บริษัทประกันทางไซเบอร์จำกัดการรับรองการควบคุมความปลอดภัยด้วยตนเองของลูกค้า

การฟ้องร้องที่เป็นโมฆะจากผู้ให้บริการประกันภัยทางไซเบอร์ที่อ้างว่าลูกค้าของตนเข้าใจผิดในใบสมัครประกันภัยอาจปูทางไปสู่การเปลี่ยนแปลงวิธีการที่ผู้จัดการการจัดจำหน่ายประเมินการอ้างสิทธิ์การรับรองด้วยตนเองในใบสมัครประกันภัย

กรณี — Travellers Property Casualty Company of America v. International Control Services Inc. (ICS) — ขึ้นอยู่กับ ICS โดยอ้างว่ามีการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) เมื่อผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์ ยื่นขอนโยบาย. ในเดือนพฤษภาคม บริษัทประสบปัญหาการโจมตีด้วยแรนซัมแวร์ ผู้ตรวจสอบทางนิติวิทยาศาสตร์ระบุว่าไม่มี MFA ดังนั้น Travelers จึงยืนยันว่าไม่ควรรับผิดชอบต่อการเรียกร้องดังกล่าว 

คดี (หมายเลข 22-cv-2145) ถูกยื่นฟ้องในศาลแขวงสหรัฐประจำเขตกลางของรัฐอิลลินอยส์เมื่อวันที่ 6 กรกฎาคม ณ สิ้นเดือนสิงหาคม คู่ความตกลงที่จะให้สัญญาเป็นโมฆะ ยุติความพยายามของ ICS ในการให้ประกันครอบคลุม การสูญเสียของมัน

กรณีนี้เป็นเรื่องผิดปกติที่ผู้เดินทางยังคงให้การบิดเบือนความจริง “ส่งผลกระทบอย่างมากต่อการยอมรับความเสี่ยงและ/หรืออันตรายที่ผู้เดินทางสันนิษฐานไว้” ในการยื่นฟ้องต่อศาล

การนำลูกค้าขึ้นศาลเป็นการออกจากกรณีอื่นๆ ที่คล้ายคลึงกัน ซึ่งบริษัทประกันภัยเพียงปฏิเสธการเรียกร้อง แต่แทบจะไม่ซ้ำกันเลย สก็อตต์ โกเดส หุ้นส่วนของ Barnes & Thornburg LLP บริษัทกฎหมายในวอชิงตัน ดี.ซี. กล่าว 

“ฉันได้เห็นปัญหานี้เดือดปุดๆ ในช่วงไม่กี่ปีที่ผ่านมา จากมุมมองของฉัน ผู้ให้บริการประกันภัยทำให้ตลาดนี้เป็นตลาดที่ยาก — เพิ่มเบี้ยประกันและลดวงเงิน — และนั่นทำให้พวกเขากล้าที่จะเลือกตัวเลือกนิวเคลียร์โดยยกเลิกการรายงานข่าว” Godes กล่าว

การรักษาความปลอดภัยควรเป็นแบบเชิงรุก หยุดการละเมิดที่อาจเกิดขึ้นก่อนที่จะเกิดขึ้นแทนที่จะตอบสนองต่อการโจมตีที่ประสบความสำเร็จแต่ละครั้ง Sean O'Brien ไปเยี่ยมเพื่อนที่ Information Society Project ที่ Yale Law School และผู้ก่อตั้ง Privacy Lab ที่ Yale Law School กล่าว

“อุตสาหกรรมประกันภัยมีแนวโน้มที่จะมีความเฉลียวฉลาดมากขึ้นเรื่อย ๆ เนื่องจากการเรียกร้องด้านความปลอดภัยในโลกไซเบอร์เพิ่มขึ้น ปกป้องผลกำไรของพวกเขา และหลีกเลี่ยงการคืนเงินในทุกที่ที่ทำได้” O'Brien กล่าว “นี่เป็นบทบาทของผู้ประสานงานด้านการประกันภัยเสมอ และธุรกิจของพวกเขาก็ขัดแย้งกับผลประโยชน์ขององค์กรของคุณในหลาย ๆ ทางหลังจากที่ฝุ่นสงบจากการโจมตีทางไซเบอร์”

ที่กล่าวว่าองค์กรไม่ควร คาดหวังการจ่ายเงิน สำหรับนโยบายและแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ไม่ดี เขาตั้งข้อสังเกต

ในขณะที่กรณี Travelers นั้นเกี่ยวกับการควบคุมความปลอดภัย MFA เดียวโดยเฉพาะ บริษัทประกันอาจปรับเปลี่ยนการพึ่งพาการรับรองด้วยตนเองของผู้จัดการการรับประกันภัยโดยไม่ต้องใช้การตรวจสอบจากบุคคลที่สามในการควบคุมความปลอดภัยอื่นๆ นับจากนี้ Jess Burn นักวิเคราะห์อาวุโสจาก Forrester Research กล่าว .

“การฟ้องร้องและการยกเลิกความคุ้มครอง การเรียกร้องของผู้ประกันตนและผู้ถือกรมธรรม์เกี่ยวกับข้อเท็จจริงเล็กๆ น้อยๆ ที่พวกเขาบอก หรือการละเว้นรายละเอียดเกี่ยวกับวิธีการคุ้มครองความปลอดภัยของพวกเขา” ดูเหมือนจะเป็นแนวโน้มที่เกิดขึ้นใหม่ Burn กล่าว

ทางเลือกหนึ่งในการขจัดคำถามเกี่ยวกับว่าบริษัทเป็นอย่างไร ใช้การควบคุมความปลอดภัย คือการให้การสนับสนุนที่ได้รับการยืนยัน เธอกล่าวเสริม แม้ว่าความโปร่งใสจะไม่จำเป็น การให้การรับรองจากบุคคลที่สามว่ามีการควบคุมสำหรับ MFA การจัดการความเสี่ยงของบุคคลที่สาม การตรวจจับปลายทาง หรือการควบคุมความปลอดภัยจำนวนมหาศาลควรขจัดความเข้าใจผิดหรือข้อกังวลใดๆ ล่วงหน้าเกี่ยวกับนโยบายที่เป็นอยู่ ออก.

การพัฒนาประกันภัยไซเบอร์

Marc Schein ประธานร่วมแห่งชาติของ Cyber ​​Center for Excellence ของ Marsh McLennan Agency ซึ่งเป็นนายหน้าประกันภัยรายใหญ่ที่สุดของโลกกล่าวว่า ในขณะที่การนำเทคโนโลยีและการรักษาความปลอดภัยเปลี่ยนแปลงตลอดเวลา บริษัทประกันภัยไซเบอร์จะประเมินการควบคุมการรับประกันภัยใหม่ทุกปี ซึ่งแตกต่างจากกรมธรรม์ประกันวินาศภัยทั่วไปซึ่งมีประวัติทางสถิติที่กว้างขวางมากสำหรับผู้จัดการการจัดจำหน่าย การประกันภัยทางไซเบอร์ยังถือว่าเป็นสาขาที่เพิ่งเกิดขึ้น และผู้จัดการการจัดจำหน่ายยังคงปรับปรุงอัลกอริทึมและการวิเคราะห์ให้สมบูรณ์แบบเพื่อความเสี่ยงด้านราคาที่ดีที่สุด

พื้นที่หนึ่งที่ผู้จัดจำหน่ายหลักทรัพย์ต้องพึ่งพาการรับรองด้วยตนเองจากบริษัทที่เกี่ยวข้องกับโปรไฟล์ความเสี่ยงเป็นอย่างมากคือการควบคุม: การควบคุมใดที่พวกเขามี การกำหนดค่าที่ดี และประสิทธิผล ในบางครั้ง Schein กล่าวต่อว่า ผู้จัดการการจัดจำหน่ายหลักทรัพย์อาจกำหนดให้ผู้มีโอกาสเป็นลูกค้าประกันได้รับการประเมิน เช่น การทดสอบการเจาะระบบ หากการทดสอบกลับมาพร้อมกับผลที่แตกต่างอย่างมากจากที่คาดไว้ ตัวอย่างเช่น หากมีการเปิดพอร์ต 100 พอร์ตที่ผู้มีโอกาสเป็นลูกค้ากล่าวว่าถูกปิด บริษัทประกันน่าจะมีการหารือเกี่ยวกับพอร์ตที่เปิดเหล่านั้น รวมถึงการรับรองอื่นๆ เพื่อพิจารณาว่า บริษัทจงใจพยายามปกปิดปัญหาหรือว่ามีข้อผิดพลาดโดยไม่ตั้งใจหรือไม่

Schein กล่าวว่า CISO ลังเลที่จะตอบคำถามเกี่ยวกับใบสมัครที่อาจทำให้ผู้จัดการการจัดจำหน่ายต้องมีการลงทุนจำนวนมากเพื่อลดปัญหาก่อนที่การประกันจะได้รับการอนุมัติ Schein กล่าว หากบริษัทระบุว่ามีแผนจะลงทุนในความพยายามบรรเทาผลกระทบ แต่คาดว่าโครงการจะไม่เสร็จสมบูรณ์จนกว่าจะถึงวันที่การประกันภัยมีผลบังคับใช้ ผู้ประกันตนอาจประนีประนอมโดยการผูกมัดในใบสมัคร แต่จำกัดความคุ้มครองจริงไว้ที่ร้อยละของวงเงินกรมธรรม์ - อาจจะ 10% ของวงเงินความคุ้มครอง 1 ล้านดอลลาร์ของนโยบาย - จนกว่าจะถึงเวลาที่ความพยายามในการแก้ไขจะเสร็จสิ้น

“เป็นเรื่องน่าทึ่งที่ผู้ให้บริการประกันภัยปฏิเสธที่จะทดสอบ ตรวจสอบ หรือมีส่วนร่วมในการควบคุมการสูญเสียเมื่อมีการรับประกัน” ทนายความของ Godes กล่าว “บางทีพวกเขาอาจเชื่อว่าพวกเขาสามารถดึงพรมออกมาจากใต้ผู้ถือกรมธรรม์ที่ไม่รู้ตัวได้ โดยอาศัยการยกเลิกเพื่อหลีกเลี่ยงการครอบคลุมความเสี่ยงที่ผู้ประกันตนสามารถตรวจสอบได้ด้วยตัวเอง”

Godes ไม่ได้ถูกขายด้วยแนวคิดที่ว่าบริษัทประกันในโลกไซเบอร์เพียงแค่ปรับขั้นตอนการรับประกันภัยใหม่เท่านั้น “อุตสาหกรรมกำลังทำให้การตอบสนองต่อแอปพลิเคชันของพวกเขามีความท้าทายมากขึ้นเรื่อยๆ” เขากล่าว “และแอปพลิเคชันต่างๆ ก็ยังคงมีความหลากหลายอยู่เสมอ”

“จากประสบการณ์ของผม” เขากล่าว “การสืบสวนเพียงอย่างเดียว [โดยบริษัทประกันทางไซเบอร์] คือความพยายามในการค้นหาว่าผู้ให้บริการสามารถยกเลิกการคุ้มครองได้อย่างไร หรือขู่ว่าจะทำเช่นนั้น แทนที่จะคิดว่าการเรียกร้องนั้นครอบคลุมหรือไม่ และควรทำอย่างไร จะได้ตกลงกันได้”