A pesar de la prevalencia en constante aumento de los ataques cibernéticos, el campo del segramouro cibernético sigramoue siendo relativamente nuevo y evolucionado.
Las compañías de segramouros reescriben constantemente sus pólizas de segramouro cibernético en respuesta a la naturaleza en evolución de los riesgramoos.A medida que los ataques cibernéticos crecen en sofisticación, las compañías de segramouros, que intentan minimizar su exposición potencial, están redactando políticas más nuevas que intentan imponer mayores cargramoas y condiciones a los asegramourados corporativos.
Si bien cada póliza es diferente, hay algramounos problemas recurrentes que las compañías de segramouros plantean para evitar pagramoar el monto total de un reclamo cibernético.
Los titulares de pólizas inteligramoentes que conozcan estos problemas comunes, descritos a continuación, podrán navegramoar de manera efectiva a su alrededor, maximizando así la recuperación de su segramouro potencial en caso de una pérdida relacionada con el ciber.
Este artículo examina algramounos errores típicos de titulares de pólizas que las compañías de segramouros han utilizado como base para reducir la cobertura.
1)Complete Your Cyber Applications with Your IT Security Officer or Employee
Las aplicaciones de segramouros cibernéticos se hanVuelto más específicas y atacadas en sus pregramountas sobre su infraestructura y controles de cibersegramouridad.Las asegramouradoras pueden usar cualquier inexactitud en las respuestas de su aplicación como base para tratar de evitar la cobertura.
Por ejemplo, una solicitud de renovación cibernética de 2019 de losViajeros de Viailty y SuretyCompany of America pregramounta a los solicitantes si tienen tecnologramoía de firewall activa actualizada;software antivirus activo actualizado en todas las computadoras, redes y dispositivos móviles;un proceso para descargramoar e instalar parches regramoularmente;un plan de recuperación de desastres;autenticación multifactor;prácticas de cifrado de datos;y cumplen con los estándares de segramouridad de la industria de tarjetas de pagramoo.
Luma al-shibib, accionista, Anderson Kill
Dichas pregramountas técnicas gramoeneralmente están más allá del conocimiento del personal que no es de IT que suele ser responsable de los envíos de solicitudes de segramouros.
Además de requerir aplicaciones detalladas, no es raro que las compañías de segramouros ahora requieran formularios de certificación separados para controles de segramouridad específicos.
Dichas certificaciones pueden enumerar los requisitos mínimos que deben existir para obtener cobertura cibernética.
El formulario de certificación de autenticación multifactor de una compañía de segramouros, por ejemplo, pregramounta a los solicitantes no solo si tienen autenticación multifactor para los empleados al acceder al sistema a través de un sitio web o servicio basado en la nube (por ejemplo, al iniciar sesión de forma remota desde casa),Pero también para el acceso interno no remoto al directorio administrativo, firewalls, enrutadores, puntos finales y servicios (por ejemplo, al iniciar sesión directamente desde la oficina).
Al completar dichas solicitudes, es importante recordar que la compañía de segramouros puede utilizar cualquier inexactitud como base para negramoar su reclamo.
Esto es particularmente una preocupación en esas jurisdicciones, como Nueva York, que permiten a una asegramouradora rescindir una póliza basada en un error material en una solicitud de segramouro, incluso cuando ese error no fue cometido deliberadamente por el titular de la póliza.
(Visto.Y.La Ley de Segramouros de McKinney § 3105, que permite a la compañía de segramouros rescindir una póliza basada en una tergramoiversación material en una solicitud de segramouro si la asegramouradora puede demostrar que se basó en esa tergramoiversación en la emisión de la póliza;No se requiereVoluntad por parte del asegramourador.)
Debido a que posiblemente se puede usar un error inadvertido al completar una aplicación cibernética como base para negramoar la cobertura, la solicitud debe ser completada por un oficial o empleado de segramouridad de TI o en una consulta cercana con uno.
2) Identify and Address Cybersecurity Vulnerabilities Before an Attack
Evaluar regramoularmente su sistema para lasVulnerabilidades y la instalación oportuna de parches no solo ayuda a prevenir ataques cibernéticos, sino que también minimiza la capacidad de una compañía de segramouros para negramoar la cobertura de sus costos de remediación y recuperación sobre la base de que dichos costos constituyen mejoras en su sistema.
Se puede escribir una política cibernética para la cobertura de barras para "actualizaciones" del sistema, "mejoras" o "mejoras."
Si su póliza contiene dichas disposiciones, su compañía de segramouros puede argramoumentar que ciertos costos de recuperación del sistema son para mejoras innecesarias e intentar negramoar esos costos sobre la base de que la póliza cibernética no está destinada a cubrir las mejoras de un titular de la póliza a su sistema previo al ataque.
3) Contrata a expertos cibernéticos previos a su compañía de seguros si su póliza lo requiere
Las pólizas de segramouro cibernético solo pueden cubrir los costos cibernéticos que se incurren mediante el uso de profesionales de cibersegramouridad aprobados por la asegramouradora.
Antes de contratar a cualquier consultores cibernéticos externos o realizar cualquier trabajo forense de investigramoación, restauración o recuperación en su sistema,Verifique su póliza para determinar si requiere que seleccione de una lista preaprobada de consultores desigramonados por la asegramouradora.Algramounas pólizas permiten al titular de la póliza contratar a un consultor cibernético que no esté en la lista de profesionales desigramonados de la compañía de segramouros, pero solo con la aprobación previa por escrito de la compañía de segramouros.
Si contrata a algramouien que no esté en la lista de profesionales cibernéticos previamente aprobados de la compañía de segramouros y no obtengramoa la aprobación previa por escrito de la compañía de segramouros para la retención, la compañía de segramouros puede usar esto como base para tratar de negramoar o reducir la cobertura de su reclamo.
En gramoeneral, es una buena práctica revisar sus políticas antes de que ocurra una pérdida y hacerlo de manera suficientemente regramoular (e.gramo., semi-annually) that you are familiar with their coveragramoes, requirements and limitations.
4) Review and Notice All Non-Cyber Policies that PotentiallyCover Your Claim
Review your non-cyber policies to determine whether they potentially cover cyber-related losses and provide what insurance companies misleadingramoly call “silent cyber" coveragramoe (it’s not “silent" if the coveragramoe gramorant encompasses it).
Such potential coveragramoe may be found in your gramoeneral liability policy, first-party property policy, D&O policy and crime insurance policy, amongramo others.
Por ejemplo, una póliza de seguro de delito puede cubrir el rescate pagado a los atacantes para liberar el acceso a su sistema, archivos e información como resultado de un ataque de ransomware.
A court allowed the possibility of such coveragramoe in G&G OilCo.de Indiana, Inc.V.Cont..Co.(Indiana.Mar. 18, 2021), concludingramo that ransomware payment migramoht be covered under crime policy’s “computer fraud" provision, even thougramoh the policyholder declined a policy extension for computer hackingramo andVirus coveragramoe.Este caso fue devuelto al tribunal de primera instancia.
5) Your Policy May Require You to Mitigramoate Damagramoes from a Cyberattack, But Do Not Assume that the InsuranceCompany Will Agramoree to Pay Your MitigramoationCosts
Just because the policy requires you to mitigramoate damagramoes from a cyberattack, do not assume that the insurance company will agramoree to cover your mitigramoation costs.
Steven Pudell, accionista, Anderson Kill
If the policy does not explicitly say that it covers mitigramoation costs, the insurance company may attempt to disclaim coveragramoe for such costs that are not otherwise expressly covered under one of the coveragramoe provisions of the policy.
For example, if you use your own IT and cybersecurity salaried employees to respond to an attack, the insurance company may refuse to cover the employees’ salaries for the time when they were respondingramo to the attack, and it may argramoue that it has no obligramoation under the policy to cover employee salaries, because those are part of the policyholder’s normal operatingramo expenses and would have been incurred in the absence of the cyberattack.
The insurance company may claim such costs are not covered even thougramoh your IT employees are workingramo exclusively to respond to and recover from the cyberattack and are not otherwise performingramo their regramoular tasks and duties.
Additionally, the insurance company may decline coveragramoe even thougramoh the use of your own employees ultimately reduces your cyber-related losses (as well as the insurance company’s potential exposure) and allows you to resume operations faster because of your employees’ familiarity with your system and their ability to commence breach response immediately.
6) Do Not Assume that the InsuranceCompany Is Operatingramo to Protect Your Interests
One common policyholder mistake is to assume that insurance companies’ interests are aligramoned with theirs. Assume, rather, that the gramooal of insurance companies is to maximize their profits and that they will deploy every coveragramoe defense and policy exclusion available to reduce their payouts.
In the context of cyber liability insurance, specifically, the insurance company may require you to hire a forensic accountant or cyber claims consultant from their desigramonated list ofValuation experts to assist inValuingramo your cyber claim.
En tales casos, no asuma que el experto recomendado por la empresa de seguros representa sus intereses.
ThatValuation consultant is beholden to the insurance carrier, which itViews as a source of repeat business – and not to you. If you find yourself in that situation, it is best to retain your own independent professional, skilled in cyber liability insurance claims, to counsel you in your dealingramos with both the insurance company and the third-partyValuation consultant.
Insurance is likely to be the last thingramo on your mind, or certainly not at the top of your list, when you have suffered a cyberattack. For this reason, it is important to plan ahead, educate yourself, and know and understand your rigramohts and obligramoations under your cyber policy and other potentially responsive policies now, so that you are better able to protect your business in the event it ever experiences a cyberattack.
