Скасований позов від кіберстрахового перевізника, який стверджував, що його клієнт ввів його в оману щодо заявки на страхування, потенційно може прокласти шлях до зміни того, як страховики оцінюють претензії щодо самоатестації заявок на страхування.
Справа — Travellers Property Casualty Company of America проти International Control Services Inc. (ICS) — базувалася на тому, що ICS стверджувала, що мала багатофакторну автентифікацію (MFA), коли виробник електроніки звернувся за полісом. У травні компанія зазнала атаки програм-вимагачів. Судово-медичні слідчі встановили, що MFA не було, тому Travellers стверджував, що не повинен нести відповідальності за позов.
Справу (№ 22-cv-2145) було подано до Окружного суду США Центрального округу штату Іллінойс 6 липня. Наприкінці серпня сторони погодилися анулювати контракт, припинивши зусилля ICS, щоб захистити страхування від свого страховика. його втрати.
Цей випадок був незвичайним у зв’язку з тим, що компанія Travellers стверджувала, що спотворення «суттєво вплинуло на прийняття ризику та/або небезпеки, яку взяли на себе Travellers» у судовій заяві.
Подання клієнта до суду є відмінністю від інших подібних випадків, коли страхова компанія просто відмовляла у позові, але це навряд чи унікально, сказав Скотт Годес, партнер Barnes & Thornburg LLP, юридичної фірми, розташованої у Вашингтоні, округ Колумбія.
«Я бачив, як ця проблема вибухає протягом останніх кількох років. З моєї точки зору, страхові перевізники зробили цей ринок жорстким — підвищення премій і зниження лімітів — і це надало їм сміливості вибрати ядерний варіант, скасувавши покриття», — каже Годес.
Безпека має бути проактивною, припиняти можливі порушення до того, як вони відбудуться, а не просто реагувати на кожну успішну атаку, зазначає Шон О’Брайен, запрошений співробітник проекту інформаційного суспільства в Єльській юридичній школі та засновник лабораторії конфіденційності в Єльській юридичній школі.
«Страхова галузь, імовірно, ставатиме все більш і більш допитливою, оскільки кількість претензій щодо кібербезпеки зростатиме, захищаючи свої прибутки та уникаючи відшкодування, де це можливо», — каже О’Брайен. «Це завжди була роль страхових консультантів, звичайно, і їхній бізнес багато в чому суперечить інтересам вашої організації після того, як пил після кібератаки вляжеться».
Тим не менш, організації не повинні очікувати виплати за погану політику та практику кібербезпеки, зазначає він.
У той час як у справі Travellers стосувалося єдиного контролю безпеки MFA, страхові компанії можуть змінити залежність своїх страховиків від самоатестації без будь-якої сторонньої перевірки щодо інших заходів безпеки в майбутньому, зазначає Джесс Берн, старший аналітик Forrester Research. .
«Судові позови та скасування покриття, звернення до страхувальників і власників полісів через дрібні вигадки, які вони сказали, або замовчування деталей щодо того, як вони захищені в їхніх безпечних практиках», здається, є новою тенденцією, каже Берн.
Один із варіантів усунення будь-яких питань про те, чи є компанія здійснення контролю безпеки – це надати перевірену підтримку, додає вона. Навіть якщо прозорість не потрібна, надання третьою стороною перевірки наявності засобів контролю для MFA, управління ризиками третьої сторони, виявлення кінцевих точок або будь-якого з безлічі засобів контролю безпеки має усунути будь-які непорозуміння або занепокоєння до початку політики виданий.
Розвиток кіберстрахування
У той час як впровадження технологій і безпеки змінюється з часом, кіберстрахові компанії щороку переглядають свої засоби контролю за андеррайтингом, зазначає Марк Шайн, національний співголова Cyber Center for Excellence в агентстві Marsh McLennan, найбільшому страховому брокері в світі. На відміну від звичайних полісів страхування від нещасних випадків, які мають дуже велику статистичну історію для андеррайтерів, кіберстрахування все ще вважається новою сферою, і андеррайтери все ще вдосконалюють свої алгоритми та аналіз для найкращого цінового ризику.
Однією з сфер, де андеррайтери значною мірою покладаються на самоатестацію компаній щодо свого профілю ризику, є засоби контролю: які засоби контролю вони мають, наскільки добре вони налаштовані та їх ефективність. Іноді, продовжив Шайн, андеррайтеру може знадобитися, щоб потенційний клієнт пройшов оцінку, наприклад тест на проникнення. Якщо результат тесту суттєво відрізняється від очікуваного — наприклад, якщо відкрито 100 портів, які потенційний клієнт сказав, що вони закриті — страхова компанія, ймовірно, обговорить ці відкриті порти, а також інші атестації, щоб визначити, чи компанія навмисно намагалася приховати проблему або випадкова помилка.
CISO неохоче відповідають на запитання щодо заявок, які можуть змусити андеррайтера вимагати значних інвестицій для пом’якшення проблеми до того, як страхування буде схвалено, каже Шайн. Якщо компанія вказує, що планує інвестувати в зусилля з пом’якшення наслідків, але не очікується, що проект буде завершено до дати, коли страхування набуде чинності, страховик може піти на компроміс, зв’язавши заявку, але обмеживши фактичне покриття відсотком від лімітів полісу. — можливо, 10% від ліміту покриття поліса в 1 мільйон доларів США — до того часу, поки не будуть завершені заходи з усунення.
«Примітно, що страхові компанії відмовляються тестувати, перевіряти або брати участь у контролі збитків під час андеррайтингу», — зазначає адвокат Годес. «Можливо, вони вважають, що можуть просто витягнути килимок з-під необізнаних страхувальників, покладаючись на анулювання, щоб уникнути покриття ризиків, які страховики могли перевірити самостійно».
Годес не вірить в те, що кіберстраховики просто змінюють свої процедури андеррайтингу. «Індустрія все більше ускладнює реагування на їхні заявки, — зазначає він, — і в заявках продовжують бути примхи».
«З мого досвіду, – каже він, – єдине розслідування [з боку кіберстраховиків] полягає в тому, щоб з’ясувати, як перевізник може скасувати покриття або погрожувати це зробити, а не з’ясувати, чи покрита претензія і як вона має бути врегульованим».
