Huolimatta kyberhyökkäysten alati kasvavasta yleisyydestä, kybervakuutusala on vielä suhteellisen uusi ja kehittyvä.
Vakuutusyhtiöt kirjoittavat jatkuvasti uudelleen kybervakuutuksiaan riskien muuttuvan luonteen vuoksi. Kyberhyökkäysten kehittyessä vakuutusyhtiöt, jotka pyrkivät minimoimaan mahdollisen altistumisensa, laativat uusia politiikkoja, jotka yrittävät asettaa suurempaa taakkaa ja ehtoja yritysten vakuutuksenottajille.
Vaikka jokainen vakuutus on erilainen, vakuutusyhtiöt tuovat esiin joitain toistuvia ongelmia välttääkseen maksamasta koko kybervaatimuksen.
Taitavat vakuutuksenottajat, jotka ovat tietoisia näistä alla kuvatuista yleisistä ongelmista, voivat navigoida niiden ympärillä tehokkaasti ja maksimoida siten mahdollisen vakuutuksensa palautumisen verkkoon liittyvien tappioiden sattuessa.
Tässä artikkelissa tarkastellaan joitain tyypillisiä vakuutuksenottajien virheitä, joita vakuutusyhtiöt ovat käyttäneet perustana kattavuuden vähentämiseen.
1) Täydennä kybersovelluksesi IT-tietoturvavastaavan tai -työntekijän kanssa
Kybervakuutussovellukset ovat tulleet täsmällisemmiksi ja kohdistetuiksi kyberturvallisuusinfrastruktuuriasi ja -hallintaasi koskevissa kysymyksissä. Vakuutuksenantajat voivat käyttää hakemusvastauksissasi olevia epätarkkuuksia perustana yrittääkseen välttää kattavuuden.
Esimerkiksi Travelers Casualty and Surety Company of America:n vuoden 2019 kyberuudistussovellus kysyy hakijoilta, onko heillä ajan tasalla olevaa aktiivista palomuuritekniikkaa. ajan tasalla oleva aktiivinen virustorjuntaohjelmisto kaikissa tietokoneissa, verkoissa ja mobiililaitteissa; prosessi korjaustiedostojen säännölliseen lataamiseen ja asentamiseen; katastrofipalautussuunnitelma; monitekijäinen todennus; tietojen salauskäytännöt; ja ne ovat maksukorttialan turvallisuusstandardien mukaisia.
Luma Al-Shibib, osakkeenomistaja, Anderson Kill
Tällaiset tekniset kysymykset eivät yleensä ole tietotekniikan ulkopuolisten henkilöiden tiedossa, koska he ovat tyypillisesti vastuussa vakuutushakemusten jättämisestä.
Yksittäisten hakemusten vaatimisen lisäksi ei ole harvinaista, että vakuutusyhtiöt vaativat nyt erillisiä todistuslomakkeita tiettyjä turvatarkastuksia varten.
Tällaisissa todistuksissa voidaan luetella vähimmäisvaatimukset, jotka on täytettävä kyberpeittokyvyn saamiseksi.
Yhden vakuutusyhtiön monivaiheisen todennuksen todistuslomake esimerkiksi kysyy hakijoilta paitsi sitä, onko heillä monitekijätodennus työntekijöille, kun he pääsevät järjestelmään verkkosivuston tai pilvipohjaisen palvelun kautta (esim. kirjautuessaan sisään etänä koti), mutta myös sisäiseen, ei-etäkäyttöön järjestelmänvalvojahakemistoon, palomuuriin, reitittimiin, päätepisteisiin ja palveluihin (esimerkiksi kirjautuessasi sisään suoraan toimistosta).
Tällaisia hakemuksia täytettäessä on tärkeää muistaa, että vakuutusyhtiö voi käyttää mahdollisia epätarkkuuksia perusteena korvausvaatimuksen hylkäämiselle.
Tämä on erityisen huolestuttava niillä lainkäyttöalueilla, kuten New Yorkissa, joissa vakuutuksenantaja voi peruuttaa vakuutuksen vakuutushakemuksen olennaisen virheen perusteella – vaikka vakuutuksenottaja ei olisi tehnyt virhettä tahallaan.
(Katso N.Y. McKinney's Insurance Law § 3105, jonka mukaan vakuutusyhtiö voi peruuttaa vakuutuksen, joka perustuu vakuutushakemuksessa esitettyyn olennaiseen harhaan, jos vakuutuksenantaja voi osoittaa, että se on tukeutunut tähän harhaan vakuutusta myöntäessään; vakuutuksenottajaa ei vaadita.)
Koska tahatonta virhettä kyberhakemuksen täyttämisessä voidaan käyttää perusteena kattavuuden epäämiselle, hakemus tulee täyttää joko IT-tietoturvapäällikön tai työntekijän toimesta tai tiiviissä yhteistyössä jonkun kanssa.
2) Tunnista kyberturvallisuuden haavoittuvuudet ja korjaa ne ennen hyökkäystä
Järjestelmän haavoittuvuuksien säännöllinen arviointi ja korjaustiedostojen oikea-aikainen asentaminen auttaa estämään kyberhyökkäyksiä, mutta se myös minimoi vakuutuksen yrityksen kyky evätä korjaus- ja palautuskulujesi korvaus sillä perusteella, että kyseiset kustannukset ovat parannuksia järjestelmääsi.
Kyberkäytäntö voidaan kirjoittaa estämään järjestelmän "päivitysten", "parannusten" tai "parannusten" kattavuus.
Jos vakuutuksesi sisältää tällaisia ehtoja, vakuutusyhtiösi voi väittää, että tietyt järjestelmän palautuskustannukset ovat tarpeettomia parannuksia varten, ja yrittää kieltää nämä kustannukset sillä perusteella, että kybervakuutuksella ei ole tarkoitus kattaa vakuutuksenottajan hyökkäystä edeltävää parannusta. järjestelmä.
3) Palkkaa vakuutusyhtiösi etukäteen hyväksymiä kyberasiantuntijoita, jos vakuutussi sitä vaatii
Kybervakuutukset voivat kattaa vain kyberkulut, jotka aiheutuvat vakuutuksenantajan hyväksymien vakuutusten käytöstä. kyberturvallisuuden ammattilaisia.
Ennen kuin palkkaat ulkopuolisia kyberkonsultteja tai suoritat rikosteknisiä tutkimuksia, ennallistamis- tai palautustöitä järjestelmässäsi, tarkista käytännöstäsi, edellyttääkö se, että sinun on valittava ennalta hyväksytystä luettelosta vakuutuksenantajan nimeämiä konsultteja. Jotkut vakuutukset antavat vakuutuksenottajalle mahdollisuuden palkata kyberkonsultin, joka ei ole vakuutusyhtiön nimettyjen ammattilaisten luettelossa, mutta vain vakuutusyhtiön kirjallisella luvalla.
Jos palkkaat jonkun, joka ei ole vakuutusyhtiön ennalta hyväksymässä kyberammattilaisten luettelossa, etkä saa vakuutusyhtiöltä etukäteen kirjallista hyväksyntää säilyttämiselle, vakuutusyhtiö voi käyttää tätä perustana yrittäessään evätä tai vähentää vakuutusturvaa. väitteesi.
Yleensä on hyvä käytäntö tarkistaa vakuutuksesi ennen tappion sattumista ja tehdä se riittävän säännöllisesti (esim. puolivuosittain), jotta tunnet niiden kattavuuden, vaatimukset ja rajoitukset. >
4) Tarkista ja ilmoita kaikki ei-kyberkäytännöt, jotka mahdollisesti kattavat vaatimuksesi
Tarkista ei-kyberkäytäntösi selvittääksesi, kattavatko ne mahdollisesti verkkoon liittyvät tappiot ja mitä vakuutusyhtiöt harhaanjohtavasti kutsuvat "hiljaiseksi kyberturvalliseksi" (se ei ole "hiljainen", jos kattavuusavustus kattaa sen).
Tällainen mahdollinen suoja voi löytyä muun muassa yleisestä vastuuvakuutuksestasi, ensimmäisen osapuolen omaisuutta koskevasta vakuutuksestasi, D&O-sopimuksesta ja rikosvakuutuksestasi.
Esimerkiksi rikosvakuutus voi kattaa lunnaat, jotka on maksettu hyökkääjille järjestelmän, tiedostojen ja tietojen vapauttamisesta kiristysohjelmahyökkäyksen seurauksena.
Tuomioistuin hyväksyi tällaisen kattavuuden asiassa G&G Oil Co. of Indiana, Inc. vastaan Cont’l Western Ins. Co. (Ind. 18. maaliskuuta 2021), päätellen, että lunnasohjelmamaksut saattavat kuulua rikospolitiikan "tietokonepetoksia" koskevan säännöksen piiriin, vaikka vakuutuksenottaja kieltäytyi myöntämästä tietokonehakkerointia ja virusturvaa koskevaa vakuutusta. Tämä tapaus palautettiin hovioikeuteen.
5) Vakuutuksesi voi edellyttää sinua lieventämään kyberhyökkäyksen aiheuttamia vahinkoja, mutta älä oleta, että vakuutusyhtiö suostuu maksamaan lieventämiskulusi
vain siksi, että vakuutus vaatii sinua lieventämään kyberhyökkäyksen aiheuttamia vahinkoja, älä oleta, että vakuutusyhtiö suostuu korvaamaan vahingonkorvauskulusi.
Steven Pudell, osakkeenomistaja, Anderson Kill
Jos vakuutuksessa ei nimenomaisesti mainita, että se kattaa lieventämiskuluja, vakuutusyhtiö voi yrittää kieltäytyä sellaisista kuluista, joita ei muuten nimenomaisesti kata jokin vakuutuksen kattavuusehto.
Jos esimerkiksi käytät omia IT- ja kyberturvallisuustyöntekijöitäsi reagoidaksesi hyökkäykseen, vakuutusyhtiö saattaa kieltäytyä korvaamasta työntekijöiden palkkoja siltä ajalta, kun he vastasivat hyökkäykseen, ja se voi väittää, että se ei vakuutuksen mukaan ole velvollinen kattamaan työntekijöiden palkkoja, koska ne ovat osa vakuutuksenottajan normaaleja toimintakuluja ja ne olisivat aiheutuneet ilman kyberhyökkäystä.
Vakuutusyhtiö voi väittää, että tällaisia kuluja ei kateta, vaikka IT-työntekijäsi työskentelevät yksinomaan kyberhyökkäykseen vastaamiseksi ja siitä toipumiseksi eivätkä muuten suorita tavanomaisia tehtäviään ja velvollisuuksiaan.
Lisäksi vakuutusyhtiö voi kieltäytyä vakuutuksesta, vaikka omien työntekijöiden käyttö vähentää viime kädessä verkkoon liittyviä tappioitasi (sekä vakuutusyhtiön mahdollista altistumista) ja mahdollistaa toiminnan jatkamisen nopeammin, koska työntekijäsi tuntevat järjestelmäsi ja heidän kykynsä aloittaa rikkomusreagointi välittömästi.
6) Älä oleta, että vakuutusyhtiö toimii suojellakseen etujasi
Yksi yleinen vakuutuksenottajien virhe on olettaa, että vakuutusyhtiöiden edut ovat linjassa heidän etujensa kanssa. Oletetaan pikemminkin, että vakuutusyhtiöiden tavoitteena on maksimoida voittonsa ja että ne ottavat käyttöön kaikki mahdolliset suoja- ja vakuutusturvakeinot vähentääkseen maksujaan.
Erityisesti kybervastuuvakuutuksen yhteydessä vakuutusyhtiö voi vaatia sinua palkkaamaan rikosteknisen kirjanpitäjän tai kybervahinkokonsultin nimeämästä arvostusasiantuntijoiden luettelosta auttamaan kybervaatimuksen arvioinnissa.
Älä oleta tällaisissa tapauksissa, että vakuutusyhtiön suosittelema asiantuntija edustaa etujasi.
Tuo arviokonsultti kuuluu vakuutusyhtiölle, jonka se pitää toistuvan liiketoiminnan lähteenä – ei sinulle. Jos joudut tällaiseen tilanteeseen, on parasta käyttää omaa riippumatonta ammattihenkilöäsi, joka on perehtynyt verkkovastuuvakuutuskorvauksiin, neuvomaan sinua asioissasi sekä vakuutusyhtiön että kolmannen osapuolen arviokonsultin kanssa.
Vakuutus on todennäköisesti viimeinen mielessäsi tai ei varmastikaan listasi kärjessä, kun olet joutunut kyberhyökkäyksen kohteeksi. Tästä syystä on tärkeää suunnitella etukäteen, kouluttaa itseäsi ja tietää ja ymmärtää oikeutesi ja velvollisuutesi kyberpolitiikkasi ja muiden mahdollisesti reagoivien käytäntöjen perusteella nyt, jotta pystyt paremmin suojaamaan yritystäsi, jos se joskus kohtaa kyberhyökkäys. &
Luma S. Al-Shibib, Anderson Kill P.C:n New Yorkin toimiston osakas Steven Pudell on Anderson Kill P.C:n New Yorkin toimiston johtava osakkeenomistaja.
