Въпреки непрекъснато нарастващото разпространение на кибератаките, областта на киберзастраховането все още е сравнително нова и се развива.
Застрахователните компании непрекъснато пренаписват своите киберзастрахователни полици в отговор на променящия се характер на рисковете. Тъй като кибератаките стават все по-сложни, застрахователните компании, опитвайки се да сведат до минимум потенциалната си експозиция, изготвят по-нови политики, опитвайки се да наложат по-големи тежести и условия на притежателите на корпоративни полици.
Въпреки че всяка полица е различна, има някои повтарящи се проблеми, които застрахователните компании повдигат, за да избегнат изплащането на пълната сума на кибериск.
Разбираеми притежатели на полици, които са наясно с тези често срещани проблеми, описани по-долу, ще могат ефективно да се ориентират около тях, като по този начин увеличат максимално потенциалното си застрахователно възстановяване в случай на загуба, свързана с киберпространството.
Тази статия разглежда някои типични грешки на притежателите на полици, които застрахователните компании са използвали като основа за намаляване на покритието.
1) Попълнете своите киберприложения с вашия служител или служител по ИТ сигурност
Приложенията за киберзастраховане станаха по-специфични и насочени във въпросите си относно вашата инфраструктура и контроли за киберсигурност. Застрахователите могат да използват всякакви неточности в отговорите на вашето заявление като основа, за да се опитат да избегнат покритието.
Например, заявление за кибер подновяване от 2019 г. от Travellers Casualty and Surety Company of America пита кандидатите дали разполагат с актуална технология за активна защитна стена; актуален активен антивирусен софтуер на всички компютри, мрежи и мобилни устройства; процес за редовно изтегляне и инсталиране на корекции; план за възстановяване след бедствие; многофакторна автентификация; практики за криптиране на данни; и са съвместими със стандартите за сигурност на индустрията за разплащателни карти.
Лума Ал-Шибиб, акционер, Anderson Kill
Такива технически въпроси обикновено са извън познанията на не-ИТ персонала, който обикновено отговаря за подаването на заявленията за застраховка.
В допълнение към изискването за подробни приложения, не е необичайно застрахователните компании сега да изискват отделни атестационни формуляри за специфични контроли за сигурност.
Такива атестации може да изброяват минимални изисквания, които трябва да бъдат изпълнени, за да се получи кибер покритие.
Формулярът за удостоверяване на многофакторна автентификация на една застрахователна компания например пита кандидатите не само дали имат многофакторна автентификация за служители, когато имат достъп до системата чрез уебсайт или услуга, базирана на облак (например, когато влизат дистанционно от дом), но също така и за вътрешен, недистанционен достъп до административната директория, защитни стени, рутери, крайни точки и услуги (например при влизане директно от офиса).
Когато попълвате такива заявления, е важно да запомните, че всякакви неточности може да бъдат използвани от застрахователната компания като основание за отказ на вашия иск.
Това поражда особено безпокойство в онези юрисдикции, като Ню Йорк, които позволяват на застраховател да отмени полица въз основа на съществена грешка в заявление за застраховка – дори когато тази грешка не е направена умишлено от притежателя на полицата.
(Вижте Закона за застраховането на N.Y. McKinney § 3105, който позволява на застрахователната компания да анулира полица въз основа на съществено погрешно представяне в заявление за застраховане, ако застрахователят може да докаже, че е разчитал на това погрешно представяне при издаването на полицата; умишленост от страна на притежателят на полицата не се изисква.)
Тъй като неволна грешка при попълване на киберзаявление може да се използва като основа за отказ на покритие, заявлението трябва да бъде попълнено или от служител или служител по ИТ сигурността, или в тясна консултация с такъв.
2) Идентифицирайте и адресирайте уязвимостите в киберсигурността преди атака
Редовното оценяване на вашата система за уязвимости и навременното инсталиране на пачове не само помага за предотвратяване на кибератаки, но също така минимизира застраховката способността на компанията да откаже покритие за вашите разходи за саниране и възстановяване въз основа на това, че тези разходи представляват подобрения на вашата система.
Може да бъде написана киберполитика, която да забранява покритието за системни „надстройки“, „подобрения“ или „подобрения“.
Ако вашата полица съдържа такива разпоредби, вашата застрахователна компания може да твърди, че определени разходи за възстановяване на системата са за ненужни подобрения и да се опита да отхвърли тези разходи въз основа на това, че кибер полицата не е предназначена да покрива подобренията на притежателя на полица към неговата предварителна атака система.
3) Наемете киберексперти, предварително одобрени от вашия застрахователен превозвач, ако вашата полица го изисква
Киберзастрахователните полици могат да покриват само кибер разходи, които са направени чрез използването на одобрени от застрахователя специалисти по киберсигурност.
Преди да наемете външни киберконсултанти или да извършите съдебно-медицинско разследване, възстановяване или работа по възстановяване на вашата система, проверете вашата политика, за да определите дали изисква да изберете от предварително одобрен списък с определени от застрахователя консултанти. Някои полици позволяват на притежателя на полицата да наеме кибер консултант, който не е в списъка на определените специалисти на застрахователната компания, но само с предварително писмено одобрение от застрахователната компания.
Ако наемете някого, който не е в списъка с предварително одобрени киберпрофесионалисти на застрахователната компания и не успеете да получите предварително писмено одобрение от застрахователната компания за задържането, застрахователната компания може да използва това като основа, за да се опита да откаже или намали покритието за вашето искане.
По принцип е добра практика да преглеждате полиците си, преди да възникне загуба, и да го правите достатъчно редовно (напр. на всеки шест месеца), за да сте запознати с техните покрития, изисквания и ограничения.
4) Прегледайте и забележете всички некибернетични политики, които потенциално покриват вашия иск
Прегледайте некибернетическите си политики, за да определите дали потенциално покриват загуби, свързани с кибернетичното пространство, и предоставят това, което застрахователните компании подвеждащо наричат „тихо кибер“ покритие (не е „тихо“, ако безвъзмездното покритие го включва).
Такова потенциално покритие може да бъде намерено във вашата обща полица за отговорност, полица за собственост на първа страна, полица D&O и полица за застраховка срещу престъпления, наред с други.
Например, застрахователна полица срещу престъпления може да покрива откупа, платен на нападателите, за да освободят достъпа до вашата система, файлове и информация в резултат на атака на ransomware.
Съд допусна възможността за такова покритие в G&G Oil Co. of Indiana, Inc. срещу Cont’l Western Ins. Co. (Индиана, 18 март 2021 г.), като заключи, че плащането на рансъмуер може да бъде обхванато от разпоредбата за „компютърна измама“ на политиката за престъпления, въпреки че притежателят на полицата е отказал удължаване на политиката за компютърно хакване и покритие срещу вируси. Това дело беше върнато на първоинстанционния съд.
5) Вашата полица може да изисква от вас да намалите щетите от кибератака, но не приемайте, че застрахователната компания ще се съгласи да заплати вашите разходи за смекчаване
Само защото полицата изисква да намалите щетите от кибератака, не приемайте, че застрахователната компания ще се съгласи да покрие разходите ви за смекчаване.
Стивън Пудел, акционер, Anderson Kill
Ако в полицата не е посочено изрично, че тя покрива смекчаващи разходи, застрахователната компания може да се опита да откаже покритие за такива разходи, които не са изрично покрити по друг начин в една от разпоредбите за покритие на полицата.
Например, ако използвате свои собствени служители на ИТ и киберсигурност, за да отговорите на атака, застрахователната компания може да откаже да покрие заплатите на служителите за времето, когато са реагирали на атаката, и може да твърди, че няма задължение по полицата да покрива заплатите на служителите, тъй като те са част от нормалните оперативни разходи на притежателя на полицата и биха били направени при липса на кибератака.
Застрахователната компания може да претендира, че такива разходи не са покрити, въпреки че вашите ИТ служители работят изключително, за да отговорят и да се възстановят от кибератаката и по друг начин не изпълняват обичайните си задачи и задължения.
Освен това застрахователната компания може да откаже покритие, въпреки че използването на вашите собствени служители в крайна сметка намалява вашите свързани с кибернетичното пространство загуби (както и потенциалната експозиция на застрахователната компания) и ви позволява да възобновите дейността си по-бързо поради запознатостта на вашите служители с вашата система и способността им да започнат незабавна реакция при пробив.
6) Не приемайте, че застрахователната компания работи, за да защити вашите интереси
Една често срещана грешка на притежателите на полици е да се приеме, че интересите на застрахователните компании са съобразени с техните. Да приемем по-скоро, че целта на застрахователните компании е да максимизират печалбите си и че те ще използват всяка налична защита на покритието и изключване на полици, за да намалят изплащанията си.
По-конкретно в контекста на застраховката за киберотговорност, застрахователната компания може да изиска от вас да наемете съдебен счетоводител или консултант по киберискове от техния списък с експерти по оценка, за да ви помогне при оценяването на вашия кибериск.
В такива случаи не приемайте, че препоръчаният от застрахователната компания експерт представлява вашите интереси.
Този консултант по оценка е задължен на застрахователния превозвач, който той разглежда като източник на повторен бизнес – а не на вас. Ако попаднете в такава ситуация, най-добре е да наемете свой собствен независим професионалист, опитен в застрахователните искове за кибернетична отговорност, който да ви съветва в отношенията ви както със застрахователната компания, така и с консултанта по оценка на трета страна.
Застраховката вероятно ще бъде последното нещо, за което мислите, или със сигурност не в горната част на списъка ви, когато сте претърпели кибератака. Поради тази причина е важно да планирате предварително, да се образовате и да знаете и разбирате правата и задълженията си съгласно вашата кибер политика и други потенциално отзивчиви политики сега, така че да можете по-добре да защитите бизнеса си, в случай че някога претърпи кибер атака. &
Лума С. Ал-Шибиб, акционер в нюйоркския офис на Anderson Kill P.C. Стивън Пудел е управляващ акционер в нюйоркския офис на Anderson Kill P.C.
