Siber Sigortacılar, Müşterilerin Güvenlik Kontrollerini Kendi Kendine Onaylamasına Kısıtlıyor
Bir şirket, iddia ettiği MFA tarafından yönlendirilebilecek bir ihlale maruz kaldıktan sonra, sigortacılar iddia edilen siber güvenlik önlemlerini doğrulamak istiyorlar.
Bir siber sigorta şirketinden, müşterisinin sigorta başvurusunda kendisini yanlış yönlendirdiğini iddia eden geçersiz bir dava, potansiyel olarak sigortacıların sigorta başvurularındaki öz-tasdik taleplerini değerlendirme şeklini değiştirmenin yolunu açabilir.
Travellers Property Casualty Company of America v. International Control Services Inc. (ICS) davası, elektronik üreticisi bir politika için başvurduğunda çok faktörlü kimlik doğrulamasının (MFA) mevcut olduğunu iddia eden ICS’ye dayanıyordu . Mayıs ayında şirket bir fidye yazılımı saldırısı yaşadı. Adli tıp müfettişleri, yürürlükte bir MFA olmadığını belirledi, bu nedenle Travellers, iddiadan sorumlu olmaması gerektiğini iddia etti.
Dava (no. 22-cv-2145), 6 Temmuz’da Illinois Merkez Bölgesi için ABD Bölge Mahkemesi’nde açıldı. onun kayıpları.
Bu dava, Travellers’ın mahkeme dosyasında “Risk ve/veya Gezginler tarafından üstlenilen tehlikenin kabulünü maddi olarak etkilediği” şeklindeki yanlış beyanı sürdürdüğü için olağandışıydı.
Washington DC merkezli bir hukuk firması olan Barnes & Thornburg LLP’nin ortağı Scott Godes, bir müvekkili mahkemeye götürmek, bir sigorta şirketinin iddiayı basitçe reddettiği diğer benzer davalardan ayrılıyor, ancak bu pek de benzersiz değil, dedi.
Godes, “Bu sorunun son birkaç yılda köpürdüğünü gördüm. Benim açımdan, sigorta şirketleri bunu zor bir pazar haline getirdiler – primleri yükseltip limitleri düşürdüler – ve bu da sigorta kapsamını iptal ederek nükleer seçeneği seçme konusunda onları cesaretlendirdi,” diyor Godes. .
Yale Hukuk Okulu’ndaki Bilgi Toplumu Projesi’nde misafir öğretim üyesi ve Yale Hukuk Fakültesi’nde Gizlilik Laboratuvarı’nın kurucusu olan Sean O’Brien, güvenliğin proaktif olması, her başarılı saldırıya yanıt vermek yerine olası ihlalleri gerçekleşmeden önce durdurması gerektiğini belirtiyor.
O’Brien, “Siber güvenlik iddiaları yükseldikçe, kârlarını savunarak ve mümkün olan her yerde geri ödeme yapmaktan kaçındıkça sigorta endüstrisinin giderek daha fazla sebat etmesi muhtemeldir” diyor. “Tabii ki bu her zaman sigorta eksperlerinin rolü olmuştur ve işleri, bir siber saldırının yarattığı toz yatıştıktan sonra birçok yönden kuruluşunuzun çıkarlarına ters düşmektedir.”
Bununla birlikte, kuruluşların zayıf siber güvenlik politikaları ve uygulamaları için bir ödeme beklememesi gerektiğini belirtiyor.
Forrester Research’te kıdemli bir analist olan Jess Burn’e göre, Travellers davası özellikle tek MFA güvenlik kontrolü ile ilgili olsa da, sigorta şirketleri, ileriye dönük diğer güvenlik kontrollerine ilişkin bir tür üçüncü taraf doğrulaması olmaksızın, sigortacılarının kendi kendilerinin tasdikine olan güvenlerini değiştirebilirler. .
Burn, “Davalar ve kapsamın feshedilmesi, sigortalıların ve poliçe sahiplerinin söyledikleri küçük yalanlar hakkında çağrıda bulunmaları veya güvenli uygulamalarında nasıl korunduklarına dair ayrıntıların ihmal edilmesi” ortaya çıkan bir trend gibi görünüyor.
Bir şirketin güvenlik kontrolleri uygulayıp uygulamadığına dair soruları ortadan kaldırmanın bir yolu, doğrulanmış destek sağlamaktır, diye ekliyor. Şeffaflık gerekli olmasa bile, MFA, üçüncü taraf risk yönetimi, uç nokta tespiti veya sayısız güvenlik kontrolünden herhangi biri için kontrollerin mevcut olduğuna dair üçüncü taraf doğrulamasının sağlanması, politika uygulanmadan önce herhangi bir yanlış anlaşılmayı veya endişeyi ortadan kaldırmalıdır. Veriliş.
Gelişen Siber Sigorta
Dünyanın en büyük sigorta komisyoncusu Marsh McLennan Agency’deki Cyber Center for Excellence’ın ulusal eş başkanı Marc Schein, teknoloji ve güvenlik uygulamaları zaman içinde değişirken, siber sigorta şirketlerinin yüklenim kontrollerini yıllık olarak yeniden değerlendirdiğini belirtiyor. Sigortacılar için çok kapsamlı bir istatistiksel geçmişe sahip olan yaygın kaza sigortası poliçelerinin aksine, siber sigorta hala yeni bir alan olarak kabul ediliyor ve sigortacılar hala algoritmalarını ve analizlerini en iyi fiyat riski için mükemmelleştiriyor.
Sigortacıların, risk profilleriyle ilgili olarak şirketlerden gelen öz tasdiklere büyük ölçüde güvendiği alanlardan biri kontrollerdir: hangi kontrollere sahip oldukları, ne kadar iyi yapılandırıldıkları ve etkinlikleri. Schein, bazen, bir sigortacının bir sigorta olasılığının penetrasyon testi gibi değerlendirmelerden geçmesini gerektirebileceğini sözlerine ekledi. Test, beklenenden önemli ölçüde farklı bir sonuçla geri gelirse – örneğin, müşterinin kapatıldığını söylediği 100 liman açıksa – sigorta şirketi büyük olasılıkla bu açık limanlar ve diğer tasdikler hakkında bir tartışma yapacaktır. şirket kasıtlı olarak bir sorunu veya yanlışlıkla bir hata olup olmadığını gizlemeye çalışıyordu.
Schein, CISO’ların sigortacıyı sorunu azaltmak için önemli yatırımlar gerektirmesine neden olabilecek uygulamalarla ilgili soruları sigorta onaylanmadan yanıtlamak konusunda isteksiz olduklarını söylüyor. Bir şirket, hafifletme çabalarına yatırım yapmayı planladığını belirtirse ancak projenin sigortanın yürürlüğe girdiği tarihe kadar tamamlanması beklenmiyorsa, sigortacı, başvuruyu bağlayarak ancak fiili kapsamı poliçe limitlerinin bir yüzdesiyle sınırlayarak taviz verebilir. — belki bir poliçenin 1 milyon dolarlık teminat limitinin %10’u — iyileştirme çabaları tamamlanana kadar.
Avukat Godes, “Sigorta şirketlerinin sigorta yazarken test etmeyi, teftiş etmeyi veya kayıp kontrolü yapmayı reddetmesi dikkat çekicidir” diyor. “Belki de, sigortacıların kendi başlarına denetleyebilecekleri riskleri kapsamaktan kaçınmak için fesihlere güvenerek, habersiz poliçe sahiplerinin altındaki halıyı çekebileceklerine inanıyorlar.”
Godes, siber sigortacıların sigortacılık prosedürlerini basitçe yeniden ayarladıkları fikriyle satılmıyor. “Endüstri, başvurularına yanıt vermeyi giderek daha zor hale getiriyor ve uygulamalarda kaprisler olmaya devam ediyor” diye belirtiyor.
“Benim deneyimime göre,” diyor, “[siber sigortacılar tarafından] tek soruşturma, talebin karşılanıp karşılanmadığını ve nasıl olması gerektiğini anlamak yerine, taşıyıcının kapsamı nasıl iptal edebileceğini veya bunu yapmakla tehdit edebileceğini anlamaya yönelik bir çabadır. halledilir.”