Egy kiberbiztosítási szolgáltató érvénytelenített pere, amely szerint ügyfele félrevezette a biztosítási kérelmében, potenciálisan megnyithatja az utat annak megváltoztatásához, ahogyan a biztosítók értékelik a biztosítási kérelmekre vonatkozó önigazolási igényeket.
Az ügy – Travelers Property Casualty Company of America kontra International Control Services Inc. (ICS) – azon az ICS-n alapult, amely azt állította, hogy többtényezős hitelesítést (MFA) alkalmaztak, amikor az elektronikai gyártó kötvényért folyamodott. Májusban a vállalatot zsarolóvírus-támadás érte. A törvényszéki nyomozók megállapították, hogy nincs MFA a helyén, így a Travelers azt állította, hogy nem vállal felelősséget a követelésért.
Az ügyet (No. 22-cv-2145) július 6-án nyújtották be az USA Illinois központi körzetének kerületi bíróságához. Augusztus végén a peres felek megállapodtak a szerződés érvénytelenítésében, ami véget vetett az ICS azon erőfeszítéseinek, hogy biztosítói fedezetet szerezzenek. veszteségeit.
Ez az eset szokatlan volt abból a szempontból, hogy a Travelers a bírósági beadványban fenntartotta azt a félrevezetést, amely „lényegesen befolyásolta az utazók által vállalt kockázat és/vagy veszély elfogadását”.
Az ügyfél bíróság elé állítása eltér a többi hasonló esettől, amikor egy biztosító társaság egyszerűen megtagadta a követelést, de ez aligha egyedi – mondta Scott Godes, a Barnes & Thornburg LLP, egy washingtoni székhelyű ügyvédi iroda partnere.
„Láttam, hogy ez a probléma felgyorsult az elmúlt néhány évben. Az én szemszögemből a biztosítótársaságok kemény piacot csináltak ebből – a díjak emelése és a limitek csökkentése – és ez arra bátorította őket, hogy a lefedettség megszüntetésével a nukleáris opciót válasszák” – mondja Godes.
A biztonságnak proaktívnak kell lennie, meg kell állítania az esetleges jogsértéseket, mielõtt azok bekövetkeznének, ahelyett, hogy egyszerûen válaszolna minden egyes sikeres támadásra – jegyzi meg Sean O'Brien, a Yale Law School információs társadalom projektjének vendégmunkatársa és a Yale Law School Privacy Lab alapítója.
„A biztosítási ágazat valószínűleg egyre csapnivalóbb lesz, ahogyan a kiberbiztonsági követelések növekszenek, megvédve az eredményt, és lehetőség szerint elkerülve a visszatérítést” – mondja O'Brien. „Természetesen mindig is ez volt a biztosítási kiigazítók szerepe, és üzletük sok szempontból ellentétes az Ön szervezete érdekeivel, miután leülepedt a por egy kibertámadásból.”
Ez azt jelenti, hogy a szervezeteknek nem szabad kifizetést várni a rossz kiberbiztonsági politikák és gyakorlatok miatt – jegyzi meg.
Míg a Travelers-ügy kifejezetten az egyetlen MFA biztonsági ellenőrzéséről szólt, a biztosítótársaságok módosíthatják az aláíróik önigazolásra való támaszkodását anélkül, hogy a jövőben valamilyen harmadik féltől ellenőriznének más biztonsági ellenőrzéseket – jegyzi meg Jess Burn, a Forrester Research vezető elemzője. .
Burn szerint a perek és a fedezet visszavonása, a biztosítottak és a kötvénytulajdonosok kisfiúkra való felhívása, vagy a védelmükre vonatkozó részletek kihagyása a biztonságos praxisukban.
Az egyik lehetőség, hogy kiküszöbölje az azzal kapcsolatos kérdéseket, hogy egy vállalat vajon az biztonsági ellenőrzések végrehajtása igazolt támogatás nyújtása – teszi hozzá. Még akkor is, ha az átláthatóságra nincs szükség, a harmadik fél általi ellenőrzésnek az MFA, a harmadik fél kockázatkezelése, a végpont-észlelés vagy a számtalan biztonsági ellenőrzés bármelyikének ellenőrzése révén minden félreértés vagy aggály kiküszöbölése a házirend bevezetése előtt. kiadott.
Fejlődő kiberbiztosítás
Míg a technológiai és biztonsági megvalósítások idővel változnak, a kiberbiztosító társaságok évente újraértékelik biztosítási ellenőrzéseiket – jegyzi meg Marc Schein, a Marsh McLennan Agency, a világ legnagyobb biztosítási brókerének Cyber Center for Excellence országos társelnöke. Ellentétben az általános balesetbiztosítási kötvényekkel, amelyek igen kiterjedt statisztikai múlttal rendelkeznek a biztosítók tekintetében, a kiberbiztosítás még mindig kialakulóban lévő területnek számít, és a biztosítók még mindig tökéletesítik algoritmusaikat és elemzéseiket a legjobb árkockázat érdekében.
Az egyik terület, ahol az aláírók nagymértékben támaszkodnak a vállalatoktól kapott kockázati profiljukkal kapcsolatos önigazolásokra, az ellenőrzések: milyen ellenőrzéseket alkalmaznak, milyen jól konfigurálták azokat, és milyen hatékonysággal. Schein folytatta: időnként egy biztosító megkövetelheti a potenciális biztosítótól, hogy végezzen értékeléseket, például egy penetrációs tesztet. Ha a teszt a várttól lényegesen eltérő eredménnyel tér vissza – például ha 100 olyan kikötő van nyitva, amelyekről a potenciális ügyfél azt mondta, hogy bezárták –, a biztosítótársaság valószínűleg megbeszélést folytatna ezekről a nyitott kikötőkről, valamint egyéb tanúsítványokról, hogy megállapítsa, vajon a cég szándékosan próbált eltitkolni egy problémát, vagy azt, hogy nem történt-e véletlen hiba.
Schein szerint a CISO-k vonakodnak válaszolni az olyan kérelmekkel kapcsolatos kérdésekre, amelyek miatt a biztosító jelentős beruházásokat igényelhet a probléma enyhítésére a biztosítás jóváhagyása előtt. Ha egy vállalat jelzi, hogy befektet a mérséklési erőfeszítésekbe, de a projekt várhatóan csak a biztosítás hatálybalépése után fejeződik be, a biztosító kompromisszumot köthet azzal, hogy kötelező érvényűvé teszi a kérelmet, de a tényleges fedezetet a kötvény korlátainak egy százalékára korlátozza. – a kötvény 10 millió dolláros fedezeti korlátjának talán 1%-a – mindaddig, amíg a helyreállítási erőfeszítések be nem fejeződnek.
"Figyelemreméltó, hogy a biztosítási fuvarozók nem hajlandók tesztelni, ellenőrizni vagy veszteségellenőrzést végezni biztosítási kötvénykötéskor" - jegyzi meg Godes ügyvéd. "Talán azt hiszik, hogy kirángathatják a szőnyeget a tudatlan kötvénytulajdonosok alól, az elállásra hagyatkozva, hogy elkerüljék a kockázatok fedezését, amelyeket a biztosítók maguk is megvizsgálhattak volna."
Godest nem adják el azon a gondolaton, hogy a kiberbiztosítók egyszerűen átállítják biztosítási eljárásaikat. „Az ipar egyre nagyobb kihívást jelent a kérelmeik megválaszolásában” – jegyzi meg –, „és továbbra is vannak furcsaságok az alkalmazásokban.”
„Tapasztalataim szerint a [kiberbiztosítók által végzett] egyetlen vizsgálat az a törekvés, hogy kiderítsék, hogyan mondhatja fel a fuvarozó a fedezetet, vagy fenyegethet ezzel, ahelyett, hogy kiderítenék, hogy a kárigény fedezve van-e, és hogyan kell. legyen rendezve.”
