एक साइबर बीमा वाहक का एक निरस्त मुकदमा, जिसमें दावा किया गया है कि उसके ग्राहक ने उसे अपने बीमा आवेदन पर गुमराह किया है, संभावित रूप से यह बदलने का मार्ग प्रशस्त कर सकता है कि हामीदार बीमा अनुप्रयोगों पर स्व-सत्यापन दावों का मूल्यांकन कैसे करते हैं।
मामला - ट्रैवलर्स प्रॉपर्टी कैजुअल्टी कंपनी ऑफ अमेरिका बनाम इंटरनेशनल कंट्रोल सर्विसेज इंक. (आईसीएस) - आईसीएस पर आधारित है, जिसमें दावा किया गया है कि इलेक्ट्रॉनिक्स निर्माता के समय उसके पास मल्टीफैक्टर ऑथेंटिकेशन (एमएफए) था। एक पॉलिसी के लिए आवेदन किया. मई में कंपनी पर रैंसमवेयर हमला हुआ था। फोरेंसिक जांचकर्ताओं ने निर्धारित किया कि वहां कोई एमएफए नहीं था, इसलिए ट्रैवलर्स ने दावा किया कि उसे दावे के लिए उत्तरदायी नहीं होना चाहिए।
मामला (नंबर 22-सीवी-2145) 6 जुलाई को इलिनोइस के सेंट्रल डिस्ट्रिक्ट के लिए अमेरिकी जिला न्यायालय में दायर किया गया था। अगस्त के अंत में, वादी अनुबंध को रद्द करने पर सहमत हुए, जिससे आईसीएस के अपने बीमाकर्ता कवर के प्रयासों को समाप्त कर दिया गया। इसका नुकसान.
यह मामला इस मायने में असामान्य था कि यात्रियों ने अदालत में दायर याचिका में गलत बयानी को "यात्रियों द्वारा ग्रहण किए गए जोखिम और/या खतरे की स्वीकृति को वास्तविक रूप से प्रभावित किया"।
किसी ग्राहक को अदालत में ले जाना अन्य समान मामलों से अलग है जहां एक बीमा कंपनी ने दावे को अस्वीकार कर दिया था, लेकिन यह शायद ही अद्वितीय है, वाशिंगटन, डीसी स्थित कानूनी फर्म, बार्न्स एंड थॉर्नबर्ग एलएलपी के एक भागीदार स्कॉट गोडेस ने कहा।
“मैंने पिछले कुछ वर्षों में इस मुद्दे को उठते देखा है। मेरे दृष्टिकोण से, बीमा वाहकों ने इसे एक कठिन बाज़ार बना दिया है - प्रीमियम बढ़ाना और सीमा कम करना - और इसने कवरेज को रद्द करके उन्हें परमाणु विकल्प चुनने के लिए प्रोत्साहित किया है,'' गोडेस कहते हैं।
येल लॉ स्कूल में इंफॉर्मेशन सोसाइटी प्रोजेक्ट के विजिटिंग फेलो और येल लॉ स्कूल में प्राइवेसी लैब के संस्थापक शॉन ओ'ब्रायन कहते हैं कि सुरक्षा को सक्रिय होना चाहिए, प्रत्येक सफल हमले का जवाब देने के बजाय संभावित उल्लंघनों को घटित होने से पहले ही रोकना चाहिए।
ओ'ब्रायन का कहना है, "जैसे-जैसे साइबर सुरक्षा के दावे बढ़ रहे हैं, बीमा उद्योग अपनी निचली रेखा का बचाव करने और जहां भी संभव हो, प्रतिपूर्ति से बचने के लिए अधिक से अधिक हठी हो जाएगा।" "बेशक, यह हमेशा बीमा समायोजकों की भूमिका रही है, और साइबर हमले से धूल जमने के बाद उनका व्यवसाय कई मायनों में आपके संगठन के हितों के प्रतिकूल है।"
उन्होंने कहा, संगठनों को ऐसा नहीं करना चाहिए भुगतान की उम्मीद करें वह खराब साइबर सुरक्षा नीतियों और प्रथाओं के लिए कहते हैं।
जबकि ट्रैवेलर्स का मामला विशेष रूप से एकल एमएफए सुरक्षा नियंत्रण के बारे में था, आगे चलकर बीमा कंपनियां अन्य सुरक्षा नियंत्रणों पर किसी प्रकार के तीसरे पक्ष के सत्यापन के बिना स्व-सत्यापन पर अपने हामीदारों की निर्भरता को संशोधित कर सकती हैं, फॉरेस्टर रिसर्च के एक वरिष्ठ विश्लेषक जेस बर्न कहते हैं। .
बर्न कहते हैं, "मुकदमे और कवरेज को रद्द करना, बीमाधारक और पॉलिसीधारकों को उनके द्वारा बताई गई छोटी-छोटी बातों पर बुलाना, या उनकी सुरक्षित प्रथाओं में उनकी सुरक्षा कैसे की जाती है, इसके बारे में विवरणों को छोड़ना" एक उभरती हुई प्रवृत्ति प्रतीत होती है।
कोई कंपनी है या नहीं, इसके बारे में किसी भी प्रश्न को खत्म करने का एक विकल्प सुरक्षा नियंत्रण लागू करना वह सत्यापित समर्थन प्रदान करना है, वह आगे कहती हैं। भले ही पारदर्शिता की आवश्यकता न हो, तृतीय-पक्ष सत्यापन प्रदान करना कि एमएफए, तृतीय-पक्ष जोखिम प्रबंधन, समापन बिंदु का पता लगाने, या असंख्य सुरक्षा नियंत्रणों के लिए नियंत्रण मौजूद हैं, नीति के पहले से ही किसी भी गलतफहमी या चिंताओं को समाप्त कर देना चाहिए जारी किए गए।
साइबर बीमा का विकास
जबकि प्रौद्योगिकी और सुरक्षा कार्यान्वयन समय के साथ बदलते हैं, साइबर बीमा कंपनियां सालाना अपने हामीदारी नियंत्रणों का पुनर्मूल्यांकन करती हैं, दुनिया के सबसे बड़े बीमा दलाल, मार्श मैक्लेनन एजेंसी में साइबर सेंटर फॉर एक्सीलेंस के राष्ट्रीय सह-अध्यक्ष मार्क शीन कहते हैं। सामान्य दुर्घटना बीमा पॉलिसियों के विपरीत, जिनमें हामीदारों के लिए बहुत व्यापक सांख्यिकीय इतिहास होता है, साइबर बीमा को अभी भी एक उभरता हुआ क्षेत्र माना जाता है और हामीदार अभी भी सर्वोत्तम मूल्य जोखिम के लिए अपने एल्गोरिदम और विश्लेषण को बेहतर बना रहे हैं।
एक ऐसा क्षेत्र जहां हामीदार अपने जोखिम प्रोफाइल के संबंध में कंपनियों के स्व-सत्यापन पर बहुत अधिक निर्भर करते हैं, वह नियंत्रण है: उनके पास क्या नियंत्रण हैं, उन्हें कितनी अच्छी तरह कॉन्फ़िगर किया गया था, और उनकी प्रभावशीलता। कभी-कभी, शेइन ने आगे कहा, एक हामीदार को बीमा संभावना के लिए पैठ परीक्षण जैसे मूल्यांकन से गुजरना पड़ सकता है। क्या परीक्षण प्रत्याशित से काफी भिन्न परिणाम के साथ वापस आना चाहिए - उदाहरण के लिए, यदि 100 पोर्ट खुले हैं जिनके बारे में संभावना ने कहा था कि वे बंद थे - बीमा कंपनी संभवतः उन खुले बंदरगाहों के साथ-साथ अन्य सत्यापनों के बारे में चर्चा करेगी, यह निर्धारित करने के लिए कि क्या कंपनी जानबूझकर किसी समस्या को छिपाने की कोशिश कर रही थी या कोई आकस्मिक त्रुटि हुई थी।
शेइन का कहना है कि सीआईएसओ उन आवेदनों पर सवालों के जवाब देने में अनिच्छुक हैं, जिनके कारण बीमा स्वीकृत होने से पहले बीमाकर्ता को समस्या को कम करने के लिए महत्वपूर्ण निवेश की आवश्यकता हो सकती है। यदि कोई कंपनी इंगित करती है कि वह शमन प्रयासों में निवेश करने की योजना बना रही है, लेकिन बीमा प्रभावी होने की तारीख के बाद तक परियोजना पूरी होने की उम्मीद नहीं है, तो बीमाकर्ता आवेदन को बाध्य करके समझौता कर सकता है लेकिन वास्तविक कवरेज को पॉलिसी की सीमा के एक प्रतिशत तक सीमित कर सकता है। - शायद पॉलिसी की $10 मिलियन कवरेज सीमा का 1% - जब तक कि सुधार के प्रयास पूरे नहीं हो जाते।
वकील गोड्स कहते हैं, "यह उल्लेखनीय है कि बीमा वाहक हामीदारी करते समय परीक्षण, निरीक्षण या हानि नियंत्रण में संलग्न होने से इनकार करते हैं।" "हो सकता है कि उनका मानना है कि वे उन जोखिमों को कवर करने से बचने के लिए रद्दीकरण पर भरोसा करते हुए, अनजान पॉलिसीधारकों के नीचे से गलीचा खींच सकते हैं, जिनका बीमाकर्ता स्वयं निरीक्षण कर सकते थे।"
गोड्स को इस विचार पर नहीं बेचा जाता है कि साइबर बीमाकर्ता केवल अपनी हामीदारी प्रक्रियाओं को फिर से समायोजित कर रहे हैं। उन्होंने कहा, "उद्योग अपने आवेदनों पर प्रतिक्रिया देना अधिक से अधिक चुनौतीपूर्ण बना रहा है," और अनुप्रयोगों में अनियमितताएं बनी हुई हैं।
"मेरे अनुभव में," वे कहते हैं, "साइबर बीमाकर्ताओं द्वारा एकमात्र जांच यह पता लगाने का प्रयास है कि वाहक कवरेज को कैसे रद्द कर सकता है, या ऐसा करने की धमकी दे सकता है, बजाय यह पता लगाने के कि क्या दावा कवर किया गया है और इसे कैसे किया जाना चाहिए तय किया।"
