고객이 보험 애플리케이션에서 오도했다고 주장하는 사이버 보험 회사의 무효화 소송은 잠재적으로 보험자가 보험 애플리케이션에 대한 자체 증명 청구를 평가하는 방법을 변경하는 길을 열 수 있습니다.
사례 — Travelers Property Casualty Company of America v. International Control Services Inc.(ICS) — ICS가 전자제품 제조업체가 MFA(다단계 인증)를 시행했다고 주장하는 사건에 달려 있습니다. 정책을 신청했습니다. XNUMX월에 회사는 랜섬웨어 공격을 받았습니다. 포렌식 조사관은 MFA가 없다고 판단했기 때문에 Travelers는 청구에 대해 책임을 지지 않아야 한다고 주장했습니다.
이 사건(No. 22-cv-2145)은 6월 XNUMX일 미국 일리노이주 중부지방법원에 접수되었습니다. XNUMX월 말에 소송 당사자들은 계약을 무효화하는 데 동의하여 ICS가 보험을 보장받기 위한 노력을 끝냈습니다. 그것의 손실.
이 사건은 여행자가 법원 제출에서 "여행자가 감수한 위험 및/또는 위험의 수락에 중대한 영향을 미쳤다"는 허위 진술을 유지했다는 점에서 이례적이었습니다.
고객을 법정으로 데려가는 것은 보험 회사가 단순히 청구를 거부하는 다른 유사한 사례와는 다른 일이지만, 워싱턴 DC에 기반을 둔 법률 회사인 Barnes & Thornburg LLP의 파트너인 Scott Godes는 거의 유일한 사례가 아니라고 말했습니다.
“저는 지난 몇 년 동안 이 문제가 부글부글 끓어오르는 것을 보았습니다. 제 관점에서 보험회사는 이 시장을 어려운 시장으로 만들었습니다. 보험료 인상 및 한도 인하 — 그리고 그것은 보도를 철회함으로써 그들이 핵 옵션을 선택하도록 용기를 주었습니다.”라고 Godes는 말합니다.
예일 로스쿨 정보 사회 프로젝트의 객원 연구원이자 예일 로스쿨 개인 정보 보호 연구소 설립자인 Sean O'Brien은 보안이 사전 예방적이어서 각각의 성공적인 공격에 단순히 대응하는 것이 아니라 가능한 위반이 발생하기 전에 막아야 한다고 말합니다.
O'Brien은 "보험 업계는 사이버 보안 청구가 증가함에 따라 수익을 방어하고 가능하면 환급을 피하면서 점점 더 까다로워질 것입니다."라고 말했습니다. "물론 이것은 항상 보험 사정인의 역할이었고 그들의 사업은 사이버 공격으로 먼지가 가라앉은 후 여러 면에서 조직의 이익에 적대적입니다."
즉, 조직은 지불금을 기대 열악한 사이버 보안 정책 및 관행에 대해 그는 지적합니다.
Travelers 사례는 특히 단일 MFA 보안 제어에 관한 것이었지만, 보험 회사는 앞으로 다른 보안 제어에 대한 일종의 제XNUMX자 검증 없이 자체 증명에 대한 보험업자의 의존도를 수정할 수 있다고 Forrester Research의 선임 분석가인 Jess Burn은 말합니다. .
번은 “소송과 보장 철회, 보험 가입자와 보험 계약자가 말한 작은 거짓말에 대한 호출, 또는 안전한 관행에서 어떻게 보호되는지에 대한 세부 정보 누락”이 떠오르는 추세라고 Burn은 말합니다.
회사가 다음과 같은지 여부에 대한 질문을 제거하는 한 가지 옵션 보안 제어 구현 검증된 지원을 제공하는 것이라고 그녀는 덧붙입니다. 투명성이 필요하지 않더라도 MFA, 제XNUMX자 위험 관리, 엔드포인트 감지 또는 무수한 보안 제어에 대한 제어가 있는지 제XNUMX자 검증을 제공하면 정책이 적용되기 전에 오해나 우려를 제거해야 합니다. 발행 된.
진화하는 사이버 보험
기술 및 보안 구현은 시간이 지남에 따라 변화하지만 사이버 보험 회사는 매년 언더라이팅 통제를 재평가한다고 세계 최대 보험 중개업체인 Marsh McLennan Agency의 Cyber Center for Excellence 국가 공동 의장인 Marc Schein은 말합니다. 보험사에 대한 매우 광범위한 통계 기록이 있는 일반적인 상해 보험 정책과 달리 사이버 보험은 여전히 초기 분야로 간주되며 보험사에서는 최상의 가격 위험을 위해 알고리즘과 분석을 완성하고 있습니다.
보험업자가 위험 프로필과 관련하여 회사의 자체 증명에 크게 의존하는 영역 중 하나는 제어 기능입니다. 즉, 어떤 제어 기능이 있는지, 얼마나 잘 구성되어 있는지, 효과가 있는지 등입니다. 때때로 Schein은 보험업자가 보험 잠재 고객에게 침투 테스트와 같은 평가를 받도록 요구할 수 있다고 말했습니다. 테스트 결과가 예상과 크게 다른 경우(예: 잠재 고객이 닫았다고 말한 포트가 100개 열려 있는 경우) 보험 회사는 이러한 열린 포트 및 기타 증명에 대해 논의하여 다음을 결정합니다. 회사는 의도적으로 문제를 숨기거나 우발적인 오류가 있는지 여부를 숨기려고 했습니다.
CISO는 보험이 승인되기 전에 보험사가 문제를 완화하기 위해 상당한 투자를 요구하게 할 수 있는 애플리케이션에 대한 질문에 대답하기를 꺼린다고 Schein은 말합니다. 회사가 완화 노력에 투자할 계획이라고 표시했지만 보험이 발효된 날짜 이후까지 프로젝트가 완료되지 않을 것으로 예상되는 경우 보험사는 애플리케이션을 구속하지만 실제 적용 범위를 정책 한도의 비율로 제한함으로써 타협할 수 있습니다. — 교정 노력이 완료될 때까지 정책의 $10만 보장 한도의 1% 정도.
Godes 변호사는 “보험회사가 인수할 때 테스트, 검사 또는 손실 통제를 거부한다는 것은 놀라운 일입니다.”라고 말합니다. "어쩌면 그들은 보험사가 스스로 조사할 수 있었던 위험을 담보하지 않기 위해 해지에 의존하면서 알지 못하는 보험 계약자 밑에서 깔개를 뽑을 수 있다고 믿을 수도 있습니다."
Godes는 사이버 보험사가 단순히 인수 절차를 재조정하고 있다는 생각에 동의하지 않습니다. "업계는 그들의 애플리케이션에 대응하는 것을 점점 더 어렵게 만들고 있습니다."라고 그는 지적합니다. "그리고 애플리케이션에는 계속해서 변화가 있습니다."
"내 경험에 따르면 [사이버 보험사에 의한] 유일한 조사는 청구가 보장되는지, 어떻게 해야 하는지를 파악하는 것이 아니라 보험사가 어떻게 보장을 취소하거나 그렇게 하겠다고 위협할 수 있는지 파악하려는 노력입니다. 해결되라.”
