یک دعوای ابطال شده از یک شرکت بیمه سایبری که ادعا می کند مشتری آن را در برنامه بیمه خود گمراه کرده است، به طور بالقوه می تواند راه را برای تغییر نحوه ارزیابی ادعاهای خوداثباتی در برنامه های بیمه توسط پذیره نویسان هموار کند.
پرونده - Travelers Property Casualty Company of America v. International Control Services Inc. (ICS) - به ICS وابسته بود و مدعی شد که تأیید هویت چندعاملی (MFA) را در زمانی که سازنده لوازم الکترونیکی انجام داده است برای یک سیاست درخواست کرد. در ماه می، این شرکت یک حمله باج افزار را تجربه کرد. بازرسان پزشکی قانونی تشخیص دادند که MFA در محل وجود ندارد، بنابراین مسافران اظهار داشتند که نباید در قبال این ادعا مسئولیتی داشته باشد.
پرونده (شماره 22-cv-2145) در دادگاه منطقه ای ایالات متحده برای ناحیه مرکزی ایلینوی در 6 ژوئیه بایگانی شد. در پایان ماه اوت، طرفین دعوا موافقت کردند که قرارداد را باطل کنند و به تلاش های ICS برای داشتن پوشش بیمه گر خود پایان دادند. زیان های آن
این مورد غیرعادی بود، زیرا مسافران اظهار داشتند که اظهارات نادرست «به طور مادی بر پذیرش خطر و/یا خطر متحمل شده توسط مسافران تأثیر گذاشته است» در پرونده دادگاه.
اسکات گودز، شریک بارنز و تورنبورگ LLP، یک شرکت حقوقی مستقر در واشنگتن، گفت: بردن یک مشتری به دادگاه یک انحراف از سایر موارد مشابه است که در آن یک شرکت بیمه به سادگی ادعا را رد کرد، اما به سختی منحصر به فرد است.
"من شاهد این بودم که این موضوع در چند سال گذشته افزایش یافته است. از دیدگاه من، شرکتهای بیمه این بازار را به یک بازار سخت تبدیل کردهاند. افزایش حق بیمه و کاهش محدودیت ها گودز میگوید: - و این آنها را ترغیب کرده تا با لغو پوشش، گزینه هستهای را انتخاب کنند.
شان اوبراین، عضو بازدیدکننده پروژه جامعه اطلاعاتی در دانشکده حقوق ییل و بنیانگذار آزمایشگاه حریم خصوصی در دانشکده حقوق ییل، خاطرنشان میکند که امنیت باید پیشگیرانه باشد و جلوی نقضهای احتمالی را قبل از وقوع آنها بگیرد تا اینکه به هر حمله موفقیت آمیزی پاسخ دهد.
اوبراین میگوید: «با افزایش ادعاهای امنیت سایبری، صنعت بیمه احتمالاً بیش از پیش خطرناکتر میشود، و از سود نهایی خود دفاع میکند و تا جایی که ممکن است از بازپرداخت اجتناب میکند. "البته این همیشه نقش تعدیل کنندگان بیمه بوده است، و کسب و کار آنها از بسیاری جهات در مقابل منافع سازمان شما پس از فرونشستن گرد و غبار ناشی از یک حمله سایبری است."
گفته می شود، سازمان ها نباید انتظار پرداخت او خاطرنشان می کند که به دلیل سیاست ها و شیوه های ضعیف امنیت سایبری.
جس برن، تحلیلگر ارشد در Forrester Research خاطرنشان می کند، در حالی که پرونده Travelers به طور خاص در مورد کنترل امنیتی واحد وزارت امور خارجه بود، شرکت های بیمه ممکن است اتکای پذیره نویسان خود را بدون تأیید شخص ثالث بر سایر کنترل های امنیتی در آینده تغییر دهند. .
برن میگوید: «دعواها و لغو پوشش، فراخوانی بیمهگذاران و بیمهگذاران در مورد اطلاعات کوچکی که گفتهاند، یا حذف جزئیات در مورد نحوه محافظت از آنها در شیوههای ایمن خود» به نظر یک روند در حال ظهور است.
یک گزینه برای از بین بردن هرگونه سوال در مورد اینکه آیا یک شرکت است یا خیر اجرای کنترل های امنیتی او می افزاید که ارائه پشتیبانی تایید شده است. حتی اگر شفافیت مورد نیاز نباشد، ارائه تأیید شخص ثالث مبنی بر وجود کنترلها برای MFA، مدیریت ریسک شخص ثالث، شناسایی نقطه پایانی، یا هر یک از بیشمار کنترلهای امنیتی، باید هرگونه سوء تفاهم یا نگرانی را قبل از اجرای خطمشی برطرف کند. صادر شده.
بیمه سایبری در حال توسعه
مارک شاین، رئیس مشترک ملی در مرکز تعالی سایبری در آژانس مارش مکلنان، بزرگترین کارگزار بیمه جهان، خاطرنشان میکند در حالی که فناوری و پیادهسازیهای امنیتی در طول زمان تغییر میکنند، شرکتهای بیمه سایبری سالانه کنترلهای پذیرهنویسی خود را دوباره ارزیابی میکنند. بر خلاف بیمه نامه های متداول خسارت، که سابقه آماری بسیار گسترده ای برای پذیره نویسان دارند، بیمه سایبری هنوز به عنوان یک حوزه نوپا در نظر گرفته می شود و پذیره نویسان هنوز در حال تکمیل الگوریتم ها و تجزیه و تحلیل خود به بهترین ریسک قیمت هستند.
یکی از حوزههایی که پذیرهنویسها به شدت به خودتأثیر شرکتها در رابطه با نمایه ریسک خود متکی هستند، کنترلها است: کنترلهایی که دارند، چقدر خوب پیکربندی شدهاند و اثربخشی آنها. شاین ادامه داد، گاهی اوقات، یک بیمهگر ممکن است برای انجام ارزیابیهایی مانند تست نفوذ به یک بیمهگر نیاز داشته باشد. اگر آزمایش با نتیجه قابل توجهی متفاوت از آنچه پیش بینی می شد بازگردد - برای مثال، اگر 100 پورت باز باشد که مشتری گفته است بسته شده است - شرکت بیمه احتمالاً در مورد آن پورت های باز و همچنین گواهی های دیگر بحث می کند تا تعیین کند که آیا این شرکت عمداً در تلاش بود تا مشکلی را پنهان کند یا خطای تصادفی وجود داشته باشد.
شاین می گوید که CISO ها تمایلی به پاسخ دادن به سؤالاتی در مورد برنامه هایی ندارند که ممکن است باعث شود پذیره نویس به سرمایه گذاری قابل توجهی برای کاهش مشکل قبل از تأیید بیمه نیاز داشته باشد. اگر شرکتی نشان دهد که قصد دارد در تلاشهای کاهش سرمایهگذاری کند اما انتظار نمیرود که پروژه تا زمانی که بیمه اجرایی شود تکمیل شود، بیمهگر ممکن است با الزامآوری به درخواست، اما پوشش واقعی را به درصدی از محدودیتهای بیمهنامه محدود کند. - شاید 10٪ از محدودیت پوشش 1 میلیون دلاری یک سیاست - تا زمانی که تلاش های اصلاحی کامل شود.
وکیل گودز خاطرنشان می کند: «قابل توجه است که شرکت های بیمه هنگام پذیره نویسی از آزمایش، بازرسی یا کنترل ضرر خودداری می کنند. شاید آنها بر این باورند که میتوانند با تکیه بر فسخ برای جلوگیری از پوشش ریسکهایی که بیمهگران میتوانستند به تنهایی بازرسی کنند، قالیچه را از زیر بیمهگذاران ناآگاه بیرون بکشند.»
Godes با این ایده فروخته نمی شود که بیمه گران سایبری به سادگی رویه های پذیره نویسی خود را اصلاح می کنند. او خاطرنشان میکند: «صنعت، پاسخگویی به برنامههای کاربردی آنها را بیش از پیش چالشبرانگیزتر میکند، و همچنان ابهامات در برنامهها وجود دارد».
او میگوید: «طبق تجربه من، تنها تحقیق [توسط بیمهگران سایبری] تلاشی است برای کشف اینکه چگونه شرکت مخابراتی میتواند پوشش را لغو کند، یا تهدید به انجام این کار کند، به جای اینکه بفهمد آیا این ادعا پوشش داده میشود و چگونه باید این کار را انجام دهد. حل شود.»