Một vụ kiện vô hiệu từ một hãng bảo hiểm mạng tuyên bố rằng khách hàng của họ đã đánh lừa họ trong đơn bảo hiểm của họ có khả năng mở đường để thay đổi cách các nhà bảo hiểm đánh giá các yêu cầu tự chứng thực trên các đơn bảo hiểm.
Vụ việc — Travellers Property Casualty Company of America v. International Control Services Inc. (ICS) — xoay quanh việc ICS tuyên bố rằng họ đã có xác thực đa yếu tố (MFA) khi nhà sản xuất thiết bị điện tử áp dụng cho một chính sách. Vào tháng XNUMX, công ty đã trải qua một cuộc tấn công ransomware. Các nhà điều tra pháp y đã xác định rằng không có MFA tại chỗ, vì vậy Travelers khẳng định rằng họ không phải chịu trách nhiệm pháp lý đối với yêu cầu bồi thường.
Vụ kiện (số 22-cv-2145) đã được đệ trình lên Tòa án Quận Hoa Kỳ cho Quận Trung tâm Illinois vào ngày 6 tháng XNUMX. Vào cuối tháng XNUMX, các đương sự đã đồng ý hủy bỏ hợp đồng, chấm dứt nỗ lực của ICS để có được công ty bảo hiểm chi trả những tổn thất của nó.
Trường hợp này bất thường ở chỗ Khách du lịch duy trì việc trình bày sai “ảnh hưởng nghiêm trọng đến việc chấp nhận rủi ro và/hoặc mối nguy hiểm mà Khách du lịch phải gánh chịu” trong hồ sơ tòa án.
Scott Godes, một đối tác tại Barnes & Thornburg LLP, một công ty luật có trụ sở tại Washington, DC, cho biết việc đưa một khách hàng ra tòa là một sự khác biệt so với các trường hợp tương tự khác, trong đó một công ty bảo hiểm chỉ đơn giản là từ chối yêu cầu bồi thường, nhưng điều này hầu như không phải là duy nhất.
“Tôi đã thấy vấn đề này nổi lên trong vài năm qua. Theo quan điểm của tôi, các hãng bảo hiểm đã biến đây thành một thị trường khó khăn - tăng phí bảo hiểm và giảm giới hạn - và điều đó đã khuyến khích họ chọn phương án hạt nhân bằng cách hủy bỏ việc đưa tin,” Godes nói.
Sean O'Brien, thành viên đến thăm Dự án Xã hội Thông tin tại Trường Luật Yale và là người sáng lập Phòng thí nghiệm Quyền riêng tư tại Trường Luật Yale, lưu ý: An ninh phải chủ động, ngăn chặn các vi phạm có thể xảy ra trước khi chúng xảy ra thay vì chỉ phản ứng với mỗi cuộc tấn công thành công.
O'Brien nói: “Ngành bảo hiểm có thể ngày càng trở nên phức tạp hơn khi các yêu cầu về an ninh mạng gia tăng, nhằm bảo vệ lợi nhuận của họ và tránh việc bồi hoàn bất cứ khi nào có thể”. “Tất nhiên, đây luôn là vai trò của những người điều chỉnh bảo hiểm và hoạt động kinh doanh của họ theo nhiều cách gây bất lợi cho lợi ích của tổ chức bạn sau khi bụi lắng xuống sau một cuộc tấn công mạng.”
Điều đó nói rằng, các tổ chức không nên mong đợi một khoản thanh toán ông lưu ý về các chính sách và thực hành an ninh mạng kém.
Jess Burn, nhà phân tích cấp cao tại Forrester Research, lưu ý rằng mặc dù trường hợp của Du khách đặc biệt liên quan đến biện pháp kiểm soát an ninh MFA duy nhất, các công ty bảo hiểm có thể sửa đổi sự phụ thuộc của người bảo lãnh vào việc tự chứng thực mà không cần một số loại xác minh của bên thứ ba về các biện pháp kiểm soát bảo mật khác trong tương lai. .
Burn cho biết: “Các vụ kiện tụng và hủy bỏ phạm vi bảo hiểm, việc kêu gọi người được bảo hiểm và chủ hợp đồng bảo hiểm đưa ra những sai sót nhỏ mà họ đã kể hoặc bỏ sót các chi tiết xung quanh cách họ được bảo vệ trong các biện pháp an toàn của mình” dường như đang là một xu hướng mới nổi.
Một lựa chọn để loại bỏ bất kỳ câu hỏi nào về việc liệu một công ty có thực hiện kiểm soát an ninh là cung cấp hỗ trợ đã được xác minh, cô ấy nói thêm. Ngay cả khi không yêu cầu minh bạch, việc cung cấp xác minh của bên thứ ba rằng các biện pháp kiểm soát được áp dụng cho MFA, quản lý rủi ro của bên thứ ba, phát hiện điểm cuối hoặc bất kỳ biện pháp kiểm soát bảo mật nào sẽ loại bỏ mọi hiểu lầm hoặc lo ngại trước khi chính sách được áp dụng cấp.
Bảo hiểm mạng đang phát triển
Marc Schein, đồng chủ tịch quốc gia tại Trung tâm Mạng xuất sắc tại Cơ quan Marsh McLennan, nhà môi giới bảo hiểm lớn nhất thế giới, cho biết, trong khi việc triển khai công nghệ và bảo mật thay đổi theo thời gian, các công ty bảo hiểm mạng đánh giá lại các biện pháp kiểm soát bảo lãnh của họ hàng năm. Không giống như các hợp đồng bảo hiểm tai nạn thông thường có lịch sử thống kê rất rộng rãi đối với các nhà bảo hiểm, bảo hiểm mạng vẫn được coi là một lĩnh vực non trẻ và các nhà bảo hiểm vẫn đang hoàn thiện các thuật toán và phân tích của họ để có rủi ro về giá tốt nhất.
Một lĩnh vực mà các nhà bảo lãnh phụ thuộc nhiều vào sự tự chứng thực từ các công ty liên quan đến hồ sơ rủi ro của họ là các biện pháp kiểm soát: họ có những biện pháp kiểm soát nào, chúng được cấu hình tốt như thế nào và hiệu quả của chúng. Đôi khi, Schein tiếp tục, một nhà bảo hiểm có thể yêu cầu một khách hàng tiềm năng bảo hiểm phải trải qua các cuộc đánh giá chẳng hạn như thử nghiệm thâm nhập. Nếu kết quả kiểm tra trở lại với kết quả khác biệt đáng kể so với dự kiến — ví dụ: nếu 100 cổng mở mà khách hàng tiềm năng cho biết đã đóng — công ty bảo hiểm có thể sẽ thảo luận về các cổng mở đó, cũng như các chứng thực khác, để xác định liệu công ty đã cố tình che giấu một vấn đề hoặc liệu có lỗi ngẫu nhiên hay không.
Schein cho biết CISO miễn cưỡng trả lời các câu hỏi về đơn đăng ký có thể khiến người bảo lãnh yêu cầu đầu tư đáng kể để giảm thiểu vấn đề trước khi bảo hiểm được phê duyệt. Nếu một công ty cho biết họ có kế hoạch đầu tư vào các nỗ lực giảm nhẹ nhưng dự án sẽ không hoàn thành cho đến sau ngày bảo hiểm có hiệu lực, công ty bảo hiểm có thể thỏa hiệp bằng cách ràng buộc đơn đăng ký nhưng giới hạn phạm vi bảo hiểm thực tế ở một tỷ lệ phần trăm trong giới hạn của hợp đồng. - có thể là 10% trong giới hạn bảo hiểm 1 triệu USD của hợp đồng - cho đến khi các nỗ lực khắc phục hoàn tất.
Luật sư Godes lưu ý: “Điều đáng chú ý là các hãng bảo hiểm từ chối kiểm tra, kiểm tra hoặc tham gia vào việc kiểm soát tổn thất khi bảo lãnh phát hành”. “Có thể họ tin rằng họ có thể loại bỏ tấm thảm bên dưới mà những chủ hợp đồng không hề biết đến, dựa vào việc hủy bỏ để tránh phải gánh chịu những rủi ro mà các công ty bảo hiểm có thể đã tự mình kiểm tra.”
Godes không đồng tình với quan điểm cho rằng các công ty bảo hiểm mạng chỉ đơn giản là điều chỉnh lại thủ tục bảo lãnh phát hành của họ. Ông lưu ý: “Ngành công nghiệp đang ngày càng tạo ra nhiều thách thức hơn trong việc đáp ứng các ứng dụng của họ và tiếp tục có những thay đổi bất thường trong các ứng dụng”.
“Theo kinh nghiệm của tôi,” ông nói, “cuộc điều tra duy nhất [của các công ty bảo hiểm mạng] là nỗ lực tìm ra cách nhà cung cấp dịch vụ có thể hủy bỏ bảo hiểm hoặc đe dọa làm như vậy, thay vì tìm hiểu xem liệu yêu cầu bồi thường có được bảo hiểm hay không và nên thực hiện như thế nào định cư."
