Gugatan yang dibatalkan dari operator asuransi dunia maya yang mengklaim bahwa pelanggannya menyesatkannya dalam aplikasi asuransinya berpotensi membuka jalan untuk mengubah cara penjamin emisi mengevaluasi klaim pengesahan diri pada aplikasi asuransi.
Kasusnya — Travelers Property Casualty Company of America v. International Control Services Inc. (ICS) — bergantung pada ICS yang mengklaim memiliki autentikasi multifaktor (MFA) saat produsen elektronik diterapkan untuk suatu kebijakan. Pada bulan Mei perusahaan mengalami serangan ransomware. Penyidik forensik memutuskan tidak ada MFA, jadi Travelers menegaskan bahwa mereka tidak bertanggung jawab atas klaim tersebut.
Kasus (No. 22-cv-2145) diajukan ke Pengadilan Distrik AS untuk Distrik Pusat Illinois pada tanggal 6 Juli. Pada akhir Agustus, pihak yang berperkara setuju untuk membatalkan kontrak, mengakhiri upaya ICS untuk memperoleh asuransinya. kerugiannya.
Kasus ini tidak biasa karena Traveler mempertahankan pernyataan yang keliru “secara material memengaruhi penerimaan risiko dan/atau bahaya yang diasumsikan oleh Traveler” dalam pengajuan pengadilan.
Membawa klien ke pengadilan adalah penyimpangan dari kasus serupa lainnya di mana perusahaan asuransi menolak klaim tersebut, tetapi itu hampir tidak unik, kata Scott Godes, mitra di Barnes & Thornburg LLP, sebuah firma hukum yang berbasis di Washington, DC.
“Saya telah melihat masalah ini menggelegak selama beberapa tahun terakhir. Dari sudut pandang saya, operator asuransi telah menjadikan ini pasar yang sulit — menaikkan premi dan menurunkan limit — dan itu telah memberanikan mereka untuk memilih opsi nuklir dengan membatalkan pertanggungan,” kata Godes.
Keamanan harus proaktif, menghentikan kemungkinan pelanggaran sebelum terjadi daripada hanya menanggapi setiap serangan yang berhasil, catat Sean O'Brien, rekan tamu di Proyek Masyarakat Informasi di Yale Law School dan pendiri Lab Privasi di Yale Law School.
“Industri asuransi kemungkinan akan menjadi semakin gigih karena klaim keamanan siber meningkat, mempertahankan keuntungan mereka dan menghindari penggantian jika memungkinkan,” kata O'Brien. “Ini selalu menjadi peran penaksir asuransi, tentu saja, dan bisnis mereka dalam banyak hal bertentangan dengan kepentingan organisasi Anda setelah debu mereda dari serangan dunia maya.”
Yang mengatakan, organisasi seharusnya tidak mengharapkan pembayaran untuk kebijakan dan praktik keamanan siber yang buruk, catatnya.
Sementara kasus Travelers secara khusus tentang kontrol keamanan MFA tunggal, perusahaan asuransi dapat memodifikasi ketergantungan penjamin emisi mereka pada pengesahan diri tanpa beberapa jenis verifikasi pihak ketiga pada kontrol keamanan lainnya di masa mendatang, catat Jess Burn, seorang analis senior di Forrester Research .
“Gugatan hukum dan pencabutan pertanggungan, pemanggilan tertanggung dan pemegang polis atas kebohongan kecil yang mereka ceritakan, atau penghilangan detail tentang bagaimana mereka dilindungi dalam praktik aman mereka” tampaknya menjadi tren yang sedang berkembang, kata Burn.
Salah satu opsi untuk menghilangkan pertanyaan tentang apakah suatu perusahaan menerapkan kontrol keamanan adalah untuk memberikan dukungan terverifikasi, tambahnya. Bahkan jika transparansi tidak diperlukan, memberikan verifikasi pihak ketiga bahwa kontrol sudah ada untuk MFA, manajemen risiko pihak ketiga, deteksi titik akhir, atau salah satu dari segudang kontrol keamanan harus menghilangkan kesalahpahaman atau kekhawatiran sebelum kebijakan dibuat. diterbitkan.
Berkembang Asuransi Cyber
Sementara implementasi teknologi dan keamanan berubah dari waktu ke waktu, perusahaan asuransi dunia maya mengevaluasi kembali kontrol underwriting mereka setiap tahun, catat Marc Schein, ketua bersama Cyber Center for Excellence di Marsh McLennan Agency, broker asuransi terbesar di dunia. Tidak seperti polis asuransi kecelakaan biasa, yang memiliki riwayat statistik yang sangat luas untuk penjamin emisi, asuransi dunia maya masih dianggap sebagai bidang yang baru lahir dan penjamin emisi masih menyempurnakan algoritme dan analisis mereka untuk mendapatkan risiko harga terbaik.
Salah satu area di mana penjamin emisi sangat bergantung pada pengesahan diri dari perusahaan mengenai profil risiko mereka adalah kontrol: kontrol apa yang mereka miliki, seberapa baik konfigurasinya, dan efektivitasnya. Kadang-kadang, lanjut Schein, penjamin emisi mungkin memerlukan prospek asuransi untuk menjalani evaluasi seperti uji penetrasi. Jika tes kembali dengan hasil yang sangat berbeda dari yang diantisipasi - misalnya, jika 100 pelabuhan terbuka yang menurut prospek ditutup - perusahaan asuransi kemungkinan akan berdiskusi tentang pelabuhan terbuka tersebut, serta pengesahan lainnya, untuk menentukan apakah perusahaan sengaja berusaha menyembunyikan masalah atau apakah ada kesalahan yang tidak disengaja.
CISO enggan menjawab pertanyaan tentang aplikasi yang mungkin membuat penjamin emisi membutuhkan investasi yang signifikan untuk mengurangi masalah sebelum asuransi disetujui, kata Schein. Jika sebuah perusahaan menunjukkan rencananya untuk berinvestasi dalam upaya mitigasi tetapi proyek tersebut tidak diharapkan selesai sampai setelah tanggal berlakunya asuransi, perusahaan asuransi dapat berkompromi dengan mengikat aplikasi tetapi membatasi pertanggungan aktual hingga persentase dari batas polis. — mungkin 10% dari batas cakupan polis $1 juta — hingga upaya perbaikan selesai.
"Sungguh luar biasa bahwa operator asuransi menolak untuk menguji, memeriksa, atau terlibat dalam pengendalian kerugian saat penjaminan emisi," catat pengacara Godes. "Mungkin mereka percaya bahwa mereka bisa menarik permadani keluar dari bawah pemegang polis yang tidak sadar, mengandalkan pembatalan untuk menghindari menutupi risiko yang bisa diperiksa sendiri oleh perusahaan asuransi."
Godes tidak setuju dengan gagasan bahwa perusahaan asuransi dunia maya hanya menyesuaikan kembali prosedur penjaminan emisi mereka. “Industri membuat semakin menantang untuk menanggapi aplikasi mereka,” catatnya, “dan terus ada keanehan dalam aplikasi.”
“Menurut pengalaman saya,” katanya, “satu-satunya penyelidikan [oleh perusahaan asuransi dunia maya] adalah upaya untuk mencari tahu bagaimana operator dapat membatalkan pertanggungan, atau mengancam untuk melakukannya, daripada mencari tahu apakah klaim tersebut ditanggung dan bagaimana seharusnya diselesaikan.”
