Οι ασφαλιστές στον κυβερνοχώρο περιορίζουν την αυτοβεβαίωση των ελέγχων ασφαλείας των πελατών

Μια άκυρη αγωγή από έναν ασφαλιστικό φορέα στον κυβερνοχώρο που ισχυρίζεται ότι ο πελάτης του τον παραπλάνησε στην αίτησή του ασφάλισης θα μπορούσε ενδεχομένως να ανοίξει το δρόμο για να αλλάξει ο τρόπος με τον οποίο οι ασφαλιστές αξιολογούν τις αξιώσεις αυτοβεβαίωσης για τις αιτήσεις ασφάλισης.

Η υπόθεση — Travelers Property Casualty Company of America v. International Control Services Inc. (ICS) — βασίστηκε στην ICS ισχυριζόμενη ότι διέθετε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) όταν ο κατασκευαστής ηλεκτρονικών αίτηση για πολιτική. Τον Μάιο η εταιρεία αντιμετώπισε μια επίθεση ransomware. Οι ιατροδικαστικοί ερευνητές διαπίστωσαν ότι δεν υπήρχε MFA, επομένως η Travelers υποστήριξε ότι δεν θα έπρεπε να είναι υπεύθυνη για την αξίωση. 

Η υπόθεση (αρ. 22-cv-2145) κατατέθηκε στο Περιφερειακό Δικαστήριο των ΗΠΑ για την Κεντρική Περιφέρεια του Ιλινόις στις 6 Ιουλίου. Στα τέλη Αυγούστου, οι διάδικοι συμφώνησαν να ακυρώσουν τη σύμβαση, τερματίζοντας τις προσπάθειες της ICS να έχει την κάλυψη του ασφαλιστή της τις απώλειές του.

Αυτή η περίπτωση ήταν ασυνήθιστη καθώς οι ταξιδιώτες υποστήριξαν ότι η ψευδής δήλωση «επηρέασε ουσιωδώς την αποδοχή του κινδύνου ή/και τον κίνδυνο που αναλαμβάνουν οι Ταξιδιώτες» στη δικαστική κατάθεση.

Η προσαγωγή ενός πελάτη στο δικαστήριο είναι μια απόκλιση από άλλες παρόμοιες περιπτώσεις όπου μια ασφαλιστική εταιρεία απλώς αρνήθηκε την αξίωση, αλλά δεν είναι καθόλου μοναδική, δήλωσε ο Scott Godes, συνεργάτης της Barnes & Thornburg LLP, μιας δικηγορικής εταιρείας με έδρα την Ουάσιγκτον, DC. 

«Έχω δει αυτό το θέμα να φουντώνει τα τελευταία χρόνια. Από την άποψή μου, οι ασφαλιστικοί φορείς έχουν κάνει αυτή μια δύσκολη αγορά — αύξηση των ασφαλίστρων και μείωση των ορίων — και αυτό τους ενθάρρυνε να επιλέξουν την πυρηνική επιλογή καταργώντας την κάλυψη», λέει ο Godes.

Η ασφάλεια θα πρέπει να είναι προληπτική, σταματώντας πιθανές παραβιάσεις πριν συμβούν και όχι απλώς να ανταποκρίνεται σε κάθε επιτυχημένη επίθεση, σημειώνει ο Sean O'Brien, επισκέπτης συνεργάτης στο Information Society Project στο Yale Law School και ιδρυτής του Privacy Lab στο Yale Law School.

«Ο ασφαλιστικός κλάδος είναι πιθανό να γίνεται ολοένα και πιο επικίνδυνος καθώς αυξάνονται οι αξιώσεις για την ασφάλεια στον κυβερνοχώρο, υπερασπίζοντας τα αποτελέσματα και αποφεύγοντας την αποζημίωση όπου είναι δυνατόν», λέει ο O'Brien. "Αυτός ήταν πάντα ο ρόλος των ρυθμιστών ασφάλισης, φυσικά, και η επιχείρησή τους είναι από πολλές απόψεις αντίθετη προς τα συμφέροντα του οργανισμού σας, μετά την ολοκλήρωση της σκόνης από μια κυβερνοεπίθεση."

Τούτου λεχθέντος, οι οργανισμοί δεν πρέπει αναμένετε πληρωμή για κακές πολιτικές και πρακτικές κυβερνοασφάλειας, σημειώνει.

Ενώ η υπόθεση Travelers αφορούσε συγκεκριμένα τον ενιαίο έλεγχο ασφάλειας MFA, οι ασφαλιστικές εταιρείες ενδέχεται να τροποποιήσουν την εξάρτηση των ασφαλιστών τους στην αυτοβεβαίωση χωρίς κάποιο είδος επαλήθευσης τρίτων σε άλλους ελέγχους ασφαλείας στο μέλλον, σημειώνει ο Jess Burn, ανώτερος αναλυτής της Forrester Research. .

«Οι αγωγές και η κατάργηση της κάλυψης, η κλήση από τους ασφαλισμένους και τους ασφαλισμένους για μικρές ίνες που είπαν ή η παράλειψη λεπτομερειών σχετικά με το πώς προστατεύονται στις ασφαλείς πρακτικές τους» φαίνεται να είναι μια αναδυόμενη τάση, λέει ο Burn.

Μια επιλογή για την εξάλειψη τυχόν ερωτήσεων σχετικά με το εάν μια εταιρεία είναι την εφαρμογή ελέγχων ασφαλείας είναι να παρέχει επαληθευμένη υποστήριξη, προσθέτει. Ακόμη και αν δεν απαιτείται διαφάνεια, η παροχή επαλήθευσης από τρίτους ότι υπάρχουν έλεγχοι για MFA, διαχείριση κινδύνου τρίτων, ανίχνευση τελικού σημείου ή οποιονδήποτε από τους μυριάδες ελέγχους ασφαλείας θα πρέπει να εξαλείψει οποιαδήποτε παρεξήγηση ή ανησυχία πριν από την εφαρμογή της πολιτικής. εκδόθηκε.

Η εξελισσόμενη ασφάλεια στον κυβερνοχώρο

Ενώ οι εφαρμογές τεχνολογίας και ασφάλειας αλλάζουν με την πάροδο του χρόνου, οι εταιρείες ασφάλισης στον κυβερνοχώρο επαναξιολογούν τους ελέγχους αναδοχής τους κάθε χρόνο, σημειώνει ο Marc Schein, εθνικός συμπρόεδρος στο Cyber ​​Center for Excellence στο Marsh McLennan Agency, τον μεγαλύτερο ασφαλιστικό μεσίτη στον κόσμο. Σε αντίθεση με τα κοινά ασφαλιστήρια συμβόλαια ατυχημάτων, τα οποία έχουν πολύ εκτεταμένο στατιστικό ιστορικό για τους ασφαλιστές, η ασφάλιση στον κυβερνοχώρο εξακολουθεί να θεωρείται νέος τομέας και οι ασφαλιστές εξακολουθούν να τελειοποιούν τους αλγόριθμους και την ανάλυσή τους στον καλύτερο κίνδυνο τιμής.

Ένας τομέας όπου οι ασφαλιστές βασίζονται σε μεγάλο βαθμό στην αυτοβεβαίωση από εταιρείες σχετικά με το προφίλ κινδύνου τους είναι οι έλεγχοι: ποιοι έλεγχοι διαθέτουν, πόσο καλά διαμορφώθηκαν και η αποτελεσματικότητά τους. Κατά καιρούς, συνέχισε ο Schein, ένας ανάδοχος μπορεί να απαιτήσει από έναν ασφαλιστικό πελάτη να υποβληθεί σε αξιολογήσεις όπως μια δοκιμή διείσδυσης. Εάν η δοκιμή επανέλθει με ένα σημαντικά διαφορετικό αποτέλεσμα από το αναμενόμενο - για παράδειγμα, εάν είναι ανοιχτά 100 λιμάνια που η προοπτική ήταν κλειστή - η ασφαλιστική εταιρεία πιθανότατα θα συζητούσε σχετικά με αυτά τα ανοιχτά λιμάνια, καθώς και άλλες βεβαιώσεις, για να καθορίσει εάν η εταιρεία προσπαθούσε εσκεμμένα να κρύψει ένα πρόβλημα ή αν υπήρξε τυχαίο σφάλμα.

Οι CISO είναι απρόθυμοι να απαντήσουν σε ερωτήσεις σχετικά με εφαρμογές που μπορεί να οδηγήσουν τον ασφαλιστή να απαιτήσει σημαντικές επενδύσεις για να μετριάσει το πρόβλημα πριν εγκριθεί η ασφάλιση, λέει ο Schein. Εάν μια εταιρεία δηλώσει ότι σκοπεύει να επενδύσει στις προσπάθειες μετριασμού, αλλά το έργο δεν αναμένεται να ολοκληρωθεί μετά την ημερομηνία έναρξης ισχύος της ασφάλισης, ο ασφαλιστής μπορεί να συμβιβαστεί δεσμεύοντας την αίτηση αλλά περιορίζοντας την πραγματική κάλυψη σε ένα ποσοστό των ορίων του συμβολαίου — ίσως το 10% του ορίου κάλυψης 1 εκατομμυρίου δολαρίων ενός ασφαλιστηρίου — μέχρι να ολοκληρωθούν οι προσπάθειες αποκατάστασης.

«Είναι αξιοσημείωτο το γεγονός ότι οι ασφαλιστικοί φορείς αρνούνται να δοκιμάσουν, να επιθεωρήσουν ή να συμμετάσχουν σε έλεγχο ζημιών κατά την αναδοχή», σημειώνει ο δικηγόρος Godes. «Ίσως πιστεύουν ότι μπορούν απλώς να τραβήξουν το χαλί από κάτω από μη γνωρίζοντες ασφαλισμένους, βασιζόμενοι στην ανάκληση για να αποφύγουν την κάλυψη κινδύνων που οι ασφαλιστές θα μπορούσαν να έχουν επιθεωρήσει μόνοι τους».

Η Godes δεν πωλείται με την ιδέα ότι οι ασφαλιστές στον κυβερνοχώρο απλώς αναπροσαρμόζουν τις διαδικασίες αναδοχής τους. «Ο κλάδος καθιστά όλο και πιο δύσκολο να ανταποκριθεί στις αιτήσεις τους», σημειώνει, «και συνεχίζουν να υπάρχουν ιδιοτροπίες στις εφαρμογές».

«Από την εμπειρία μου», λέει, «η μόνη έρευνα [από τους ασφαλιστές στον κυβερνοχώρο] είναι μια προσπάθεια να καταλάβουμε πώς ο μεταφορέας μπορεί να ακυρώσει την κάλυψη ή να απειλήσει να το πράξει, αντί να καταλάβει εάν η απαίτηση καλύπτεται και πώς πρέπει να διευθετηθεί."