Gli assicuratori informatici reprimono l'autocertificazione dei controlli di sicurezza da parte dei clienti

Una causa annullata da una compagnia di assicurazioni informatiche che afferma che il suo cliente l'ha ingannata sulla sua domanda di assicurazione potrebbe potenzialmente aprire la strada a cambiare il modo in cui i sottoscrittori valutano le richieste di autocertificazione sulle domande di assicurazione.

Il caso - Travellers Property Casualty Company of America v. International Control Services Inc. (ICS) - dipendeva da ICS che affermava di disporre dell'autenticazione a più fattori (MFA) quando il produttore di elettronica chiesto una polizza. A maggio la società ha subito un attacco ransomware. Gli investigatori forensi hanno stabilito che non esisteva l'AMF, quindi Travellers ha affermato che non dovrebbe essere responsabile per il reclamo. 

Il caso (n. 22-cv-2145) è stato depositato presso il tribunale distrettuale degli Stati Uniti per il distretto centrale dell'Illinois il 6 luglio. le sue perdite.

Questo caso era insolito in quanto Travellers sosteneva che la falsa dichiarazione "influiva materialmente sull'accettazione del rischio e/o del pericolo assunto dai Travellers" nel deposito in tribunale.

Portare un cliente in tribunale è un allontanamento da altri casi simili in cui una compagnia di assicurazioni ha semplicemente negato il reclamo, ma non è affatto unico, ha affermato Scott Godes, partner di Barnes & Thornburg LLP, uno studio legale con sede a Washington, DC. 

“Ho visto questo problema ribollire negli ultimi anni. Dal mio punto di vista, le compagnie assicurative hanno reso questo mercato difficile — aumentare i premi e abbassare i massimali - e questo li ha incoraggiati a scegliere l'opzione nucleare revocando la copertura ", afferma Godes.

La sicurezza dovrebbe essere proattiva, bloccando possibili violazioni prima che si verifichino piuttosto che limitarsi a rispondere a ogni attacco riuscito, osserva Sean O'Brien, visiting fellow presso l'Information Society Project presso la Yale Law School e fondatore del Privacy Lab presso la Yale Law School.

"È probabile che il settore assicurativo diventi sempre più perspicace con l'aumento delle richieste di risarcimento per la sicurezza informatica, difendendo i propri profitti ed evitando i rimborsi ove possibile", afferma O'Brien. "Questo è sempre stato il ruolo dei periti assicurativi, ovviamente, e la loro attività è per molti versi contraria agli interessi della tua organizzazione dopo che la polvere si è depositata da un attacco informatico".

Detto questo, le organizzazioni non dovrebbero aspettati una vincita per cattive politiche e pratiche di sicurezza informatica, osserva.

Mentre il caso Travellers riguardava specificamente il singolo controllo di sicurezza MFA, le compagnie assicurative potrebbero modificare la dipendenza dei loro sottoscrittori dall'autocertificazione senza un qualche tipo di verifica di terze parti su altri controlli di sicurezza in futuro, osserva Jess Burn, analista senior presso Forrester Research .

"Le azioni legali e la rescissione della copertura, il richiamo dell'assicurato e degli assicurati su piccole frottole che hanno raccontato, o l'omissione di dettagli su come sono protetti nelle loro pratiche sicure" sembrano essere una tendenza emergente, dice Burn.

Un'opzione per eliminare qualsiasi domanda sul fatto che un'azienda lo sia implementare i controlli di sicurezza è quello di fornire un supporto verificato, aggiunge. Anche se la trasparenza non è richiesta, fornire una verifica di terze parti che i controlli siano in atto per MFA, gestione dei rischi di terze parti, rilevamento degli endpoint o uno qualsiasi della miriade di controlli di sicurezza dovrebbe eliminare qualsiasi malinteso o preoccupazione prima che la politica venga adottata rilasciato.

Assicurazione informatica in evoluzione

Mentre le implementazioni della tecnologia e della sicurezza cambiano nel tempo, le compagnie di assicurazione informatica rivalutano i loro controlli di sottoscrizione ogni anno, osserva Marc Schein, co-presidente nazionale del Cyber ​​Center for Excellence presso Marsh McLennan Agency, il più grande broker assicurativo del mondo. A differenza delle comuni polizze assicurative contro i danni, che hanno una storia statistica molto ampia per i sottoscrittori, l'assicurazione informatica è ancora considerata un campo nascente e i sottoscrittori stanno ancora perfezionando i loro algoritmi e analisi per il miglior rischio di prezzo.

Un'area in cui i sottoscrittori fanno molto affidamento sull'autocertificazione da parte delle aziende in merito al proprio profilo di rischio è quella dei controlli: quali controlli hanno in atto, quanto bene sono stati configurati e la loro efficacia. A volte, ha continuato Schein, un sottoscrittore potrebbe richiedere a un candidato assicurativo di sottoporsi a valutazioni come un test di penetrazione. Se il test dovesse restituire un risultato significativamente diverso da quello previsto, ad esempio se sono aperti 100 porti che il potenziale cliente ha dichiarato chiusi, la compagnia assicurativa probabilmente discuterà di quei porti aperti, nonché di altre attestazioni, per determinare se l'azienda stava deliberatamente cercando di nascondere un problema o se si è verificato un errore accidentale.

I CISO sono riluttanti a rispondere a domande su domande che potrebbero indurre il sottoscrittore a richiedere investimenti significativi per mitigare il problema prima che l'assicurazione venga approvata, afferma Schein. Se un'azienda indica che intende investire negli sforzi di mitigazione ma il progetto non dovrebbe essere completato fino a dopo la data in cui l'assicurazione diventa effettiva, l'assicuratore potrebbe scendere a compromessi vincolando la domanda ma limitando la copertura effettiva a una percentuale dei limiti della polizza - forse il 10% del limite di copertura di $ 1 milione di una polizza - fino al momento in cui gli sforzi di riparazione non saranno completati.

"È straordinario che le compagnie assicurative si rifiutino di testare, ispezionare o impegnarsi nel controllo delle perdite durante la sottoscrizione", osserva l'avvocato Godes. "Forse credono di poter semplicemente tirare fuori il tappeto da sotto gli assicurati ignari, facendo affidamento sulla rescissione per evitare di coprire i rischi che gli assicuratori avrebbero potuto ispezionare da soli".

A Godes non piace l'idea che gli assicuratori informatici stiano semplicemente riadattando le loro procedure di sottoscrizione. "L'industria sta rendendo sempre più difficile rispondere alle loro applicazioni", osserva, "e continuano a esserci capricci nelle applicazioni".

"In base alla mia esperienza", afferma, "l'unica indagine [da parte degli assicuratori informatici] è uno sforzo per capire come il vettore può revocare la copertura o minacciare di farlo, piuttosto che capire se il reclamo è coperto e come dovrebbe essere sistemato”.