Küberkindlustusandja kehtetuks tunnistatud hagi, milles väidetakse, et tema klient eksitas teda oma kindlustustaotluses, võib potentsiaalselt sillutada teed sellele, kuidas kindlustusandjad hindavad kindlustustaotluste enesetõendamise nõudeid.
Juhtum – Travelers Property Casualty Company of America v. International Control Services Inc. (ICS) – tugines ICS-ile, väites, et elektroonikatootjal oli mitmefaktoriline autentimine (MFA) taotles poliisi. Mais koges ettevõte lunavararünnakut. Kohtuekspertiisi uurijad leidsid, et MFA-d ei olnud, mistõttu Travelers väitis, et ta ei peaks nõude eest vastutama.
Juhtum (nr 22-cv-2145) esitati USA Illinoisi keskringkonna ringkonnakohtule 6. juulil. Augusti lõpus leppisid osapooled kokku lepingu kehtetuks tunnistamises, millega lõppes ICS-i püüdlused saada oma kindlustuskaitset. selle kaotused.
See juhtum oli ebatavaline selle poolest, et reisijad säilitasid kohtuavalduses valeandmete esitamise, mis „mõjutas oluliselt reisijate võetud riski ja/või ohu aktsepteerimist”.
Kliendi kohtusse pöördumine on kõrvalekalle teistest sarnastest juhtumitest, kus kindlustusselts lihtsalt lükkas nõude tagasi, kuid see pole peaaegu ainulaadne, ütles Washingtonis asuva advokaadibüroo Barnes & Thornburg LLP partner Scott Godes.
"Olen näinud, et see probleem on viimastel aastatel tõusnud. Minu vaatenurgast on kindlustusandjad teinud sellest kõva turu - preemiate tõstmine ja limiitide langetamine - ja see on julgustanud neid otsustama tuumaenergia valikut, tühistades levi, " ütleb Godes.
Turvalisus peaks olema ennetav, peatama võimalikud rikkumised enne nende tekkimist, selle asemel, et lihtsalt reageerida igale edukale rünnakule, märgib Yale'i õigusteaduskonna infoühiskonna projekti külalismees ja Yale'i õigusteaduskonna privaatsuslabori asutaja Sean O'Brien.
"Kindlustussektor muutub tõenäoliselt küberjulgeolekunõuete kasvades üha tüütumaks, kaitstes oma lõpptulemust ja vältides võimaluse korral hüvitamist," ütleb O'Brien. "Muidugi on see alati olnud kindlustuse reguleerijate roll ja nende äri on paljuski teie organisatsiooni huvidega vastuolus pärast küberrünnaku tolmu mahakandmist."
See tähendab, et organisatsioonid ei peaks väljamakset oodata kehva küberjulgeolekupoliitika ja -tavade eest, märgib ta.
Kuigi Travelersi juhtum puudutas konkreetselt ühtset MFA turvakontrolli, võivad kindlustusseltsid muuta oma kindlustusandjate sõltuvust enesetõendamisest ilma, et kolmanda osapoole muud turvakontrollid edaspidi kontrolliks, märgib Forrester Researchi vanemanalüütik Jess Burn. .
Burn ütleb, et "kohtuasjad ja kindlustuskindlustuse tühistamine, kindlustusvõtjate ja kindlustusvõtjate väljakutsumine pisiasjade pärast, mida nad rääkisid, või üksikasjade väljajätmine selle kohta, kuidas nad on kaitstud oma turvalistes tegevustes" näivad olevat esilekerkiv trend, ütleb Burn.
Üks võimalus kõrvaldada kõik küsimused selle kohta, kas ettevõte on turvakontrolli rakendamine on pakkuda kontrollitud tuge, lisab ta. Isegi kui läbipaistvust ei nõuta, peaks kolmanda osapoole kinnitus, et MFA, kolmanda osapoole riskijuhtimise, lõpp-punkti tuvastamise või lugematute turvakontrollimeetmete kontrollid on paigas, välistama kõik arusaamatused või mured enne poliitika kehtestamist. välja antud.
Arenev küberkindlustus
Kuigi tehnoloogia ja turberakendused aja jooksul muutuvad, hindavad küberkindlustusseltsid oma kindlustuse kontrolli igal aastal ümber, märgib Marc Schein, maailma suurima kindlustusmaakleri Marsh McLennan Agency Cyber Center for Excellence riiklik kaasesimees. Erinevalt tavalistest õnnetusjuhtumikindlustuspoliisidest, millel on kindlustusandjate jaoks väga ulatuslik statistiline ajalugu, peetakse küberkindlustust endiselt alles tärkavaks valdkonnaks ning kindlustusandjad täiustavad endiselt oma algoritme ja analüüse parima hinnariski saavutamiseks.
Üks valdkond, kus kindlustusandjad toetuvad oma riskiprofiili osas suuresti ettevõtete enesetõendamistele, on kontrollid: millised kontrollid neil on, kui hästi need on konfigureeritud ja nende tõhusus. Mõnikord, jätkas Schein, võib kindlustusandja nõuda, et kindlustusväljavaade läbiks hinnanguid, näiteks läbitungimistesti. Kui test peaks andma oodatust oluliselt teistsuguse tulemuse – näiteks kui avatud on 100 sadamat, mis väidetavalt olid suletud –, peaks kindlustusselts tõenäoliselt arutlema nende avatud sadamate ja muude tõendite üle, et teha kindlaks, kas ettevõte üritas tahtlikult varjata probleemi või juhuslikku viga.
Schein ütleb, et CISO-d ei soovi vastata küsimustele taotluste kohta, mis võivad viia kindlustusandjani enne kindlustuse heakskiitmist probleemi leevendamiseks märkimisväärseid investeeringuid. Kui ettevõte teatab, et kavatseb investeerida leevendusmeetmetesse, kuid projekt peaks eeldatavasti lõpule jõudma alles pärast kindlustuse jõustumise kuupäeva, võib kindlustusandja teha kompromissi, sidudes avalduse, kuid piirates tegelikku kindlustuskaitset teatud protsendiga poliisi piirmääradest. — võib-olla 10% poliisi 1 miljoni dollari suurusest katvuse limiidist — kuni heastamistegevuse lõpetamiseni.
"On tähelepanuväärne, et kindlustusandjad keelduvad kindlustusandmise ajal testimast, kontrollimast või kahjukontrollist," märgib advokaat Godes. "Võib-olla nad usuvad, et saavad lihtsalt vaiba välja tõmmata mitteteadlike kindlustusvõtjate alt, tuginedes tühistamisele, et vältida riskide katmist, mida kindlustusandjad oleksid võinud ise kontrollida."
Godesit ei müüda mõttega, et küberkindlustusandjad lihtsalt kohandavad oma kindlustusprotseduure. "Tööstus muudab nende rakendustele vastamise üha keerulisemaks, " märgib ta, "ja rakendustes on jätkuvalt kapriise."
"Minu kogemuse järgi," ütleb ta, "ainus uurimine [küberkindlustusandjate poolt] on katse välja selgitada, kuidas vedaja saab kindlustuskaitse tühistada või ähvardada seda teha, selle asemel, et välja selgitada, kas nõue on kaetud ja kuidas seda tuleks teha. olla lahendatud."
