سائبر انشورنس کیریئر کی طرف سے ایک باطل مقدمہ جس میں اس کے گاہک کا دعویٰ ہے کہ اسے اس کی انشورنس کی درخواست پر گمراہ کیا گیا ہے، ممکنہ طور پر اس بات کو تبدیل کرنے کی راہ ہموار کر سکتا ہے کہ انڈر رائٹرز انشورنس ایپلی کیشنز پر خود تصدیق کے دعووں کا کیسے جائزہ لیتے ہیں۔
کیس - ٹریولرز پراپرٹی کیزولٹی کمپنی آف امریکہ بمقابلہ انٹرنیشنل کنٹرول سروسز انکارپوریشن (ICS) - نے ICS پر یہ دعویٰ کیا کہ اس کے پاس ملٹی فیکٹر تصدیق (MFA) موجود ہے جب الیکٹرانکس بنانے والی کمپنی پالیسی کے لیے درخواست دی ہے۔. مئی میں کمپنی کو رینسم ویئر حملے کا سامنا کرنا پڑا۔ فرانزک تفتیش کاروں نے طے کیا کہ وہاں کوئی MFA موجود نہیں ہے، اس لیے مسافروں نے زور دیا کہ اسے دعویٰ کے لیے ذمہ دار نہیں ہونا چاہیے۔
مقدمہ (نمبر 22-cv-2145) 6 جولائی کو سنٹرل ڈسٹرکٹ آف الینوائے کے لیے امریکی ضلعی عدالت میں دائر کیا گیا تھا۔ اگست کے آخر میں، قانونی چارہ جوئی کرنے والوں نے معاہدہ منسوخ کرنے پر رضامندی ظاہر کی، جس سے آئی سی ایس کی بیمہ کنندہ کور حاصل کرنے کی کوششیں ختم ہو گئیں۔ اس کے نقصانات.
یہ معاملہ اس لحاظ سے غیر معمولی تھا کہ ٹریولرز نے عدالت میں فائلنگ میں "خطرے کی قبولیت اور/یا ٹریولرز کے ذریعہ فرض کردہ خطرہ کو مادی طور پر متاثر کیا" غلط بیانی کو برقرار رکھا۔
واشنگٹن ڈی سی میں قائم ایک قانونی فرم بارنس اینڈ تھورنبرگ ایل ایل پی کے ایک پارٹنر سکاٹ گوڈس نے کہا کہ کسی مؤکل کو عدالت میں لے جانا اسی طرح کے دیگر معاملات سے الگ ہونا ہے جہاں انشورنس کمپنی نے محض دعویٰ سے انکار کر دیا تھا، لیکن یہ شاید ہی منفرد ہے۔
"میں نے پچھلے کچھ سالوں میں اس مسئلے کو بڑھتا ہوا دیکھا ہے۔ میرے نقطہ نظر سے، انشورنس کیریئرز نے اسے ایک مشکل بازار بنا دیا ہے۔ پریمیم میں اضافہ اور حد کو کم کرنا - اور اس نے کوریج کو ختم کرکے جوہری آپشن کا انتخاب کرنے کی حوصلہ افزائی کی ہے،" گوڈس کہتے ہیں۔
سیکورٹی کو فعال ہونا چاہیے، ہر کامیاب حملے کا محض جواب دینے کے بجائے ممکنہ خلاف ورزیوں کو ہونے سے پہلے روکنا، Yale Law School میں انفارمیشن سوسائٹی پروجیکٹ کے وزٹنگ فیلو اور Yale Law School میں پرائیویسی لیب کے بانی شان اوبرائن نوٹ کرتے ہیں۔
O'Brien کا کہنا ہے کہ "انشورنس کی صنعت زیادہ سے زیادہ پریشان کن ہونے کا امکان ہے کیونکہ سائبرسیکیوریٹی کے دعوے بڑھتے ہیں، ان کی نچلی لائن کا دفاع کرتے ہیں اور جہاں بھی ممکن ہو معاوضے سے گریز کرتے ہیں۔" "یہ ہمیشہ انشورنس ایڈجسٹرز کا کردار رہا ہے، یقیناً، اور سائبر حملے سے دھول اُڑنے کے بعد ان کا کاروبار کئی طریقوں سے آپ کی تنظیم کے مفادات کا مخالف ہے۔"
اس نے کہا، تنظیموں کو نہیں کرنا چاہئے ادائیگی کی توقع ہے سائبرسیکیوریٹی کی ناقص پالیسیوں اور طریقوں کے لیے، وہ نوٹ کرتا ہے۔
جب کہ ٹریولرز کیس خاص طور پر سنگل MFA سیکیورٹی کنٹرول کے بارے میں تھا، انشورنس کمپنیاں آگے بڑھتے ہوئے دیگر سیکیورٹی کنٹرولز پر کسی قسم کی تھرڈ پارٹی تصدیق کے بغیر اپنے انڈر رائٹرز کے خود اعتمادی میں ترمیم کر سکتی ہیں، Forrester ریسرچ کے ایک سینئر تجزیہ کار جیس برن نے نوٹ کیا۔ .
برن کا کہنا ہے کہ "مقدمات اور کوریج کو ختم کرنا، بیمہ شدہ اور پالیسی ہولڈرز کو ان کے بتائے ہوئے چھوٹے فیبس پر کال کرنا، یا اس بارے میں تفصیلات کو چھوڑنا کہ وہ اپنے محفوظ طریقوں میں کیسے محفوظ ہیں" ایک ابھرتا ہوا رجحان دکھائی دیتا ہے۔
ایک کمپنی کے بارے میں کسی بھی سوال کو ختم کرنے کا ایک اختیار سیکیورٹی کنٹرولز کو نافذ کرنا انہوں نے مزید کہا کہ تصدیق شدہ مدد فراہم کرنا ہے۔ یہاں تک کہ اگر شفافیت کی ضرورت نہ بھی ہو، فریق ثالث کی توثیق فراہم کرنا جو کہ MFA، فریق ثالث کے خطرے کے انتظام، اختتامی نقطہ کا پتہ لگانے، یا سیکورٹی کنٹرولز کے بے شمار میں سے کسی کے لیے کنٹرولز موجود ہیں، کسی بھی غلط فہمی یا خدشات کو پالیسی سے پہلے ہی ختم کر دینا چاہیے۔ جاری کردیا گیا.
ترقی پذیر سائبر انشورنس
جب کہ ٹیکنالوجی اور سیکیورٹی کے نفاذ میں وقت کے ساتھ تبدیلی آتی ہے، سائبر انشورنس کمپنیاں ہر سال اپنے انڈر رائٹنگ کنٹرولز کا ازسر نو جائزہ لیتی ہیں، مارش میک لینن ایجنسی کے سائبر سنٹر فار ایکسیلنس کے قومی شریک چیئر، دنیا کے سب سے بڑے انشورنس بروکر مارک شین نوٹ کرتے ہیں۔ عام جانی نقصان کی انشورینس کی پالیسیوں کے برعکس، جو انڈر رائٹرز کے لیے بہت وسیع شماریاتی تاریخ رکھتی ہے، سائبر انشورنس کو اب بھی ایک نیا فیلڈ سمجھا جاتا ہے اور انڈر رائٹرز اب بھی اپنے الگورتھم اور تجزیہ کو بہترین قیمت کے خطرے کے لیے مکمل کر رہے ہیں۔
ایک ایسا شعبہ جہاں انڈر رائٹرز اپنے رسک پروفائل کے بارے میں کمپنیوں کی طرف سے خود تصدیق پر بہت زیادہ انحصار کرتے ہیں وہ کنٹرولز ہیں: ان کے پاس کون سے کنٹرول ہیں، ان کی ترتیب کتنی اچھی تھی، اور ان کی تاثیر۔ بعض اوقات، شین نے جاری رکھا، ایک انڈر رائٹر کو بیمہ کے امکان کی ضرورت پڑسکتی ہے جیسے کہ دخول ٹیسٹ سے گزرنا۔ کیا ٹیسٹ متوقع سے نمایاں طور پر مختلف نتیجہ کے ساتھ واپس آتا ہے - مثال کے طور پر، اگر 100 بندرگاہیں کھلی ہیں جو امکان کے مطابق بند تھیں - انشورنس کمپنی ممکنہ طور پر ان کھلی بندرگاہوں کے ساتھ ساتھ دیگر تصدیقات کے بارے میں بھی بات کرے گی، تاکہ یہ تعین کیا جا سکے کہ آیا کمپنی جان بوجھ کر کسی مسئلے کو چھپانے کی کوشش کر رہی تھی یا کوئی حادثاتی غلطی تھی۔
شین کا کہنا ہے کہ CISOs ایپلی کیشنز پر سوالات کا جواب دینے سے گریزاں ہیں جو انڈر رائٹر کو انشورنس کی منظوری سے پہلے مسئلہ کو کم کرنے کے لیے اہم سرمایہ کاری کی ضرورت کا باعث بن سکتے ہیں۔ اگر کوئی کمپنی اشارہ کرتی ہے کہ وہ تخفیف کی کوششوں میں سرمایہ کاری کرنے کا ارادہ رکھتی ہے لیکن اس منصوبے کے مکمل ہونے کی توقع نہیں کی جاتی ہے جب تک کہ انشورنس کے مؤثر ہونے کی تاریخ کے بعد، بیمہ کنندہ درخواست کو پابند کر کے سمجھوتہ کر سکتا ہے لیکن اصل کوریج کو پالیسی کی حدود کے فیصد تک محدود کر سکتا ہے۔ - شاید پالیسی کی $10 ملین کوریج کی حد کا 1% - جب تک کہ تدارک کی کوششیں مکمل نہ ہو جائیں۔
"یہ قابل ذکر ہے کہ انشورنس کیریئر انڈر رائٹنگ کے وقت جانچ، معائنہ، یا نقصان پر قابو پانے میں مشغول ہونے سے انکار کرتے ہیں،" اٹارنی گوڈس نوٹ کرتے ہیں۔ "ہوسکتا ہے کہ وہ یقین رکھتے ہیں کہ وہ بے خبر پالیسی ہولڈرز کے نیچے سے قالین نکال سکتے ہیں، ان خطرات کو چھپانے سے بچنے کے لیے ریسیسیشن پر انحصار کرتے ہیں جن کا بیمہ کنندگان خود معائنہ کر سکتے تھے۔"
گوڈس کو اس خیال پر فروخت نہیں کیا جاتا ہے کہ سائبر بیمہ کنندگان صرف اپنے انڈر رائٹنگ کے طریقہ کار کو ایڈجسٹ کر رہے ہیں۔ "انڈسٹری ان کی درخواستوں کا جواب دینا زیادہ سے زیادہ مشکل بنا رہی ہے،" وہ نوٹ کرتا ہے، "اور ایپلی کیشنز میں بدستور انتشار ہے۔"
"میرے تجربے میں،" وہ کہتے ہیں، "صرف تحقیقات [سائبر بیمہ کنندگان کی طرف سے] یہ جاننے کی کوشش ہے کہ کیریئر کس طرح کوریج کو منسوخ کر سکتا ہے، یا ایسا کرنے کی دھمکی دے سکتا ہے، بجائے اس کے کہ یہ معلوم کیا جائے کہ آیا دعوی کا احاطہ کیا گیا ہے اور اسے کیسے کرنا چاہیے۔ طے ہو جائے"
