一家网络保险公司提起的一项无效诉讼声称其客户在保险申请中误导了其,这可能会为改变承保人评估保险申请中自我证明索赔的方式铺平道路。
该案——美国旅行者财产伤亡公司诉国际控制服务公司(ICS)——关键在于 ICS 声称,当电子制造商 申请保单。 五月,该公司遭遇勒索软件攻击。 法医调查人员确定没有 MFA,因此 Travelers 声称它不应该对这一索赔负责。
该案件(编号:22-cv-2145)于 6 月 XNUMX 日向美国伊利诺伊州中区地方法院提起诉讼。XNUMX 月底,诉讼各方同意宣告合同无效,结束了 ICS 为其保险公司提供承保的努力它的损失。
本案的不同寻常之处在于,旅行者在法庭文件中坚称虚假陈述“严重影响了旅行者对风险和/或危险的接受”。
华盛顿特区 Barnes & Thornburg LLP 律师事务所合伙人斯科特·戈德斯 (Scott Godes) 表示,将客户告上法庭与保险公司简单拒绝索赔的其他类似案件不同,但这并不是唯一的情况。
“过去几年我看到这个问题不断出现。 从我的角度来看,保险公司让这个市场变得艰难—— 提高保费并降低限额 ——这让他们更有勇气通过取消保险范围来选择核选项,”戈德斯说。
耶鲁大学法学院信息社会项目客座研究员、耶鲁大学法学院隐私实验室创始人肖恩·奥布莱恩 (Sean O'Brien) 指出,安全性应该是主动的,在可能的违规行为发生之前阻止它们,而不是简单地对每次成功的攻击做出响应。
“随着网络安全索赔的增加,保险业可能会变得越来越挑剔,捍卫自己的底线并尽可能避免报销,”奥布莱恩说。 “当然,这一直是保险理赔员的角色,在网络攻击尘埃落定后,他们的业务在很多方面都与您组织的利益相悖。”
也就是说,组织不应该 期待付款 他指出,这是因为网络安全政策和实践不佳。
Forrester Research 高级分析师 Jess Burn 指出,虽然 Travelers 案具体涉及单一 MFA 安全控制,但保险公司可能会改变承保人对自我证明的依赖,而无需对其他安全控制进行某种类型的第三方验证。 。
伯恩表示,“诉讼和撤销承保、因被保险人和投保人撒谎而被起诉,或者在安全实践中遗漏有关如何保护他们的细节”似乎是一种新兴趋势。
消除有关公司是否存在任何问题的一种选择 实施安全控制 她补充道,我们的目标是提供经过验证的支持。 即使不需要透明度,提供第三方验证以确保 MFA、第三方风险管理、端点检测或任何众多安全控制措施的控制措施到位,也应在政策实施之前消除任何误解或担忧。发布。
不断发展的网络保险
全球最大的保险经纪公司 Marsh McLennan Agency 网络卓越中心全国联席主席 Marc Schein 指出,虽然技术和安全实施会随着时间的推移而发生变化,但网络保险公司每年都会重新评估其承保控制。 与承保人拥有非常广泛的统计历史的普通伤亡保险保单不同,网络保险仍被认为是一个新兴领域,承保人仍在完善其算法和分析,以实现最佳价格风险。
承销商严重依赖公司对其风险状况进行自我证明的一个领域是控制:他们拥有哪些控制措施、它们的配置如何以及它们的有效性。 沙恩继续说道,有时,承保人可能会要求保险客户接受渗透测试等评估。 如果测试返回的结果与预期显着不同(例如,如果潜在客户所说的已关闭的 100 个端口处于开放状态),保险公司可能会讨论这些开放端口以及其他证明,以确定是否该公司故意试图掩盖问题或是否存在意外错误。
Schein 表示,CISO 不愿意回答有关申请的问题,因为这些问题可能会导致承保人在保险获得批准之前需要大量投资来缓解问题。 如果一家公司表示计划投资缓解措施,但预计该项目要到保险生效后才能完成,保险公司可能会通过约束申请但将实际承保范围限制在保单限额的一定百分比来妥协— 也许是保单 10 万美元承保限额的 1% — 直到补救工作完成。
“值得注意的是,保险公司在承保时拒绝测试、检查或参与损失控制,”戈德斯律师指出。 “也许他们认为,他们可以在不知情的保单持有人的情况下,通过撤销来避免承保保险公司可以自行检查的风险。”
戈德斯并不相信网络保险公司只是在重新调整其承保程序。 他指出:“该行业使得回复他们的申请变得越来越具有挑战性,而且申请中仍然存在变幻莫测的情况。”
“根据我的经验,”他说,“(网络保险公司)唯一的调查是努力弄清楚承运人如何取消承保或威胁这样做,而不是弄清楚索赔是否受到承保以及应该如何承保。就解决了。”
