תביעה מבוטלת של חברת ביטוח סייבר בטענה שלקוחה הטעה אותה ביישום הביטוח שלה עשויה לסלול את הדרך לשנות את האופן שבו החתמים מעריכים תביעות אישור עצמי על בקשות ביטוח.
התיק - Travelers Property Casualty Company of America נגד International Control Services Inc. (ICS) - תלוי ב-ICS בטענה שהיה לה אימות רב-גורמי (MFA) כאשר יצרן האלקטרוניקה הגיש בקשה לפוליסה. בחודש מאי חוותה החברה מתקפת תוכנת כופר. חוקרי זיהוי פלילי קבעו שאין MFA במקום, ולכן טרוולרס טענו כי אין לה אחריות לתביעה.
התיק (מס' 22-cv-2145) הוגש לבית המשפט המחוזי בארה"ב עבור המחוז המרכזי של אילינוי ב-6 ביולי. בסוף אוגוסט הסכימו בעלי הדין לבטל את החוזה, מה שסיים את מאמציה של ICS לכסות את המבטח שלה. ההפסדים שלה.
מקרה זה היה יוצא דופן בכך שמטיילים שמרו על מצג השווא "השפיע מהותית על קבלת הסיכון ו/או המפגע שנטלו על עצמם מטיילים" בהגשת בית המשפט.
פנייה של לקוח לבית המשפט היא חריגה ממקרים דומים אחרים שבהם חברת ביטוח פשוט דחתה את התביעה, אבל זה כמעט ולא ייחודי, אמר סקוט גודס, שותף ב-Barnes & Thornburg LLP, משרד עורכי דין מוושינגטון הבירה.
"ראיתי את הנושא הזה מבעבע במהלך השנים האחרונות. מנקודת המבט שלי, חברות הביטוח הפכו את זה לשוק קשה - העלאת פרמיות והורדת גבולות - וזה חיזק אותם לבחור באופציה הגרעינית על ידי ביטול הסיקור", אומר גודס.
האבטחה צריכה להיות פרואקטיבית, לעצור הפרות אפשריות לפני שהן מתרחשות במקום פשוט להגיב לכל התקפה מוצלחת, מציין שון אובריאן, עמית אורח בפרויקט חברת המידע בבית הספר למשפטים של ייל ומייסד מעבדת הפרטיות בבית הספר למשפטים של ייל.
"תעשיית הביטוח צפויה להפוך ליותר ויותר מטומטמת ככל שתביעות אבטחת סייבר עולות, להגן על השורה התחתונה שלהן ולהימנע מהחזר בכל מקום אפשרי", אומר או'בריאן. "זה תמיד היה תפקידם של מתאמי ביטוח, כמובן, והעסק שלהם נוגד במובנים רבים את האינטרסים של הארגון שלך לאחר שהאבק שוקע ממתקפת סייבר."
עם זאת, ארגונים לא צריכים מצפה לתשלום על מדיניות ונהלי אבטחת סייבר לקויים, הוא מציין.
בעוד מקרה המטיילים היה ספציפית על בקרת האבטחה היחידה של MFA, חברות הביטוח עשויות לשנות את הסתמכות החתמים שלהן על אישור עצמי ללא סוג כלשהו של אימות צד שלישי על בקרות אבטחה אחרות בעתיד, מציינת ג'ס ברן, אנליסטית בכירה ב-Forrester Research. .
"התביעות וביטול הכיסוי, ההתקשרות של המבוטחים והמבוטחים על קשקושים קטנים שהם סיפרו, או השמטת פרטים על האופן שבו הם מוגנים בפרקטיקות המאובטחות שלהם" נראים כמגמה מתהווה, אומר ברן.
אפשרות אחת לבטל את כל השאלות לגבי האם חברה היא יישום בקרות אבטחה היא לספק תמיכה מאומתת, היא מוסיפה. גם אם השקיפות אינה נדרשת, מתן אימות של צד שלישי לכך שקיימים בקרות עבור MFA, ניהול סיכונים של צד שלישי, זיהוי נקודות קצה, או כל אחד משלל בקרות האבטחה אמורה לבטל כל אי הבנה או חששות לפני ביצוע המדיניות הפיקו.
ביטוח סייבר מתפתח
בעוד שיישומי טכנולוגיה ואבטחה משתנים עם הזמן, חברות ביטוח סייבר מעריכות מחדש את בקרות החיתום שלהן מדי שנה, מציין מארק שיין, יו"ר משותף לאומי במרכז הסייבר למצוינות בסוכנות מארש מקלן, סוכן הביטוח הגדול בעולם. בניגוד לפוליסות ביטוח נפגעים נפוצות, שיש להן היסטוריה סטטיסטית נרחבת מאוד עבור חתמים, ביטוח סייבר עדיין נחשב לתחום בהתהוות והחתמים עדיין משכללים את האלגוריתמים והניתוח שלהם לסיכון המחיר הטוב ביותר.
תחום אחד שבו החתמים מסתמכים במידה רבה על אישור עצמי של חברות בנוגע לפרופיל הסיכון שלהם הוא בקרות: אילו בקרות יש להם, כמה טוב הם הוגדרו והיעילות שלהם. לפעמים, המשיך שיין, חתם עשוי לדרוש פוטנציאל ביטוחי לעבור הערכות כגון בדיקת חדירה. אם הבדיקה תחזור עם תוצאה שונה משמעותית מהצפוי - למשל, אם 100 נמלים פתוחים שהלקוח הפוטנציאלי אמר שהם סגורים - סביר להניח שחברת הביטוח תקיים דיון על אותם נמלים פתוחים, כמו גם אישורים אחרים, כדי לקבוע אם החברה ניסתה בכוונה להסתיר בעיה או אם הייתה שגיאה מקרית.
CISOs אינם ששים לענות על שאלות על בקשות שעלולות להוביל את החתם לדרוש השקעות משמעותיות כדי למתן את הבעיה לפני אישור הביטוח, אומר שיין. אם חברה מציינת כי היא מתכננת להשקיע במאמצי ההפחתה אך הפרויקט לא צפוי להסתיים עד לאחר מועד כניסת הביטוח לתוקף, המבטח עשוי להתפשר על ידי כובלת הבקשה אך הגבלת הכיסוי בפועל לאחוז ממגבלות הפוליסה. - אולי 10% ממגבלת הכיסוי של מיליון דולר בפוליסה - עד למועד שבו יסתיימו מאמצי התיקון.
"זה מדהים שחברות ביטוח מסרבות לבדוק, לבדוק או לעסוק בבקרת אובדן בעת חיתום", מציין עו"ד גודס. "אולי הם מאמינים שהם יכולים פשוט לשלוף את השטיח מלמטה מבוטחים לא מודעים, תוך הסתמכות על ביטול כדי להימנע מכיסוי סיכונים שהמבטחים יכלו לבדוק בעצמם".
גודס לא נמכרת על הרעיון שמבטחי סייבר פשוט מתקנים מחדש את הליכי החיתום שלהם. "התעשייה הופכת את זה ליותר ויותר מאתגר להגיב לבקשות שלהם", הוא מציין, "וממשיכים להיות גחמות באפליקציות".
"מניסיוני", הוא אומר, "החקירה היחידה [על ידי מבטחי סייבר] היא מאמץ להבין כיצד הספק יכול לבטל את הכיסוי, או לאיים לעשות זאת, במקום להבין אם התביעה מכוסה וכיצד כדאי להיות מסודר."
