I přes stále rostoucí prevalenci kybernetických útoků je oblast kybernetického pojištění stále relativně nová a vyvíjí se.
Pojišťovny neustále přepisují své kybernetické pojistky v reakci na vyvíjející se povahu rizik. Jak kybernetické útoky nabývají na sofistikovanosti, pojišťovny, snažící se minimalizovat jejich potenciální riziko, navrhují novější pojistky, které se snaží uvalit větší zátěž a podmínky na firemní pojistníky.
I když je každá pojistka jiná, existují určité opakující se problémy, které pojišťovny upozorňují, aby se vyhnuly vyplacení celé částky kybernetického nároku.
Důvtipní pojistníci, kteří si jsou vědomi těchto běžných problémů, nastíněných níže, se v nich budou moci efektivně orientovat, a tím maximalizovat své potenciální zotavení z pojištění v případě kybernetické ztráty.
Tento článek zkoumá některé typické chyby pojistníků, které pojišťovny použily jako základ pro snížení krytí.
1) Dokončete své kybernetické aplikace se svým IT Security Officerem nebo zaměstnancem
Aplikace kybernetického pojištění se staly konkrétnějšími a cílenější v otázkách týkajících se vaší infrastruktury a ovládacích prvků kybernetické bezpečnosti. Pojistitelé mohou použít jakékoli nepřesnosti ve vašich odpovědích na žádost jako základ, aby se pokusili vyhnout krytí.
Například aplikace kybernetické obnovy z roku 2019 od Travelers Casualty and Surety Company of America se žadatelů ptá, zda mají aktuální aktivní technologii firewallu; aktuální aktivní antivirový software na všech počítačích, sítích a mobilních zařízeních; proces pravidelného stahování a instalace záplat; plán obnovy po havárii; vícefaktorové ověřování; postupy šifrování dat; a jsou v souladu s bezpečnostními standardy odvětví platebních karet.
Luma Al-Shibib, akcionář, Anderson Kill
Takové technické otázky jsou obecně mimo znalosti pracovníků mimo IT, kteří jsou obvykle odpovědní za podání žádostí o pojištění.
Kromě požadavku na podrobné žádosti není neobvyklé, že pojišťovny nyní vyžadují samostatné formuláře potvrzení pro konkrétní bezpečnostní kontroly.
Taková osvědčení mohou obsahovat minimální požadavky, které musí být splněny, aby bylo možné získat kybernetické pokrytí.
Formulář potvrzení o vícefaktorové autentizaci jedné pojišťovny se například žadatelů ptá nejen na to, zda mají pro zaměstnance k dispozici vícefaktorovou autentizaci při přístupu do systému prostřednictvím webové stránky nebo cloudové služby (například při vzdáleném přihlášení z domů), ale také pro interní, nevzdálený přístup k administrativnímu adresáři, firewallům, routerům, koncovým bodům a službám (například při přihlašování přímo z kanceláře).
Při vyplňování takových žádostí je důležité mít na paměti, že případné nepřesnosti mohou být pojišťovnou použity jako základ pro zamítnutí vašeho nároku.
To je problém zejména v těch jurisdikcích, jako je New York, které umožňují pojistiteli zrušit pojistku na základě podstatné chyby v žádosti o pojištění – i když tuto chybu neudělal pojistník úmyslně.
(Viz zákon N.Y. McKinney's Insurance Law § 3105, který umožňuje pojišťovně zrušit pojistku na základě podstatného nepravdivého prohlášení v žádosti o pojištění, pokud pojistitel může prokázat, že spoléhal na toto nepravdivé prohlášení při vydávání pojistky; svévole na straně pojistník není vyžadován.)
Vzhledem k tomu, že neúmyslná chyba při vyplňování kybernetické žádosti může být pravděpodobně použita jako základ pro odmítnutí pokrytí, žádost by měla být vyplněna buď pracovníkem IT bezpečnosti nebo zaměstnancem, nebo v úzké konzultaci s ním.
2) Identifikujte a řešte zranitelnosti kybernetické bezpečnosti před útokem
Pravidelné vyhodnocování zranitelností systému a včasná instalace oprav nejen pomáhá předcházet kybernetickým útokům, ale také minimalizuje pojištění schopnost společnosti odmítnout krytí vašich nákladů na nápravu a obnovu na základě toho, že tyto náklady představují vylepšení vašeho systému.
Kybernetické zásady mohou být sepsány tak, aby zamezily pokrytí systémových „upgradů“, „vylepšení“ nebo „vylepšení“.
Pokud vaše pojistka taková ustanovení obsahuje, vaše pojišťovna může tvrdit, že určité náklady na obnovu systému jsou pro zbytečná vylepšení, a pokusit se tyto náklady popřít na základě toho, že kybernetická pojistka není určena k pokrytí vylepšení pojistníka před jeho útokem. Systém.
3) Najměte si kybernetické experty předem schválené vaším pojišťovacím operátorem, pokud to vaše pojistka vyžaduje
Kybernetické pojistky mohou pokrývat pouze kybernetické náklady vzniklé používáním pojistitelem schválených odborníci na kybernetickou bezpečnost.
Před najmutím jakýchkoli externích kybernetických konzultantů nebo provedením jakéhokoli forenzního vyšetřování, obnovy nebo obnovy vašeho systému zkontrolujte své zásady, abyste zjistili, zda vyžadují výběr z předem schváleného seznamu konzultantů určených pojistitelem. Některé smlouvy umožňují pojistníkovi najmout si kybernetického poradce, který není na seznamu určených odborníků pojišťovny, ale pouze s předchozím písemným souhlasem pojišťovny.
Pokud najmete někoho, kdo není na předem schváleném seznamu kybernetických profesionálů pojišťovny, a nezískáte předem písemný souhlas pojišťovny s uchováním, může to pojišťovna použít jako základ pro pokus odmítnout nebo snížit krytí váš nárok.
Obecně je dobrou praxí zkontrolovat své zásady předtím, než dojde ke ztrátě, a činit tak dostatečně pravidelně (např. pololetně), abyste byli obeznámeni s jejich pokrytím, požadavky a omezeními.
4) Prostudujte si a uvědomte si všechny nekybernetické zásady, které potenciálně pokrývají váš nárok
Projděte si své nekybernetické zásady, abyste zjistili, zda potenciálně pokrývají ztráty související s kybernetickými to, co pojišťovny zavádějícím způsobem nazývají „tiché kybernetické“ krytí (není „tiché“, pokud jej grant na krytí zahrnuje).
Takové potenciální krytí lze nalézt mimo jiné ve vašich zásadách obecné odpovědnosti, zásadách vlastnictví první strany, zásadách D&O a pojištění trestných činů.
Pojištění zločinu může například pokrývat výkupné zaplacené útočníkům za uvolnění přístupu k vašemu systému, souborům a informacím v důsledku ransomwarového útoku.
Soud povolil možnost takového krytí ve věci G&G Oil Co. of Indiana, Inc. v. Cont’l Western Ins. Co. (Ind. Mar. 18, 2021), se závěrem, že na platby ransomwaru se může vztahovat ustanovení o „počítačovém podvodu“ v zásadách pro zločin, i když pojistník odmítl prodloužení pojistky pro počítačové hackování a krytí virů. Tento případ byl vrácen soudu prvního stupně.
5) Vaše pojistka může vyžadovat, abyste zmírnili škody způsobené kybernetickým útokem, ale nepředpokládejte, že pojišťovna bude souhlasit s úhradou vašich nákladů na zmírnění
Jen proto, že pojistka vyžaduje, abyste zmírnili škody způsobené kybernetickým útokem, nepředpokládejte, že pojišťovna bude souhlasit s úhradou vašich nákladů na zmírnění.
Steven Pudell, akcionář, Anderson Kill
Pokud pojistka výslovně neuvádí, že pokrývá náklady na zmírnění dopadů, může se pojišťovna pokusit zrušit krytí takových nákladů, které nejsou jinak výslovně kryty jedním z ustanovení o krytí v pojistce.
Pokud například k reakci na útok použijete své vlastní zaměstnance v oblasti IT a kybernetické bezpečnosti, může pojišťovna odmítnout uhradit mzdy zaměstnanců za dobu, kdy na útok reagovali, a může argumentovat tím, že nemá podle pojistky povinnost hradit mzdy zaměstnanců, protože ty jsou součástí běžných provozních nákladů pojistníka a vznikly by bez kybernetického útoku.
Pojišťovna může tvrdit, že takové náklady nejsou hrazeny, i když vaši IT zaměstnanci pracují výhradně na reakci a zotavení se z kybernetického útoku a jinak neplní své běžné úkoly a povinnosti.
Pojišťovna může navíc odmítnout krytí, i když využití vašich vlastních zaměstnanců v konečném důsledku sníží vaše kybernetické ztráty (a také potenciální riziko pojišťovny) a umožní vám obnovit operace rychleji, protože vaši zaměstnanci znají váš systém a jejich schopnost okamžitě zahájit reakci na porušení.
6) Nepředpokládejte, že pojišťovna funguje na ochranu vašich zájmů
Jednou z běžných chyb pojistníků je předpokládat, že zájmy pojišťoven jsou v souladu s jejich zájmy. Předpokládejme spíše, že cílem pojišťoven je maximalizovat své zisky a že nasadí veškerou dostupnou obranu a vyloučení pojištění, aby snížily své výplaty.
Konkrétně v souvislosti s pojištěním kybernetické odpovědnosti může pojišťovna vyžadovat, abyste si najali forenzního účetního nebo konzultanta v oblasti kybernetických škod z jejich určeného seznamu odborníků na oceňování, kteří vám pomohou s ohodnocením vašeho kybernetického nároku.
V takových případech nepředpokládejte, že odborník doporučený pojišťovnou zastupuje vaše zájmy.
Tento poradce pro oceňování je oddán pojišťovně, kterou považuje za zdroj opakovaných obchodů – a ne vám. Pokud se ocitnete v takové situaci, je nejlepší si ponechat vlastního nezávislého odborníka, který má zkušenosti s pojistnými událostmi v oblasti kybernetické odpovědnosti, který vám poradí při jednání s pojišťovnou i s externím konzultantem pro oceňování.
Pojištění bude pravděpodobně to poslední, na co myslíte, nebo určitě nebude na prvním místě vašeho seznamu, když jste utrpěli kybernetický útok. Z tohoto důvodu je důležité plánovat dopředu, vzdělávat se a znát a chápat svá práva a povinnosti vyplývající z vašich kybernetických zásad a dalších potenciálně citlivých zásad, abyste byli schopni lépe chránit své podnikání v případě, že se někdy setká s problémy. kybernetický útok. &
Luma S. Al-Shibib, akcionář newyorské kanceláře Anderson Kill P.C. Steven Pudell je řídícím akcionářem newyorské kanceláře Anderson Kill PC.
