Ubezpieczyciele cybernetyczni ograniczają samopoświadczanie kontroli bezpieczeństwa przez klientów

Unieważniony pozew złożony przez ubezpieczyciela cybernetycznego, który twierdzi, że jego klient wprowadził go w błąd przy składaniu wniosku ubezpieczeniowego, może potencjalnie utorować drogę do zmiany sposobu, w jaki ubezpieczyciele oceniają roszczenia z tytułu samopoświadczenia we wnioskach ubezpieczeniowych.

Sprawa — Travellers Property Casualty Company of America przeciwko International Control Services Inc. (ICS) — opierała się na twierdzeniu ICS, że stosowała uwierzytelnianie wieloskładnikowe (MFA), gdy producent elektroniki złożył wniosek o polisę. W maju firma doświadczyła ataku ransomware. Śledczy ustalili, że nie ma MFA, więc Travellers twierdzili, że nie powinni ponosić odpowiedzialności za roszczenie. 

Sprawa (nr 22-cv-2145) została wniesiona do Sądu Okręgowego Stanów Zjednoczonych dla Centralnego Okręgu Illinois 6 lipca. Pod koniec sierpnia strony sporu zgodziły się na unieważnienie umowy, co zakończyło starania ICS o objęcie ubezpieczeniem ubezpieczyciela jego straty.

Ta sprawa była niezwykła, ponieważ Travellers utrzymywali, że wprowadzenie w błąd „istotnie wpłynęło na akceptację ryzyka i/lub niebezpieczeństwa podjętego przez Travellers” w pozwie sądowym.

Pozywanie klienta do sądu jest odejściem od innych podobnych przypadków, w których firma ubezpieczeniowa po prostu odrzuciła roszczenie, ale nie jest to wyjątkowe, powiedział Scott Godes, partner w Barnes & Thornburg LLP, firmie prawniczej z siedzibą w Waszyngtonie. 

„Widziałem, jak ten problem narastał w ciągu ostatnich kilku lat. Z mojej perspektywy ubezpieczyciele sprawili, że jest to trudny rynek — podnoszenie składek i obniżanie limitów — i to ośmieliło ich do wybrania opcji nuklearnej poprzez rezygnację z pokrycia” – mówi Godes.

Bezpieczeństwo powinno działać proaktywnie, powstrzymując potencjalne naruszenia, zanim one wystąpią, zamiast po prostu reagować na każdy udany atak, zauważa Sean O'Brien, członek wizytujący Projektu Społeczeństwa Informacyjnego w Yale Law School i założyciel Privacy Lab w Yale Law School.

„Branża ubezpieczeniowa prawdopodobnie będzie stawać się coraz bardziej persnickity w miarę wzrostu roszczeń związanych z cyberbezpieczeństwem, broniąc swoich zysków i unikając zwrotu kosztów tam, gdzie to możliwe”, mówi O'Brien. „Oczywiście zawsze była to rola rzeczoznawców ubezpieczeniowych, a ich działalność jest pod wieloma względami sprzeczna z interesami Twojej organizacji po opadnięciu kurzu po cyberataku”.

To powiedziawszy, organizacje nie powinny spodziewać się wypłaty za słabe polityki i praktyki w zakresie cyberbezpieczeństwa, zauważa.

Podczas gdy sprawa Travellers dotyczyła w szczególności pojedynczej kontroli bezpieczeństwa MFA, firmy ubezpieczeniowe mogą modyfikować poleganie swoich ubezpieczycieli na poświadczeniu własnym bez pewnego rodzaju weryfikacji przez stronę trzecią innych kontroli bezpieczeństwa w przyszłości, zauważa Jess Burn, starszy analityk w Forrester Research .

„Pozwy sądowe i anulowanie ubezpieczenia, wzywanie ubezpieczonych i posiadaczy polis na małe kłamstwa, które powiedzieli, lub pomijanie szczegółów dotyczących tego, w jaki sposób są chronieni w swoich bezpiecznych praktykach” wydają się być pojawiającym się trendem, mówi Burn.

Jedna opcja, aby wyeliminować wszelkie pytania o to, czy firma jest wdrażanie kontroli bezpieczeństwa jest zapewnienie zweryfikowanego wsparcia – dodaje. Nawet jeśli przejrzystość nie jest wymagana, zapewnienie weryfikacji przez stronę trzecią, czy istnieją mechanizmy kontroli MFA, zarządzania ryzykiem strony trzeciej, wykrywania punktów końcowych lub dowolnej z niezliczonych kontroli bezpieczeństwa, powinno wyeliminować wszelkie nieporozumienia lub obawy przed wdrożeniem polityki wydany.

Ewolucja ubezpieczenia cybernetycznego

Podczas gdy wdrażanie technologii i zabezpieczeń zmienia się z biegiem czasu, firmy zajmujące się ubezpieczeniami cybernetycznymi co roku ponownie oceniają swoje mechanizmy kontroli ubezpieczeniowej, zauważa Marc Schein, krajowy współprzewodniczący Cyber ​​Center for Excellence w Marsh McLennan Agency, największego na świecie brokera ubezpieczeniowego. W przeciwieństwie do powszechnych polis ubezpieczeniowych od następstw nieszczęśliwych wypadków, które mają bardzo obszerną historię statystyczną dla ubezpieczycieli, ubezpieczenia cybernetyczne są nadal uważane za rodzącą się dziedzinę, a ubezpieczyciele wciąż doskonalą swoje algorytmy i analizy w celu uzyskania najlepszego ryzyka cenowego.

Jednym z obszarów, w którym ubezpieczyciele w dużym stopniu polegają na oświadczeniach własnych firm dotyczących ich profilu ryzyka, są kontrole: jakie kontrole mają na miejscu, jak dobrze zostały skonfigurowane i jaka jest ich skuteczność. Czasami, kontynuował Schein, ubezpieczyciel może wymagać od potencjalnego klienta poddania się ocenom, takim jak test penetracyjny. Gdyby test dał znacząco inny wynik niż oczekiwano – na przykład, jeśli otwartych jest 100 portów, o których potencjalny klient powiedział, że są zamknięte – firma ubezpieczeniowa prawdopodobnie przeprowadziłaby dyskusję na temat tych otwartych portów, a także innych zaświadczeń, aby ustalić, czy firma celowo próbowała ukryć problem lub czy wystąpił przypadkowy błąd.

CISO niechętnie odpowiadają na pytania dotyczące wniosków, które mogą spowodować, że ubezpieczyciel będzie wymagał znacznych inwestycji w celu złagodzenia problemu przed zatwierdzeniem ubezpieczenia, mówi Schein. Jeśli firma wskazuje, że planuje zainwestować w działania łagodzące, ale oczekuje się, że projekt nie zostanie ukończony przed datą wejścia ubezpieczenia w życie, ubezpieczyciel może pójść na kompromis, wiążąc wniosek, ale ograniczając rzeczywisty zakres ochrony do procentu limitów polisy — być może 10% limitu polisy w wysokości 1 miliona dolarów — do czasu zakończenia działań naprawczych.

„To niezwykłe, że ubezpieczyciele odmawiają testowania, sprawdzania lub angażowania się w kontrolę strat podczas zawierania ubezpieczenia” — zauważa adwokat Godes. „Może wierzą, że mogą po prostu wyciągnąć dywan spod nieświadomych ubezpieczających, opierając się na odstąpieniu od umowy, aby uniknąć pokrycia ryzyka, które ubezpieczyciele mogliby sami sprawdzić”.

Godesowi nie podoba się pomysł, że cyberubezpieczyciele po prostu dostosowują swoje procedury ubezpieczeniowe. „Branża coraz bardziej utrudnia odpowiadanie na ich aplikacje”, zauważa, „a aplikacje nadal zawierają kaprysy”.

„Z mojego doświadczenia”, mówi, „jedyne dochodzenie [prowadzone przez ubezpieczycieli cybernetycznych] polega na ustaleniu, w jaki sposób przewoźnik może unieważnić ochronę lub grozić, że to zrobi, zamiast dowiedzieć się, czy roszczenie jest objęte ubezpieczeniem i jak powinno zostać rozstrzygnięty”.