Een nietig verklaarde rechtszaak van een cyberverzekeraar die beweert dat zijn klant hem heeft misleid bij zijn verzekeringsaanvraag, zou mogelijk de weg kunnen vrijmaken voor verandering in de manier waarop verzekeraars zelfattesteringsclaims op verzekeringsaanvragen beoordelen.
De zaak – Travellers Property Casualty Company of America tegen International Control Services Inc. (ICS) – draaide om de bewering dat ICS over multifactor-authenticatie (MFA) beschikte toen de elektronicafabrikant een polis aangevraagd. In mei kreeg het bedrijf te maken met een ransomware-aanval. Forensische onderzoekers stelden vast dat er geen sprake was van een MFA, dus stelde Travellers dat het niet aansprakelijk mocht zijn voor de claim.
De zaak (nr. 22-cv-2145) werd op 6 juli ingediend bij de Amerikaanse districtsrechtbank voor het centrale district van Illinois. Eind augustus kwamen de procederende partijen overeen het contract nietig te verklaren, waarmee een einde kwam aan de pogingen van ICS om dekking te krijgen van haar verzekeraar. zijn verliezen.
Deze zaak was ongebruikelijk omdat Travellers in de gerechtelijke procedure de onjuiste voorstelling van zaken handhaafde “die de aanvaarding van het risico en/of gevaar dat Travellers aanvaardde wezenlijk beïnvloedde”.
Een cliënt voor de rechter dagen is een afwijking van andere soortgelijke gevallen waarin een verzekeringsmaatschappij de claim eenvoudigweg heeft afgewezen, maar dit is nauwelijks uniek, zegt Scott Godes, partner bij Barnes & Thornburg LLP, een advocatenkantoor gevestigd in Washington, D.C..
“Ik heb dit probleem de afgelopen jaren zien opborrelen. Vanuit mijn perspectief hebben verzekeraars dit tot een harde markt gemaakt – premies verhogen en limieten verlagen – en dat heeft hen aangemoedigd om voor de nucleaire optie te kiezen door de dekking in te trekken”, zegt Godes.
Beveiliging moet proactief zijn en mogelijke inbreuken stoppen voordat ze zich voordoen, in plaats van eenvoudigweg te reageren op elke succesvolle aanval, merkt Sean O’Brien op, gastonderzoeker bij het Information Society Project aan de Yale Law School en de oprichter van Privacy Lab aan de Yale Law School.
“De verzekeringssector zal waarschijnlijk steeds kieskeuriger worden naarmate de claims op het gebied van cyberbeveiliging toenemen, waardoor hun bedrijfsresultaten worden verdedigd en waar mogelijk terugbetaling wordt vermeden”, zegt O’Brien. “Dit is natuurlijk altijd de rol van verzekeringsexperts geweest, en hun activiteiten zijn in veel opzichten in strijd met de belangen van uw organisatie nadat het stof is neergedaald na een cyberaanval.”
Dat gezegd hebbende, zouden organisaties dat niet moeten doen verwacht een uitbetaling voor slecht cyberbeveiligingsbeleid en -praktijken, merkt hij op.
Hoewel de Travellers-zaak specifiek ging over de enkele MFA-veiligheidscontrole, zouden verzekeringsmaatschappijen in de toekomst de afhankelijkheid van hun verzekeraars op zelfattesten kunnen wijzigen zonder enige vorm van verificatie door derden van andere veiligheidscontroles, merkt Jess Burn op, een senior analist bij Forrester Research. .
“De rechtszaken en het intrekken van de dekking, het aanspreken van verzekerden en polishouders op kleine leugens die ze vertelden, of het weglaten van details over hoe ze beschermd worden in hun veilige praktijken” lijken een opkomende trend te zijn, zegt Burn.
Eén optie om alle vragen over de vraag of een bedrijf dat is, weg te nemen het implementeren van beveiligingscontroles is om geverifieerde ondersteuning te bieden, voegt ze eraan toe. Zelfs als de transparantie niet vereist is, zou het bieden van verificatie door een derde partij dat er controles zijn uitgevoerd op MFA, risicobeheer door derden, eindpuntdetectie of een van de talloze beveiligingscontroles, elk misverstand of bezorgdheid kunnen wegnemen voordat het beleid wordt ingevoerd. uitgegeven.
Evoluerende cyberverzekeringen
Hoewel technologie en beveiligingsimplementaties in de loop van de tijd veranderen, evalueren cyberverzekeringsmaatschappijen jaarlijks hun acceptatiecontroles opnieuw, merkt Marc Schein op, nationaal covoorzitter van het Cyber Center for Excellence bij Marsh McLennan Agency, ‘s werelds grootste verzekeringsmakelaar. In tegenstelling tot gewone ongevallenverzekeringspolissen, die een zeer uitgebreide statistische geschiedenis voor verzekeraars hebben, wordt cyberverzekering nog steeds beschouwd als een opkomend vakgebied en zijn verzekeraars nog steeds bezig met het perfectioneren van hun algoritmen en analyses om het prijsrisico zo laag mogelijk te houden.
Eén gebied waarop verzekeraars sterk afhankelijk zijn van zelfverklaringen van bedrijven over hun risicoprofiel zijn de controles: welke controles zij hebben ingevoerd, hoe goed ze zijn geconfigureerd en hun effectiviteit. Soms, zo vervolgde Schein, kan een verzekeraar van een verzekeringsprospect eisen dat hij of zij evaluaties zoals een penetratietest ondergaat. Mocht de test een aanzienlijk ander resultaat opleveren dan verwacht – bijvoorbeeld als er 100 poorten open zijn waarvan de prospect zei dat ze gesloten waren – dan zou de verzekeringsmaatschappij waarschijnlijk een discussie voeren over die open poorten, evenals over andere attesten, om te bepalen of het bedrijf probeerde opzettelijk een probleem te verbergen of dat er een onbedoelde fout was.
CISO's zijn terughoudend in het beantwoorden van vragen over aanvragen die ertoe kunnen leiden dat de verzekeraar aanzienlijke investeringen nodig heeft om het probleem te verzachten voordat de verzekering wordt goedgekeurd, zegt Schein. Als een bedrijf aangeeft van plan te zijn te investeren in de mitigatie-inspanningen, maar het project zal naar verwachting pas worden voltooid na de datum waarop de verzekering van kracht wordt, kan de verzekeraar een compromis sluiten door de aanvraag te binden, maar de feitelijke dekking te beperken tot een percentage van de polislimieten. – misschien 10% van de dekkingslimiet van $ 1 miljoen van een polis – totdat de herstelinspanningen voltooid zijn.
“Het is opmerkelijk dat verzekeraars weigeren te testen, inspecteren of zich bezighouden met verliesbeheersing bij het afsluiten van verzekeringen”, merkt advocaat Godes op. “Misschien geloven ze dat ze gewoon het kleed onder de onbewuste polishouders vandaan kunnen trekken, waarbij ze vertrouwen op een intrekking om te voorkomen dat ze risico’s dekken die de verzekeraars zelf hadden kunnen inspecteren.”
Godes is niet overtuigd van het idee dat cyberverzekeraars simpelweg hun acceptatieprocedures aanpassen. “De industrie maakt het steeds uitdagender om op hun aanvragen te reageren”, merkt hij op, “en er blijven grillen in de aanvragen bestaan.”
“In mijn ervaring”, zegt hij, “is het enige onderzoek [door cyberverzekeraars] een poging om erachter te komen hoe de vervoerder de dekking kan intrekken, of daarmee kan dreigen, in plaats van uit te zoeken of de claim gedekt is en hoe deze moet worden gedekt. worden beslecht."
