Et ugyldig søksmål fra et cyberforsikringsselskap som hevder at kunden villedet den på forsikringssøknaden sin, kan potensielt bane vei for å endre hvordan forsikringsgivere vurderer krav om selvattest på forsikringssøknader.
Saken – Travelers Property Casualty Company of America v. International Control Services Inc. (ICS) – hang sammen med ICS og hevdet at den hadde multifaktorautentisering (MFA) på plass da elektronikkprodusenten søkte om polise. I mai opplevde selskapet et løsepenge-angrep. Kriminaltekniske etterforskere slo fast at det ikke var noen MFA på plass, så Travelers hevdet at de ikke burde være ansvarlig for kravet.
Saken (nr. 22-cv-2145) ble anlagt i US District Court for Central District of Illinois den 6. juli. I slutten av august ble saksøkerne enige om å annullere kontrakten, noe som avsluttet ICS' forsøk på å få forsikringsselskapet dekket. sine tap.
Denne saken var uvanlig ved at reisende fastholdt at den feilaktige fremstillingen «vesentlig påvirket aksepten av risikoen og/eller faren reisende påtok seg» i rettssaken.
Å ta en klient til retten er en avvik fra andre lignende saker der et forsikringsselskap rett og slett nektet kravet, men det er neppe unikt, sa Scott Godes, en partner i Barnes & Thornburg LLP, et Washington, DC-basert advokatfirma.
«Jeg har sett dette problemet boble opp de siste årene. Fra mitt perspektiv har forsikringsselskaper gjort dette til et vanskelig marked - heve premiene og senke grensene – og det har oppmuntret dem til å velge atomalternativet ved å oppheve dekningen, sier Godes.
Sikkerhet bør være proaktiv og stoppe mulige brudd før de oppstår i stedet for bare å svare på hvert vellykket angrep, bemerker Sean O'Brien, besøkende stipendiat ved Information Society Project ved Yale Law School og grunnleggeren av Privacy Lab ved Yale Law School.
"Forsikringsbransjen vil sannsynligvis bli mer og mer tullete ettersom cybersikkerhetskrav øker, og forsvarer bunnlinjen deres og unngår refusjon der det er mulig," sier O'Brien. "Dette har selvfølgelig alltid vært forsikringstilpassernes rolle, og deres virksomhet er på mange måter motstridende for organisasjonens interesser etter at støvet har lagt seg fra et nettangrep."
Når det er sagt, bør ikke organisasjoner forventer en utbetaling for dårlige retningslinjer og praksiser for nettsikkerhet, bemerker han.
Mens Traveller-saken spesifikt handlet om den enkeltstående MFA-sikkerhetskontrollen, kan forsikringsselskapene endre forsikringsselskapenes avhengighet av egenbekreftelse uten noen form for tredjepartsverifisering av andre sikkerhetskontroller fremover, bemerker Jess Burn, senioranalytiker ved Forrester Research .
"Søkesakene og opphevelsen av dekningen, utropet av de forsikrede og forsikringstakerne på små fibs som de fortalte, eller utelatelse av detaljer rundt hvordan de er beskyttet i deres sikre praksis" ser ut til å være en ny trend, sier Burn.
Ett alternativ for å eliminere eventuelle spørsmål om et selskap er implementere sikkerhetskontroller er å gi bekreftet støtte, legger hun til. Selv om åpenheten ikke er påkrevd, bør det å gi tredjepartsverifisering av at kontroller er på plass for MFA, tredjeparts risikostyring, endepunktdeteksjon eller noen av de utallige sikkerhetskontrollene eliminere enhver misforståelse eller bekymring før policyen blir satt. utstedt.
Cyberforsikring i utvikling
Mens teknologi- og sikkerhetsimplementeringer endrer seg over tid, revurderer cyberforsikringsselskaper forsikringskontrollene sine årlig, bemerker Marc Schein, nasjonal medformann ved Cyber Center for Excellence ved Marsh McLennan Agency, verdens største forsikringsmegler. I motsetning til vanlige skadeforsikringspoliser, som har en svært omfattende statistisk historie for forsikringsgivere, anses cyberforsikring fortsatt som et begynnende felt, og forsikringsgivere perfeksjonerer fortsatt sine algoritmer og analyser for å oppnå best prisrisiko.
Et område der forsikringsgivere i stor grad er avhengige av egenattestering fra selskaper angående risikoprofilen deres, er kontroller: hvilke kontroller de har på plass, hvor godt de var konfigurert og effektiviteten deres. Noen ganger, fortsatte Schein, kan en underwriter kreve at et forsikringsprospekt skal gjennomgå evalueringer som en penetrasjonstest. Skulle testen komme tilbake med et vesentlig annet resultat enn forventet - for eksempel hvis 100 porter er åpne som prospektet sa var stengt - vil forsikringsselskapet sannsynligvis ha en diskusjon om disse åpne portene, så vel som andre attester, for å avgjøre om selskapet forsøkte bevisst å skjule et problem eller om det var en utilsiktet feil.
CISOer er motvillige til å svare på spørsmål om søknader som kan føre til at forsikringsgiveren krever betydelige investeringer for å dempe problemet før forsikringen godkjennes, sier Schein. Hvis et selskap indikerer at det planlegger å investere i avbøtende innsats, men prosjektet forventes ikke å bli fullført før etter datoen forsikringen trer i kraft, kan forsikringsselskapet gå på akkord ved å binde søknaden, men begrense den faktiske dekningen til en prosentandel av forsikringens grenser — kanskje 10 % av en polises dekningsgrense på 1 million dollar — inntil utbedringsarbeidet er fullført.
"Det er bemerkelsesverdig at forsikringsselskaper nekter å teste, inspisere eller engasjere seg i tapskontroll når de underwriter," bemerker advokat Godes. "Kanskje de tror at de bare kan trekke teppet ut under uvitende forsikringstakere, og stole på heving for å unngå å dekke risikoer som forsikringsselskapene kunne ha inspisert på egenhånd."
Godes er ikke solgt på ideen om at cyberforsikringsselskaper bare justerer forsikringsprosedyrene sine. "Bransjen gjør det mer og mer utfordrende å svare på søknadene deres," bemerker han, "og det fortsetter å være luner i søknadene."
"Etter min erfaring," sier han, "er den eneste undersøkelsen [av cyberforsikringsselskaper] et forsøk på å finne ut hvordan transportøren kan trekke tilbake dekningen, eller true med å gjøre det, i stedet for å finne ut om kravet er dekket og hvordan det bør bli avgjort."
