Las aseguradoras cibernéticas toman medidas drásticas contra la autocertificación de los controles de seguridad de los clientes



Una demanda anulada de una compañía de seguros cibernéticos alegando que su cliente la engañó en su solicitud de seguro podría allanar el camino para cambiar la forma en que los aseguradores evalúan las reclamaciones de autocertificación en las solicitudes de seguro.

El caso, Travelers Home Casualty Enterprise of America v. Global Manage Expert services Inc. (ICS), dependía de que ICS afirmara que tenía autenticación multifactor (MFA) cuando el fabricante de productos electrónicos solicitó una póliza. En mayo, la empresa sufrió un ataque de ransomware. Los investigadores forenses determinaron que no existía una MFA, por lo que Vacationers afirmó que no debería ser responsable de la reclamación.

El caso (núm. 22-cv-2145) fue presentado en la Corte de Distrito de EE. UU. para el Distrito Central de Illinois el 6 de julio. A fines de agosto, los litigantes acordaron anular el contrato, poniendo fin a los esfuerzos de ICS por tener su aseguradora cubierta sus pérdidas.

Este caso fue inusual en el sentido de que Travelers sostuvo que la tergiversación «afectó materialmente la aceptación del riesgo y/o el peligro asumido por Tourists» en la presentación judicial.

Llevar a un cliente a los tribunales es una desviación de otros casos similares en los que una compañía de seguros simplemente negó el reclamo, pero no es único, dijo Scott Godes, socio de Barnes & Thornburg LLP, una firma de abogados con sede en Washington, DC.

«He visto que este problema ha surgido en los últimos años. Desde mi perspectiva, las compañías de seguros han hecho de este un mercado difícil, aumentando las primas y reduciendo los límites, y eso los ha alentado a elegir la opción nuclear al rescindir la cobertura», dice Godes. .

La seguridad debe ser proactiva, deteniendo posibles infracciones antes de que ocurran en lugar de simplemente responder a cada ataque exitoso, señala Sean O’Brien, miembro visitante del Proyecto de Sociedad de la Información en la Facultad de Derecho de Yale y fundador de Privateness Lab en la Facultad de Derecho de Yale.

«Es possible que la industria de seguros se vuelva cada vez más perspicaz a medida que aumentan las reclamaciones de seguridad cibernética, defendiendo sus resultados y evitando el reembolso siempre que sea posible», dice O’Brien. «Este siempre ha sido el papel de los ajustadores de seguros, por supuesto, y su negocio es, en muchos sentidos, contrario a los intereses de su organización después de que se asiente el polvo de un ataque cibernético».

Dicho esto, las organizaciones no deben esperar un pago por políticas y prácticas de ciberseguridad deficientes, señala.

Si bien el caso de Vacationers se refería específicamente al regulate de seguridad único de la MFA, las compañías de seguros podrían modificar la confianza de sus suscriptores en la autocertificación sin algún tipo de verificación de terceros sobre otros controles de seguridad en el futuro, señala Jess Burn, analista sénior de Forrester Investigation. .

«Las demandas y la rescisión de la cobertura, el llamado de los asegurados y los titulares de pólizas por pequeñas mentiras que contaron, o la omisión de detalles sobre cómo están protegidos en sus prácticas seguras» parecen ser una tendencia emergente, dice Burn off.

Una opción para eliminar cualquier pregunta sobre si una empresa está implementando controles de seguridad es brindar soporte verificado, agrega. Incluso si no se requiere la transparencia, proporcionar la verificación de terceros de que existen controles para MFA, la gestión de riesgos de terceros, la detección de puntos finales o cualquiera de la gran cantidad de controles de seguridad debería eliminar cualquier malentendido o inquietud antes de que se establezca la política. emitido.

Seguro cibernético en evolución

Si bien las implementaciones de tecnología y seguridad cambian con el tiempo, las compañías de seguros cibernéticos reevalúan anualmente sus controles de suscripción, señala Marc Schein, copresidente nacional del Cyber ​​Center for Excellence en Marsh McLennan Company, el corredor de seguros más grande del mundo. A diferencia de las pólizas de seguro de accidentes comunes, que tienen un historial estadístico muy extenso para los suscriptores, el seguro cibernético aún se considera un campo incipiente y los suscriptores aún están perfeccionando sus algoritmos y análisis para obtener el mejor riesgo de precio.

Un área en la que los suscriptores dependen en gran medida de la autocertificación de las empresas con respecto a su perfil de riesgo son los controles: qué controles tienen implementados, qué tan bien se configuraron y su efectividad. A veces, continuó Schein, un suscriptor puede requerir que un prospecto de seguros se someta a evaluaciones como una prueba de penetración. Si la prueba arroja un resultado significativamente diferente al anticipado, por ejemplo, si están abiertos 100 puertos que el prospecto dijo que estaban cerrados, la compañía de seguros probablemente tendría una discusión sobre esos puertos abiertos, así como otras certificaciones, para determinar si la empresa estaba tratando deliberadamente de ocultar un problema o si hubo un error accidental.

Los CISO son reacios a responder preguntas sobre solicitudes que podrían llevar al suscriptor a requerir inversiones significativas para mitigar el problema antes de que se apruebe el seguro, dice Schein. Si una empresa indica que planea invertir en los esfuerzos de mitigación, pero no se espera que el proyecto se complete hasta después de la fecha en que el seguro entre en vigencia, la aseguradora podría transigir vinculando la solicitud pero limitando la cobertura genuine a un porcentaje de los límites de la póliza. — tal vez el 10% del límite de cobertura de $1 millón de una póliza — hasta el momento en que se completen los esfuerzos de remediación.

«Es notable que las compañías de seguros se nieguen a probar, inspeccionar o participar en el command de pérdidas al suscribir», señala el abogado Godes. «Tal vez creen que pueden simplemente sacar el tapete de los asegurados desprevenidos, confiando en la rescisión para evitar cubrir los riesgos que las aseguradoras podrían haber inspeccionado por su cuenta».

A Godes no le convence la thought de que las aseguradoras cibernéticas simplemente estén reajustando sus procedimientos de suscripción. «La industria está haciendo que sea cada vez más difícil responder a sus aplicaciones», señala, «y sigue habiendo caprichos en las aplicaciones».

«Según mi experiencia», dice, «la única investigación [by cyber insurers] es un esfuerzo por averiguar cómo la aseguradora puede rescindir la cobertura, o amenazar con hacerlo, en lugar de averiguar si el reclamo está cubierto y cómo debe resolverse».



Enlace a la noticia original