Uma ação judicial anulada de uma seguradora cibernética alegando que seu cliente a enganou em sua solicitação de seguro poderia potencialmente abrir caminho para mudar a forma como os subscritores avaliam as reivindicações de auto-atestado em solicitações de seguro.
O caso - Travellers Property Casualty Company of America v. International Control Services Inc. (ICS) - dependia da alegação do ICS de que tinha autenticação multifator (MFA) em vigor quando o fabricante de eletrônicos solicitou uma política. Em maio, a empresa sofreu um ataque de ransomware. Os investigadores forenses determinaram que não havia MFA em vigor, então a Travellers afirmou que não deveria ser responsável pela reclamação.
O caso (nº 22-cv-2145) foi aberto no Tribunal Distrital dos EUA para o Distrito Central de Illinois em 6 de julho. No final de agosto, os litigantes concordaram em anular o contrato, encerrando os esforços do ICS para ter cobertura de sua seguradora suas perdas.
Este caso foi incomum, pois a Travellers manteve a declaração falsa “afetou materialmente a aceitação do risco e/ou perigo assumido pela Travellers” no processo judicial.
Levar um cliente a tribunal é diferente de outros casos semelhantes em que uma companhia de seguros simplesmente negou o pedido, mas não é o único, disse Scott Godes, sócio da Barnes & Thornburg LLP, um escritório de advocacia com sede em Washington, DC.
“Tenho visto esse problema borbulhando nos últimos anos. Do meu ponto de vista, as seguradoras tornaram este um mercado difícil – aumentando prêmios e reduzindo limites – e isso os encorajou a escolher a opção nuclear ao rescindir a cobertura”, diz Godes.
A segurança deve ser proativa, impedindo possíveis violações antes que elas ocorram, em vez de simplesmente responder a cada ataque bem-sucedido, observa Sean O’Brien, pesquisador visitante do Projeto Sociedade da Informação da Faculdade de Direito de Yale e fundador do Laboratório de Privacidade da Faculdade de Direito de Yale.
“É provável que o setor de seguros se torne cada vez mais perspicaz à medida que aumentam os sinistros de cibersegurança, defendendo os seus resultados e evitando o reembolso sempre que possível”, afirma O’Brien. “Esse sempre foi o papel dos avaliadores de seguros, é claro, e seus negócios são, em muitos aspectos, adversários dos interesses da sua organização depois que a poeira de um ataque cibernético baixar.”
Dito isto, as organizações não devem espere um pagamento por políticas e práticas deficientes de segurança cibernética, observa ele.
Embora o caso Travelers tenha sido especificamente sobre o controle de segurança único do MFA, as companhias de seguros podem modificar a confiança de seus subscritores no auto-atestado sem algum tipo de verificação de terceiros em outros controles de segurança daqui para frente, observa Jess Burn, analista sênior da Forrester Research .
“As ações judiciais e a rescisão da cobertura, as denúncias dos segurados e dos segurados sobre pequenas mentiras que contaram, ou a omissão de detalhes sobre como estão protegidos nas suas práticas seguras” parecem ser uma tendência emergente, diz Burn.
Uma opção para eliminar qualquer dúvida sobre se uma empresa está implementação de controles de segurança é fornecer suporte verificado, acrescenta ela. Mesmo que a transparência não seja necessária, fornecer verificação por terceiros de que existem controles para MFA, gerenciamento de risco de terceiros, detecção de endpoint ou qualquer uma das inúmeras verificações de segurança deve eliminar qualquer mal-entendido ou preocupação antes da política ser publicado.
Evolução do seguro cibernético
Embora as implementações de tecnologia e segurança mudem ao longo do tempo, as companhias de seguros cibernéticos reavaliam anualmente os seus controlos de subscrição, observa Marc Schein, copresidente nacional do Cyber Center for Excellence da Marsh McLennan Agency, a maior corretora de seguros do mundo. Ao contrário das apólices de seguro contra acidentes comuns, que têm um histórico estatístico muito extenso para os subscritores, o seguro cibernético ainda é considerado um campo emergente e os subscritores ainda estão aperfeiçoando seus algoritmos e análises para obter o melhor preço de risco.
Uma área em que os subscritores dependem fortemente da auto-certificação das empresas relativamente ao seu perfil de risco é a dos controlos: quais os controlos que possuem, quão bem foram configurados e a sua eficácia. Às vezes, continuou Schein, um subscritor pode exigir que um prospecto de seguro seja submetido a avaliações como um teste de penetração. Se o teste retornar com um resultado significativamente diferente do previsto - por exemplo, se 100 portos estiverem abertos e que o cliente em potencial disse estarem fechados - a companhia de seguros provavelmente teria uma discussão sobre esses portos abertos, bem como outros atestados, para determinar se a empresa estava deliberadamente tentando esconder um problema ou se houve um erro acidental.
Os CISOs estão relutantes em responder a perguntas sobre aplicações que possam levar o subscritor a exigir investimentos significativos para mitigar o problema antes da aprovação do seguro, diz Schein. Se uma empresa indicar que planeja investir nos esforços de mitigação, mas não se espera que o projeto seja concluído antes da data em que o seguro entrar em vigor, a seguradora pode comprometer-se vinculando o pedido, mas limitando a cobertura real a uma porcentagem dos limites da apólice. — talvez 10% do limite de cobertura de US$ 1 milhão de uma apólice — até que os esforços de remediação sejam concluídos.
“É notável que as seguradoras se recusem a testar, inspecionar ou envolver-se no controle de perdas durante a subscrição”, observa o advogado Godes. “Talvez eles acreditem que podem simplesmente puxar o tapete dos segurados desavisados, contando com a rescisão para evitar cobrir riscos que as seguradoras poderiam ter inspecionado por conta própria.”
Godes não acredita na ideia de que as seguradoras cibernéticas estejam simplesmente reajustando seus procedimentos de subscrição. “A indústria está tornando cada vez mais desafiador responder às suas aplicações”, observa ele, “e continua a haver caprichos nas aplicações”.
“Na minha experiência”, diz ele, “a única investigação [por parte das seguradoras cibernéticas] é um esforço para descobrir como a operadora pode rescindir a cobertura, ou ameaçar fazê-lo, em vez de descobrir se o sinistro está coberto e como deveria ser. ser resolvido.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
