatz zu gewöhnlichen Unfallversicherungspolicen, die eine sehr umfangreiche statistische Vergangenheit für Underwriter vorweisen können, gilt die Cyberversicherung immer noch als ein junges Feld und Underwriter perfektionieren immer noch ihre Algorithmen und Analysen, um das beste Preisrisiko zu erzielen.
Ein Bereich, in dem sich Underwriter stark auf die Selbstbescheinigung von Unternehmen bezüglich ihres Risikoprofils verlassen, sind Kontrollen: welche Kontrollen sie haben, wie gut sie konfiguriert sind und wie effektiv sie sind. Gelegentlich, so Schein weiter, könne ein Versicherer von einem Versicherungsinteressenten verlangen, sich Bewertungen wie einem Penetrationstest zu unterziehen. Sollte der Test zu einem deutlich anderen Ergebnis als erwartet führen – zum Beispiel, wenn 100 Ports geöffnet sind, von denen der Interessent sagte, sie seien geschlossen – würde die Versicherungsgesellschaft wahrscheinlich eine Diskussion über diese offenen Ports sowie andere Bescheinigungen führen, um festzustellen, ob Das Unternehmen versuchte absichtlich, ein Problem oder einen versehentlichen Fehler zu verbergen.
CISOs zögern, Fragen zu Anträgen zu beantworten, die dazu führen könnten, dass der Versicherer vor der Genehmigung der Versicherung erhebliche Investitionen zur Abmilderung des Problems verlangt, sagt Schein. Wenn ein Unternehmen angibt, dass es in die Schadensbegrenzungsbemühungen investieren will, das Projekt jedoch voraussichtlich erst nach Inkrafttreten der Versicherung abgeschlossen sein wird, kann der Versicherer einen Kompromiss eingehen, indem er den Antrag bindet, die tatsächliche Deckung jedoch auf einen Prozentsatz der Versicherungssumme beschränkt – vielleicht 10 % der Deckungssumme einer Police in Höhe von 1 Million US-Dollar – bis die Sanierungsbemühungen abgeschlossen sind.
„Es ist bemerkenswert, dass Versicherungsträger sich weigern, beim Underwriting Tests, Inspektionen oder Verlustkontrollen durchzuführen“, bemerkt Anwalt Godes. „Vielleicht glauben sie, dass sie ahnungslosen Versicherungsnehmern einfach den Boden unter den Füßen wegziehen können, indem sie sich auf einen Rücktritt verlassen, um die Deckung von Risiken zu vermeiden, die die Versicherer selbst hätten prüfen können.“
Godes ist nicht von der Vorstellung überzeugt, dass Cyber-Versicherer lediglich ihre Underwriting-Verfahren neu anpassen. „Die Branche macht es immer schwieriger, auf ihre Bewerbungen zu reagieren“, stellt er fest, „und es gibt weiterhin Unstimmigkeiten in den Bewerbungen.“
„Meiner Erfahrung nach“, sagt er, „besteht die einzige Untersuchung [durch Cyber-Versicherer] darin, herauszufinden, wie der Spediteur den Versicherungsschutz aufheben oder damit drohen kann, anstatt herauszufinden, ob der Anspruch gedeckt ist und wie dies geschehen sollte.“ sesshaft sein."
