保单持有人要注意——网络覆盖可能会提供一种错误的安全感

近来,备受瞩目的网络攻击和数据泄露事件层出不穷,给企业造成了数百万美元的损失。威瑞森的2015年数据泄露调查报告显示,仅去年一年就发生了79,790起安全事件(包括2122起已确认的数据泄露事件)。如果你是一家以电子方式存储信息的公司——也就是说,如果你任何你可能仅仅通过阅读新闻就已经足够担心网络威胁了。但如果你还没有充分认识到问题的严重性,保险行业很乐意帮助你。正如一家保险公司在其营销材料中警告的那样,“许多公司没有意识到,数据安全问题是否会发生并不重要,重要的是什么时候会发生。”对网络威胁感到足够恐惧?别担心,这些保险公司会让你知道他们提供的保险将有助于降低你的风险。正如一家保险公司所言,“当发生安全漏洞时,你需要从一家专门处理网络风险的保险公司那里获得全面的保护,这家保险公司提供一整套综合保险解决方案来帮助缩小承保范围的差距,并了解如何根据你的业务量身定制承保范围。”

你终于买了网络保险。现在你被完全保护了,对吗?没有那么快。所谓的“网络”政策远未全面– they are sold in separate modules, each of which addresses a different type of loss that arises out of a data breach (e.g., one module covers liability to third parties, another covers crisis management costs, while yet another covers forensic expenses, and so on.) Proving that what’s past is prologue, this “a la carte” approach to selling cyber insurance is just the way liability coverage was sold in the early 20th世纪前,综合责任政策的出现。这很像20年代早期的cgl责任保险市场th世纪保险公司可以购买的网络保险限额不足以弥补数据泄露造成的损失。网络保险市场最大公司之一的首席执行官最近证实了这一点,他在纽约大学(New York University)的一次活动上告诉与会者,与公司购买的其他财产和意外事故风险保险相比,网络保险能力“非常小”。让事情更复杂的是,网络政策不是写在标准表格上的。相反,每家保险公司都起草了自己独特(且令人困惑)的措辞。这些政策似乎有一个共同点,那就是所有的政策都充满了可能让你变得脆弱的条件和排除(有些不那么明显)

所有这些都表明有理由持怀疑态度,只有多少网络政策提供。哥伦比亚伤亡公司提出的诉讼旨在否认到山寨卫生系统的覆盖范围提供了进一步的支持,以至于有些怀疑是有保证的。在加利福尼亚州开展医院网络的小屋达到了从电子医疗记录披露所产生的班级行动诉讼中达到4.25亿美元的结算。索赔人声称,Cottage或其第三方供应商Insync Computer Solutions Inc。存储在Internet上完全访问的系统上的医疗记录,而无需安装安全措施以保护患者信息。小屋在哥伦比亚伤亡的“NetProtect360”责任政策下被投保,这些政策旨在为数据泄露提供覆盖范围。哥伦比亚最初同意在保留权利下覆盖小屋的定居点的成本,但后来申诉宣言,覆盖范围是无效的,寻求收回4125万美元。具体来说,哥伦比亚声称小屋通过未能遵循“最低要求的实践”,因为它没有“维持被保险人的申请中所确定的所有风险控制”而引发了排斥(在政策中伪装成条件)。在支持本索赔中,哥伦比亚争辩说,当小屋申请NetProtect360策略时,它错误地检查了“是”框,以响应这些模糊的问题是“[D] O。。。 contractually require . . . 3rd parties to protect this information with safeguards at least as good as your own?” and “Do you have a way to detect unauthorized access or attempts to access sensitive information?” These questions were part of a “Risk Control Self-Assessment” contained in the application that neither invites the insured to detail its actual risk control policies nor indicates that an incorrect answer can eliminate coverage entirely.

虽然保险公司将网络政策推出作为每个公司计划的基本组成部分,以减轻必然数据违规风险,但哥伦比亚的方法基本上呈现覆盖范围。By requiring such yes/no answers to cookie-cutter questions rather than basing underwriting decisions on the specifics of the applicant’s actual security practices, Columbia builds in an escape hatch, laying the groundwork for down-the-road allegations that “minimum required practices” have not been met. Moreover, Columbia deftly attempts to shift its normal burden to prove that an exclusion applies by referring to compliance with these “minimum required practices” as a condition precedent to coverage.

我们可以从中吸取教训。从宏观层面来看,我们似乎正处于数据安全漏洞覆盖范围演变的早期阶段——这种风险在10年前几乎不存在,但现在已迅速变得无处不在。如果历史可以为我们提供借鉴,投保人应该期待一个更加标准化的网络保险市场的发展,提供更广泛的覆盖范围,以取代目前的自助餐式保险方式,就像20世纪40年代开始发展的标准化商业一般责任保险市场一样。从微观层面来看,或许有办法避免哥伦比亚伤亡公司(Columbia Casualty)为Cottage Health设置的陷阱。例如,与其填写一份关于你复杂的风险控制协议的过于简化的调查问卷,不如坚持提交一份关于你公司实际的网络安全系统和程序的详细描述,以避免在未来遇到虚假陈述或未披露的指控。当然,尽管这可能会解决哥伦比亚公司提出的特殊辩护,但保险公司无疑会在他们的政策中使用其他语言,以寻求逃避未来支付其他数据泄露损失的义务。一般而言,购买网络覆盖的企业不应盲目相信保险公司的“全面保障”保证。网络保险反对网络内人和数据违规的高成本的重要保护 - 但您必须非常小心确定哪些网络覆盖适合您的业务是正确的,了解政策所做的并不涵盖,而不是允许保险公司只卖掉您覆盖的幻觉。