顧客が保険申込書で誤解を招いたと主張するサイバー保険会社からの訴訟が無効になったことで、引受業者が保険申込書の自己証明請求を評価する方法を変える道が開かれる可能性があります。
この事件 — Travelers Property Casualty Company of America v. International Control Services Inc. (ICS) — は、電子機器メーカーが多要素認証 (MFA) を導入していたと主張する ICS にかかっていました。 ポリシーを適用した. XNUMX 月に同社はランサムウェア攻撃を受けました。 フォレンジック調査官は、MFA が導入されていないと判断したため、Travelers は、この請求に対して責任を負うべきではないと主張しました。
この訴訟 (No. 22-cv-2145) は、6 月 XNUMX 日にイリノイ州中部地区連邦地方裁判所に提起されました。その損失。
このケースは、トラベラーが裁判所への提出書類で「トラベラーが想定するリスクおよび/または危険の受容に重大な影響を与えた」という不実表示を維持したという点で珍しいものでした。
クライアントを法廷に連れて行くことは、保険会社が単に請求を拒否する他の同様のケースとは一線を画すものですが、これは珍しいことではないと、ワシントン DC に本拠を置く法律事務所である Barnes & Thornburg LLP のパートナーである Scott Godes 氏は述べています。
「私は、この問題がここ数年で沸き起こっているのを見てきました。 私の見解では、保険会社はこれを困難な市場にしています — 保険料の引き上げと制限の引き下げ —そしてそれが、報道を撤回することで核の選択肢を選択するように彼らを勇気づけました」とゴデスは言います。
イェール大学ロー スクールの情報社会プロジェクトの客員研究員であり、イェール大学ロー スクールのプライバシー ラボの創設者であるショーン オブライエン氏は、セキュリティはプロアクティブであり、攻撃が成功するたびに単純に対応するのではなく、侵害の可能性を事前に阻止する必要があると述べています。
「保険業界は、サイバーセキュリティの請求が増加するにつれて、ますます執拗になり、収益を守り、可能な限り払い戻しを回避する可能性があります」とオブライエンは言います。 「もちろん、これは常に保険査定人の役割であり、彼らのビジネスは多くの点で、サイバー攻撃からの混乱が収まった後、組織の利益に敵対しています。」
とはいえ、組織はすべきではありません 配当を期待する サイバーセキュリティのポリシーと慣行が不十分であると彼は指摘します。
トラベラーズのケースは、特に単一の MFA セキュリティ コントロールに関するものでしたが、保険会社は、今後、他のセキュリティ コントロールに関する第三者による検証を行わずに、引受会社の自己証明への依存を変更する可能性があると、Forrester Research のシニア アナリストである Jess Burn 氏は述べています。 .
「訴訟や補償の取り消し、保険加入者や保険契約者が話した小さな虚偽についての呼びかけ、または安全な慣行でどのように保護されているかについての詳細の省略」は、新たな傾向のように見える.
会社が正しいかどうかについての疑問を解消するための XNUMX つの選択肢 セキュリティ管理の実装 検証済みのサポートを提供することです、と彼女は付け加えます。 透明性が必要ない場合でも、MFA、サードパーティのリスク管理、エンドポイントの検出、または無数のセキュリティ制御のいずれかに対する制御が実施されていることを第三者が検証することで、ポリシーが適用される前に誤解や懸念が解消されるはずです。発行済み。
進化するサイバー保険
テクノロジーとセキュリティの実装は時間の経過とともに変化しますが、サイバー保険会社は毎年引受管理を再評価していると、世界最大の保険ブローカーであるマーシュ マクレナン エージェンシーのサイバー センター フォー エクセレンスの全国共同議長であるマーク シャインは述べています。 引受業者にとって非常に広範な統計の歴史を持つ一般的な損害保険とは異なり、サイバー保険はまだ初期の分野と見なされており、引受業者はアルゴリズムと分析を最適な価格リスクに向けて完成させています.
引受業者がリスクプロファイルに関して企業からの自己証明に大きく依存している領域の 100 つは、コントロールです。どのようなコントロールが実施されているか、どのように適切に構成されているか、およびその有効性です。 シャイン氏は、引受業者が保険の見込み客に侵入テストなどの評価を受けるよう要求する場合があると続けました。 テストが予想と大幅に異なる結果を返した場合 (たとえば、見込み客が閉鎖したと述べたポートが XNUMX 個開いている場合)、保険会社はおそらく、それらの開いているポートやその他の証明について話し合い、会社は故意に問題を隠そうとしたり、偶発的なエラーがあったかどうかを隠したりしました。
CISO は、保険が承認される前に問題を軽減するために引受業者が多額の投資を必要とする可能性のあるアプリケーションに関する質問に答えるのをためらっています、と Schein は言います。 企業が緩和への取り組みに投資する計画を示しているが、保険が発効する日までプロジェクトが完了しないと予想される場合、保険会社は申請書を拘束することで妥協する可能性がありますが、実際の補償範囲は保険契約の制限のパーセンテージに制限されます。 — おそらく保険契約の補償限度額である 10 万ドルの 1% — 修復作業が完了するまで。
「保険会社が保険引受時にテスト、検査、または損失管理を拒否することは驚くべきことです」とゴデス弁護士は述べています。 「おそらく彼らは、保険会社が独自に調査した可能性のあるリスクをカバーすることを避けるために解約に頼って、無知な保険契約者の下から敷物を引き出すことができると信じている.
Godes 氏は、サイバー保険会社が単に保険引受手続きを再調整しているだけだという考えを信じているわけではありません。 「業界は彼らの申請に対応することをますます難しくしている」と彼は指摘する。
「私の経験では、[サイバー保険会社による]唯一の調査は、請求が補償されているかどうか、また補償の方法を理解することではなく、保険会社が補償を取り消す方法、またはそうすると脅迫する方法を理解することです」と彼は言います。解決する。」
