網絡保險公司千方百計避免賠付
責編:gltian |2019-10-16 14:01:28隨著網絡保險索賠的增加,受影響的企業(yè)可能會受保險專業(yè)人士所左右。
一位學者表示,隨著網絡安全保險索賠數量的激增,企業(yè)需要比以往任何時候都更加謹慎地對待自己保單的承保范圍。他警告稱,保險公司對網絡事件的說明越來越唯利是圖。
“理賠人員必須平衡多方利益沖突”,麥考瑞大學 (Macquarie University) 商學院會計與企業(yè)管理系講師、Optus-Macquarie 網絡安全中心的活躍成員 John Selby 博士在本月于墨爾本舉行的澳大利亞網絡會議上對與會者說道。
如果他們不去兌現保險公司為投保人許下的承諾,將來沒有人會買這個公司的保險,但如果他們賠給你的錢太多,那么剩下的錢就不夠用來賠付今年其他的索賠了。
網絡安全事件的日趨嚴重促使很多公司向網絡安全保險公司提出索賠——這些保險公司正在變得越來越謹慎,想方設法尋找減少或否認其支付義務的方法。
傳統保險概念和 IT 概念之間的差異造成了矛盾,Selby 表示:例如,一些保單只針對甲方的損失,不涵蓋第三方損失——如果將業(yè)務功能外包給云服務供應商,企業(yè)就沒有理賠依據。
與此類似,對 “承包商” 一詞的嚴格定義可能將損失限制在人類行為上,這使得在評估非人類供應商(例如云運營商)的潛在責任時變得更加復雜。
面對網絡安全事件帶來的損失,企業(yè)應該 “詢問造成損失的每個部分是否都屬于保險范圍之內”,Selby 表示,并指出保險范圍需要明確指出能夠解決網絡敲詐,冒充合法服務供應商等事件,甚至是在軟件開發(fā)和部署時自身原因導致的錯誤或疏漏。
保險公司 “也可能會問你是否沒有遵守保單規(guī)定的其他義務”,Selby 說道,“他們可能會尋找其他能夠拒絕賠付的法律依據,例如棄權和失權原則”。
鑒于在很多數據泄露事件中人為錯誤的普遍性,員工對數據泄露的影響也可能會提高——導致了高管與 IT 主管關系緊張。
當保險公司試圖在理賠期間最大程度地降低網絡安全索賠金額時,他們可能會將賠付限制在特定的損失限額內,使受害者的獲得的賠付遠遠低于其保單所提供的總承保范圍。
Selby 指出,企業(yè)需要 “正確地計算” 潛在損失的可能有多大,特別是在網絡安全法規(guī)的不斷變化在經常影響風險的情況下——例如,政府將針對隱私侵犯行為的最高罰款從 210 萬美元提高至 1000 萬美元。
然而,計算損失可能很困難,因為損失的范圍及其對業(yè)務中斷的影響,往往只有在事后才會變得清晰。今年全球食品巨頭 Mondelez——旗下品牌包括受 NotPetya 攻擊的 Cadbury(吉百利),起訴保險公司 Zurich 使得這一問題尤為突出。Zurich 拒絕對受 2017 年惡意軟件攻擊影響的 1700 臺服務器和 2.4 萬臺筆記本電腦進行賠付。
Zurich 利用了 Mondelez 財產保險政策中的一項例外條款,該條款規(guī)定戰(zhàn)爭時期可以無需支付保費——Zurich 辯稱,當外部各方積極參與到針對被保險人的敵對行動時,該條款也適用。
這家保險公司的解釋擴展了戰(zhàn)爭的傳統定義,即 “假定會與運動的物體發(fā)生物理沖突,導致財產損失和破壞”,Sleby說道。“然而,技術在發(fā)展——隨著技術武器化,新技術將帶來戰(zhàn)略優(yōu)勢。”
該案仍在審理中,“Zurich 需要舉證證明 Petya 屬于戰(zhàn)爭行為”,他繼續(xù)指出 “如果判決對這家保險公司有利,將對網絡保險市場產生重大影響”,因為為了填補這一缺口,會出現對商業(yè)保險范圍的新需求。相比之下,Mondelez 可能會發(fā)現網絡安全保費可能會大幅提高,以應對可能會出現的巨額賠付。
今年,網絡保險政策的索賠大幅增長,網絡保險專家 Emergence Insurance 最近指出,2019 財年索賠率同比增長 29%。
其中專業(yè)、科學和技術服務公司以及提供金融服務的公司,索賠率增長了 20%,醫(yī)療和社會救助服務供應商的索賠率則增長了 14%,金融和保險服務供應商的索賠率增長了 12%。
這一結果反映了數據泄露通報法案 (Notifiable Data Breach, NDB) 報告的分布和趨勢,平均索賠嚴重程度比上一年高出 51%。
索賠原因中黑客行為占 36%,勒索行為占 31%。
再多的風險管理也無法讓你徹底擺脫一個堅定的網絡攻擊者,銷售應急主管 Gerry Power 表示,人為失誤的存在以及員工必須明白,如果安全系統失靈,他們是最后一道防線。