Bir siber sigorta şirketinin, müşterisinin kendisini sigorta başvurusu konusunda yanılttığını iddia ettiği geçersiz bir dava, sigortacıların sigorta başvurularındaki kendi kendini tasdik taleplerini değerlendirme şeklini değiştirmenin önünü açabilir.
Travellers Property Casualty Company of America - International Control Services Inc. (ICS) davası, ICS'nin elektronik üreticisinin çok faktörlü kimlik doğrulamaya (MFA) sahip olduğunu iddia etmesine dayanıyordu. poliçe için başvurdum. Mayıs ayında şirket bir fidye yazılımı saldırısına maruz kaldı. Adli tıp müfettişleri MFA'nın mevcut olmadığını belirlediler, bu nedenle Travellers iddiadan sorumlu olmaması gerektiğini ileri sürdü.
Dava (No. 22-cv-2145) 6 Temmuz'da ABD Illinois Merkez Bölgesi Bölge Mahkemesinde açıldı. Ağustos ayının sonunda davacılar sözleşmeyi geçersiz kılmayı kabul ederek ICS'nin sigorta şirketini sigorta kapsamına alma çabalarına son verdi. kayıpları.
Bu dava, Gezginlerin mahkeme dosyasında "Riskin ve/veya Gezginlerin üstlendiği tehlikenin kabulünü maddi olarak etkilediğini" iddia eden yanlış beyanda bulunması nedeniyle alışılmadık bir durumdu.
Washington DC merkezli bir hukuk firması olan Barnes & Thornburg LLP'nin ortağı Scott Godes, bir müşteriyi mahkemeye götürmenin, bir sigorta şirketinin iddiayı basitçe reddettiği diğer benzer davalardan farklı olduğunu, ancak bunun pek de benzersiz olmadığını söyledi.
"Son birkaç yıldır bu sorunun giderek arttığını görüyorum. Benim bakış açıma göre sigorta şirketleri bunu zorlu bir pazar haline getirdi. Primlerin artırılması ve limitlerin düşürülmesi - ve bu onları, haber kapsamını iptal ederek nükleer seçeneği seçme konusunda cesaretlendirdi" diyor Godes.
Yale Hukuk Fakültesi Bilgi Toplumu Projesi'nde misafir araştırmacı ve Yale Hukuk Fakültesi Gizlilik Laboratuvarı'nın kurucusu Sean O'Brien, güvenliğin proaktif olması, her başarılı saldırıya yanıt vermek yerine olası ihlalleri meydana gelmeden önce durdurması gerektiğini belirtiyor.
O'Brien, "Siber güvenlik iddiaları arttıkça sigorta sektörünün giderek daha titiz davranması, kârlılığını savunması ve mümkün olan her yerde geri ödemelerden kaçınması muhtemel" diyor. "Elbette bu her zaman sigorta eksperlerinin görevi olmuştur ve bir siber saldırının ortalığı yatıştıktan sonra onların işleri birçok açıdan kuruluşunuzun çıkarlarına ters düşer."
Bununla birlikte, kuruluşların yapmaması gerekenler bir ödeme beklemek zayıf siber güvenlik politikaları ve uygulamaları nedeniyle olduğunu belirtiyor.
Forrester Research'ten kıdemli analist Jess Burn, Travellers vakasının özellikle tek MFA güvenlik kontrolüyle ilgili olmasına rağmen, sigorta şirketlerinin sigorta şirketlerinin diğer güvenlik kontrollerine ilişkin bir tür üçüncü taraf doğrulaması olmadan kendi kendini tasdik etme konusundaki güvenini değiştirebileceğini belirtiyor. .
Burn, "Davalar ve teminatın iptali, sigortalıların ve poliçe sahiplerinin söyledikleri küçük yalanlar nedeniyle çağrıda bulunması veya güvenli uygulamalarında nasıl korunduklarına ilişkin ayrıntıların atlanması" yeni ortaya çıkan bir trend gibi görünüyor, diyor Burn.
Bir şirketin olup olmadığına ilişkin soruları ortadan kaldıracak bir seçenek güvenlik kontrollerinin uygulanması Doğrulanmış destek sağlamak olduğunu ekliyor. Şeffaflık gerekli olmasa bile, MFA, üçüncü taraf risk yönetimi, uç nokta tespiti veya sayısız güvenlik kontrolünden herhangi biri için kontrollerin mevcut olduğuna dair üçüncü taraf doğrulamasının sağlanması, politikanın yürürlüğe girmesinden önce her türlü yanlış anlaşılmayı veya endişeyi ortadan kaldıracaktır. Veriliş.
Gelişen Siber Sigorta
Dünyanın en büyük sigorta komisyoncusu Marsh McLennan Ajansı Siber Mükemmeliyet Merkezi'nin ulusal eş başkanı Marc Schein, teknoloji ve güvenlik uygulamaları zamanla değişirken siber sigorta şirketlerinin sigortalama kontrollerini yıllık olarak yeniden değerlendirdiğini belirtiyor. Sigortacılar için çok kapsamlı bir istatistiksel geçmişe sahip olan yaygın kaza sigortası poliçelerinin aksine, siber sigorta hâlâ yeni ortaya çıkan bir alan olarak görülüyor ve sigortacılar hâlâ algoritmalarını ve analizlerini en iyi fiyat riskine göre mükemmelleştiriyor.
Sigortacıların risk profilleriyle ilgili olarak şirketlerin kendi beyanlarına büyük ölçüde güvendikleri alanlardan biri de kontrollerdir: hangi kontroller mevcut, ne kadar iyi yapılandırılmışlar ve etkinlikleri. Schein, zaman zaman sigortacının sigorta adayının sızma testi gibi değerlendirmelerden geçmesini talep edebileceğini sözlerine ekledi. Test beklenenden önemli ölçüde farklı bir sonuçla gelirse (örneğin, potansiyel müşterinin kapalı olduğunu söylediği 100 liman açıksa) sigorta şirketi muhtemelen bu açık limanlar ve diğer tasdikler hakkında bir tartışma yapacak ve bu durumun olup olmadığını belirlemek için harekete geçecektir. şirket kasıtlı olarak bir sorunu veya kazara bir hata olup olmadığını gizlemeye çalışıyordu.
Schein, CISO'ların, sigortacının sigorta onaylanmadan önce sorunu hafifletmek için önemli yatırımlar gerektirmesine yol açabilecek uygulamalar hakkındaki soruları yanıtlamak konusunda isteksiz olduğunu söylüyor. Bir şirket, hafifletme çabalarına yatırım yapmayı planladığını belirtirse ancak projenin sigortanın yürürlüğe girdiği tarihe kadar tamamlanması beklenmiyorsa, sigortacı başvuruyu bağlayıcı hale getirerek ancak fiili teminatı poliçe limitlerinin belirli bir yüzdesi ile sınırlandırarak uzlaşmaya varabilir. - iyileştirme çabaları tamamlanana kadar - belki de poliçenin 10 milyon dolarlık teminat limitinin %1'u.
Avukat Godes, "Sigorta şirketlerinin sigortalama sırasında test yapmayı, incelemeyi veya zarar kontrolü yapmayı reddetmesi dikkate değer" diyor. "Belki de sigortacıların kendi başlarına inceleyebilecekleri riskleri karşılamaktan kaçınmak için iptale güvenerek, habersiz poliçe sahiplerinin altındaki halıyı çekip çıkarabileceklerine inanıyorlar."
Godes, siber sigorta şirketlerinin sadece sigortalama prosedürlerini yeniden ayarladığı fikrine inanmıyor. "Sektör, başvurulara yanıt vermeyi giderek daha da zorlaştırıyor" diye belirtiyor ve ekliyor: "ve başvurularda değişkenlikler olmaya devam ediyor."
"Tecrübelerime göre," diyor, "[siber sigortacılar tarafından yapılan] tek soruşturma, tazminatın karşılanıp karşılanmadığını ve nasıl karşılanması gerektiğini çözmek yerine, taşıyıcının sigortayı nasıl iptal edebileceğini veya bunu yapmakla tehdit edebileceğini anlamaya yönelik bir çabadır. halledilecek.”
