Kibernetske zavarovalnice omejujejo samopreverjanje varnostnih kontrol s strani strank

Razveljavljena tožba kibernetskega zavarovalniškega prevoznika, ki trdi, da ga je stranka zavedla pri njegovi vlogi za zavarovanje, bi lahko utrla pot za spremembo načina, kako zavarovalci ocenjujejo zahtevke za samopotrdilo v vlogah za zavarovanje.

Zadeva – Travellers Property Casualty Company of America proti International Control Services Inc. (ICS) – je bila odvisna od ICS, ki je trdil, da je imel nameščeno večfaktorsko preverjanje pristnosti (MFA), ko je proizvajalec elektronike zaprosil za polico. Maja je podjetje doživelo napad izsiljevalske programske opreme. Forenzični preiskovalci so ugotovili, da MFA ni vzpostavljena, zato je Travellers trdil, da ne bi smel biti odgovoren za zahtevek. 

Zadeva (št. 22-cv-2145) je bila vložena na okrožnem sodišču ZDA za osrednje okrožje Illinoisa 6. julija. Konec avgusta so se stranke strinjale, da bodo razveljavile pogodbo, s čimer so se končala prizadevanja ICS, da bi svojo zavarovalnico pokril svoje izgube.

Ta primer je bil nenavaden, saj je družba Travellers trdila, da je napačna navedba v sodni vlogi "bistveno vplivala na sprejemanje tveganja in/ali nevarnosti, ki jo prevzame družba Travellers".

Pripeljati stranko pred sodišče je odstopanje od drugih podobnih primerov, kjer je zavarovalnica preprosto zavrnila zahtevek, vendar to ni edinstveno, je dejal Scott Godes, partner pri Barnes & Thornburg LLP, odvetniški pisarni s sedežem v Washingtonu, DC. 

»Videl sem, da se to vprašanje v zadnjih nekaj letih pojavlja. Z moje perspektive so zavarovalnice naredile to trd trg - zvišanje premij in znižanje limitov — in to jih je opogumilo, da so izbrali jedrsko možnost s preklicem kritja,« pravi Godes.

Varnost mora biti proaktivna in preprečiti morebitne kršitve, preden se zgodijo, namesto da bi se preprosto odzvala na vsak uspešen napad, ugotavlja Sean O'Brien, gostujoči sodelavec pri projektu informacijske družbe na pravni fakulteti Yale in ustanovitelj laboratorija za zasebnost na pravni fakulteti Yale.

»Zavarovalniška panoga bo verjetno postajala čedalje bolj predrzna, ko se bodo zahtevki zaradi kibernetske varnosti povečevali, pri čemer bo branila svoj rezultat in se izogibala povračilu, kjer je to mogoče,« pravi O'Brien. »To je bila seveda vedno vloga zavarovalniških regulatorjev in njihovo poslovanje je v mnogih pogledih v nasprotju z interesi vaše organizacije, potem ko se prah zaradi kibernetskega napada polege.«

Kljub temu organizacije ne bi smele pričakujte izplačilo za slabe politike in prakse kibernetske varnosti, ugotavlja.

Medtem ko je bil primer Travellers posebej povezan z enotnim varnostnim nadzorom MFA, bi lahko zavarovalnice spremenile zanašanje svojih zavarovateljev na samopotrdilo brez neke vrste preverjanja tretjih oseb glede drugih varnostnih nadzorov v prihodnje, ugotavlja Jess Burn, višji analitik pri Forrester Research .

"Tožbe in preklic kritja, klicanje zavarovancev in zavarovalcev zaradi majhnih izmišljotin, ki so jih povedali, ali izpustitev podrobnosti o tem, kako so zaščiteni v svojih varnih praksah", se zdijo nastajajoči trend, pravi Burn.

Ena od možnosti za odpravo morebitnih vprašanj o tem, ali je podjetje izvajanje varnostnih kontrol je zagotoviti preverjeno podporo, dodaja. Tudi če preglednost ni potrebna, bi moralo zagotavljanje preverjanja tretje osebe, da so vzpostavljene kontrole za MFA, obvladovanje tveganj tretjih oseb, zaznavanje končne točke ali katerega koli od neštetih varnostnih kontrol, odpraviti kakršen koli nesporazum ali pomisleke pred določitvijo pravilnika. izdala.

Razvijajoče se kibernetsko zavarovanje

Medtem ko se implementacije tehnologije in varnosti sčasoma spreminjajo, kibernetske zavarovalnice vsako leto ponovno ovrednotijo ​​svoje nadzore pri sklepanju zavarovanj, ugotavlja Marc Schein, nacionalni sopredsednik kibernetskega centra za odličnost pri agenciji Marsh McLennan, največjem zavarovalniškem posredniku na svetu. Za razliko od običajnih polic nezgodnega zavarovanja, ki imajo za zavarovalce zelo obsežno statistično zgodovino, kibernetsko zavarovanje še vedno velja za novo področje in zavarovalci še vedno izpopolnjujejo svoje algoritme in analize za najboljše cenovno tveganje.

Eno področje, na katerem se zavarovalniki močno zanašajo na samopotrdila podjetij glede njihovega profila tveganja, so kontrole: kakšne kontrole imajo vzpostavljene, kako dobro so bile konfigurirane in njihova učinkovitost. Včasih, je nadaljeval Schein, lahko zavarovalnica zahteva, da zavarovalni potencial opravi ocene, kot je preizkus penetracije. Če bi se test vrnil z bistveno drugačnim rezultatom od pričakovanega - na primer, če je odprtih 100 vrat, za katere je potencialna stranka rekla, da so zaprta - bi zavarovalnica verjetno razpravljala o teh odprtih vratih in drugih potrdilih, da bi ugotovila, ali je podjetje namenoma poskušalo prikriti težavo ali pa je prišlo do nenamerne napake.

CISO neradi odgovarjajo na vprašanja o vlogah, zaradi katerih bi lahko zavarovalnica zahtevala znatne naložbe za ublažitev težave, preden je zavarovanje odobreno, pravi Schein. Če podjetje navede, da namerava vlagati v prizadevanja za ublažitev, vendar se pričakuje, da bo projekt končan šele po datumu, ko zavarovanje začne veljati, lahko zavarovalnica naredi kompromis tako, da zaveže vlogo, vendar omeji dejansko kritje na odstotek omejitev police. — morda 10 % omejitve kritja police v višini 1 milijona dolarjev — do trenutka, ko so prizadevanja za sanacijo končana.

"Nenavadno je, da zavarovalni prevozniki zavračajo testiranje, inšpekcijo ali sodelovanje pri nadzoru izgube pri sklepanju zavarovanj," ugotavlja odvetnik Godes. "Mogoče verjamejo, da lahko preprosto potegnejo preprogo izpod nevednih zavarovancev in se zanašajo na razveljavitev, da bi se izognili kritju tveganj, ki bi jih zavarovalnice lahko pregledale same."

Godesu ni všeč ideja, da kibernetske zavarovalnice preprosto prilagajajo svoje postopke sklepanja zavarovanj. "Industrija postaja vedno večji izziv, da se odzovemo na njihove aplikacije," ugotavlja, "in v aplikacijah se še vedno pojavljajo muhe."

»Po mojih izkušnjah,« pravi, »je edina preiskava [s strani kibernetskih zavarovalnic] poskus, da bi ugotovili, kako lahko prevoznik prekliče kritje ali grozi, da bo to storil, namesto da bi ugotovili, ali je zahtevek pokrit in kako naj biti poravnan.”