Una demanda anulada de una compañía de seguros cibernéticos alegando que su cliente la engañó en su solicitud de seguro podría allanar el camino para cambiar la forma en que los aseguradores evalúan las reclamaciones de autocertificación en las solicitudes de seguro.
El caso, Travelers Property Casualty Company of America v. International Control Services Inc. (ICS), dependía de que ICS afirmara que tenía autenticación multifactor (MFA) cuando el fabricante de productos electrónicos solicitó una póliza. En mayo, la empresa sufrió un ataque de ransomware. Los investigadores forenses determinaron que no existía una MFA, por lo que Travelers afirmó que no debería ser responsable de la reclamación.
El caso (núm. 22-cv-2145) fue presentado en la Corte de Distrito de EE. UU. para el Distrito Central de Illinois el 6 de julio. A fines de agosto, los litigantes acordaron anular el contrato, poniendo fin a los esfuerzos de ICS por tener su aseguradora cubierta sus pérdidas.
Este caso fue inusual en el sentido de que Travelers sostuvo que la tergiversación "afectó materialmente la aceptación del riesgo y/o el peligro asumido por Travelers" en la presentación judicial.
Llevar a un cliente a los tribunales es una desviación de otros casos similares en los que una compañía de seguros simplemente negó el reclamo, pero no es único, dijo Scott Godes, socio de Barnes & Thornburg LLP, una firma de abogados con sede en Washington, DC.
“He visto que este problema ha surgido en los últimos años. Desde mi perspectiva, las compañías de seguros han hecho de este un mercado difícil. aumento de las primas y reducción de los límites — y eso los animó a elegir la opción nuclear rescindiendo la cobertura”, dice Godes.
La seguridad debe ser proactiva, deteniendo posibles infracciones antes de que ocurran en lugar de simplemente responder a cada ataque exitoso, señala Sean O'Brien, miembro visitante del Proyecto de Sociedad de la Información en la Facultad de Derecho de Yale y fundador de Privacy Lab en la Facultad de Derecho de Yale.
“Es probable que la industria de seguros se vuelva cada vez más perspicaz a medida que aumentan los reclamos de seguridad cibernética, defendiendo sus resultados y evitando el reembolso siempre que sea posible”, dice O'Brien. “Este siempre ha sido el papel de los ajustadores de seguros, por supuesto, y su negocio es, en muchos sentidos, contrario a los intereses de su organización después de que se asiente el polvo de un ataque cibernético”.
Dicho esto, las organizaciones no deben esperar un pago por malas políticas y prácticas de ciberseguridad, señala.
Si bien el caso de Travelers se refería específicamente al control de seguridad único de la MFA, las compañías de seguros podrían modificar la confianza de sus suscriptores en la autocertificación sin algún tipo de verificación de terceros sobre otros controles de seguridad en el futuro, señala Jess Burn, analista sénior de Forrester Research. .
“Las demandas y la rescisión de la cobertura, los reclamos de los asegurados y los titulares de pólizas sobre pequeñas mentiras que contaron, o la omisión de detalles sobre cómo están protegidos en sus prácticas seguras” parecen ser una tendencia emergente, dice Burn.
Una opción para eliminar cualquier pregunta sobre si una empresa es implementar controles de seguridad es brindar apoyo verificado, agrega. Incluso si no se requiere la transparencia, proporcionar la verificación de terceros de que existen controles para MFA, la gestión de riesgos de terceros, la detección de puntos finales o cualquiera de la gran cantidad de controles de seguridad debería eliminar cualquier malentendido o inquietud antes de que se establezca la política. emitido.
Seguro cibernético en evolución
Si bien las implementaciones de tecnología y seguridad cambian con el tiempo, las compañías de seguros cibernéticos reevalúan anualmente sus controles de suscripción, señala Marc Schein, copresidente nacional del Cyber Center for Excellence en Marsh McLennan Agency, el corredor de seguros más grande del mundo. A diferencia de las pólizas de seguro de accidentes comunes, que tienen un historial estadístico muy extenso para los suscriptores, el seguro cibernético aún se considera un campo incipiente y los suscriptores aún están perfeccionando sus algoritmos y análisis para obtener el mejor riesgo de precio.
Un área en la que los suscriptores dependen en gran medida de la autocertificación de las empresas con respecto a su perfil de riesgo son los controles: qué controles tienen implementados, qué tan bien se configuraron y su efectividad. A veces, continuó Schein, un suscriptor puede requerir que un prospecto de seguros se someta a evaluaciones como una prueba de penetración. Si la prueba arroja un resultado significativamente diferente al anticipado, por ejemplo, si están abiertos 100 puertos que el prospecto dijo que estaban cerrados, la compañía de seguros probablemente tendría una discusión sobre esos puertos abiertos, así como otras certificaciones, para determinar si la empresa estaba tratando deliberadamente de ocultar un problema o si hubo un error accidental.
Los CISO son reacios a responder preguntas sobre solicitudes que podrían llevar al suscriptor a requerir inversiones significativas para mitigar el problema antes de que se apruebe el seguro, dice Schein. Si una empresa indica que planea invertir en los esfuerzos de mitigación, pero no se espera que el proyecto se complete hasta después de la fecha en que el seguro entre en vigencia, la aseguradora podría transigir vinculando la solicitud pero limitando la cobertura real a un porcentaje de los límites de la póliza. — tal vez el 10% del límite de cobertura de $1 millón de una póliza — hasta el momento en que se completen los esfuerzos de remediación.
“Es notable que las compañías de seguros se nieguen a probar, inspeccionar o participar en el control de pérdidas al suscribir”, señala el abogado Godes. “Tal vez creen que pueden sacar la alfombra de debajo de los asegurados inconscientes, confiando en la rescisión para evitar cubrir los riesgos que las aseguradoras podrían haber inspeccionado por su cuenta”.
A Godes no le convence la idea de que las aseguradoras cibernéticas simplemente estén reajustando sus procedimientos de suscripción. “La industria está haciendo que sea cada vez más difícil responder a sus aplicaciones”, señala, “y sigue habiendo variaciones en las aplicaciones”.
“Según mi experiencia”, dice, “la única investigación [por parte de las aseguradoras cibernéticas] es un esfuerzo por descubrir cómo la aseguradora puede rescindir la cobertura, o amenazar con hacerlo, en lugar de averiguar si el reclamo está cubierto y cómo debe hacerlo. resolverse.”
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
