Malgré la prévalence en constante augmentation des cyberattaques, le domaine de la cyber-assurance est encore relativement nouveau et évoluant.
Les compagnies d'assurance réécrivent constamment leurs polices de cyber-assurance en réponse à l'évolution des risques.À mesure que les cyberattaques se développent en sophistication, les compagnies d'assurance, tentant de minimiser leur exposition potentielle, rédigent de nouvelles politiques qui tentent d'imposer des charges et des conditions plus importantes aux assurés d'entreprise.
Bien que chaque police soit différente, il y a des problèmes récurrents que les compagnies d'assurance soulèvent pour éviter de payer le montant total d'une réclamation cyber.
Les titulaires de police avisés qui sont conscients de ces problèmes communs, décrits ci-dessous, seront en mesure de naviguer efficacement autour d'eux, maximisant ainsi leur reprise potentielle d'assurance en cas de perte de cyber-liée.
Cet article examine certaines erreurs typiques des titulaires de police que les compagnies d'assurance ont utilisées comme base pour réduire la couverture.
1)Complete Your Cyber Applications with Your IT Security Officer or Employee
Les demandes de cyber-assurance sont devenues plus spécifiques et ciblées dans leurs questions surVotre infrastructure et contrôles de cybersécurité.Les assureurs peuvent utiliser des inexactitudes dans les réponses deVotre application comme base pour essayer d'éviter la couverture.
Par exemple, une application de cyber-renouveau de 2019 de Travelers Cumantyy and BureyCompany of America demande aux candidats s'ils ont une technologie de pare-feu active à jour;logiciels antivirus actifs à jour sur tous les ordinateurs, réseaux et appareils mobiles;un processus pour télécharger et installer régulièrement des correctifs;un plan de reprise après sinistre;authentification multi-facteurs;pratiques de chiffrement des données;et sont conformes aux normes de sécurité de l'industrie des cartes de paiement.
Luma al-Shibib, actionnaire, Anderson Kill
Ces questions techniques dépassent généralement la connaissance du personnel non IT qui sont généralement responsables des soumissions de demande d'assurance.
En plus d'exiger des demandes détaillées, il n'est pas rare que les compagnies d'assurance aient désormais besoin de formulaires d'attestations distinctes pour des contrôles de sécurité spécifiques.
Ces attestations peuvent énumérer les exigences minimales qui doivent être en place afin d'obtenir une cyber couverture.
Le formulaire d'attestation d'authentification multi-facteurs d'une compagnie d'assurance, par exemple, demande aux candidats non seulement s'ils ont une authentification multi-facteurs pour les employés lors de l'accès au systèmeVia un site Web ou un service basé sur le cloud (par exemple, lors de la connexion à distance à domicile),mais aussi pour un accès interne et non-recruté au répertoire administratif, des pare-feu, des routeurs, des points de terminaison et des services (par exemple, lors de la connexion directement du bureau).
Lors du remplissage de ces demandes, il est important de se rappeler que toute inexactitude peut être utilisée par la compagnie d'assurance comme base pour refuserVotre réclamation.
C'est particulièrement une préoccupation dans ces juridictions, comme New York, qui permettent à un assureur d'annuler une police basée sur une erreur importante dans une demande d'assurance - même lorsque cette erreur n'a pas été délibérément commise par le preneur d'assurance.
(Vu.Y.McKinney’s Insurance Law § 3105, qui permet à la compagnie d’assurance d’annuler une police fondée sur une fausse déclaration importante dans une demande d’assurance si l’assureur peut démontrer qu’il s’appuyait sur cette fausse déclaration dans l’émission de la police;LaVolonté de la part du preneur d'assurance n'est pas requise.)
Étant donné qu'une erreur par inadvertance dans la fin d'une cyber-application peut sans doute être utilisée comme base pour refuser la couverture, la demande doit être remplie soit par un agent de sécurité informatique ou un employé, soit en étroite consultation avec un.
2) Identify and Address Cybersecurity Vulnerabilities Before an Attack
L'évaluation régulière deVotre système deVulnérabilités et d'installation en temps opportun aide non seulement à prévenir les cyberattaques, mais il minimise également la capacité d'une compagnie d'assurance à refuser la couverture deVos coûts d'assainissement et de récupération sur la base que ces coûts constituent des améliorations àVotre système.
Une cyber-politique peut être écrite pour la couverture des «mises à niveau» du système, des «améliorations» ou des «améliorations."
SiVotre police contient de telles dispositions,Votre compagnie d'assurance peut affirmer que certains coûts de récupération du système sont destinés aux améliorations inutiles et tenter de refuser ces coûts sur la base que la cyber politique n'est pas destinée à couvrir les améliorations d'un titulaire de police à son système de pré-attaque préalable.
3) Embaucher des cyber-experts pré-approuvés par votre compagnie d'assurance si votre police nécessite ainsi
Les polices de cyber-assurance ne peuvent couvrir que les cyber-coûts qui sont encourus par l'utilisation de professionnels de la cybersécurité approuvés par les assureurs.
Avant d'embaucher des cyber-consultants extérieurs ou d'effectuer des travaux d'enquête, de restauration ou de récupération médico-légaux surVotre système,VérifiezVotre politique pour déterminer s'ilVous oblige à sélectionner dans une liste pré-approuvée de consultants désignés par l'assureur.Certaines politiques permettent au preneur d'assurance d'embaucher un cyber-consultant qui ne figure pas sur la liste des professionnels désignés de la compagnie d'assurance, mais uniquement avec l'approbation écrite préalable de la compagnie d'assurance.
SiVous embauchez une personne qui n'est pas sur la liste pré-approuvée de la compagnie d'assurance des cyber-professionnels et ne parvient pas à obtenir l'approbation écrite avancée de la compagnie d'assurance pour la rétention, la compagnie d'assurance peut l'utiliser comme base pour essayer de nier ou de réduire la couverture deVotre réclamation.
Généralement, il est bon à revoirVos politiques avant qu'une perte ne se produise et le faites suffisamment régulièrement (e.g., semi-annuellement) queVous connaissez leurs couvertures, exigences et limites.
4) Review and Notice All Non-Cyber Policies that PotentiallyCover Your Claim
Review your non-cyber policies to determine whether they potentially cover cyber-related losses and provide what insurance companies misleadingly call “silent cyber" coverage (it’s not “silent" if the coverage grant encompasses it).
Such potential coverage may be found in your general liability policy, first-party property policy, D&O policy and crime insurance policy, among others.
Par exemple, une police d'assurance criminalité peut couvrir la rançonVersée aux attaquants pour libérer l'accès àVotre système,Vos fichiers etVos informations à la suite d'une attaque de ransomware.
A court allowed the possibility of such coverage in G&G OilCo.de l'Indiana, Inc.V.Cont’l Western Ins.Co.(Indiana.Mar. 18, 2021), concluding that ransomware payment might be covered under crime policy’s “computer fraud" provision, even though the policyholder declined a policy extension for computer hacking andVirus coverage.Cette affaire a été renvoyée au tribunal de première instance.
5) Your Policy May Require You to Mitigate Damages from a Cyberattack, But Do Not Assume that the InsuranceCompany Will Agree to Pay Your MitigationCosts
Ce n'est pas parce que la police vous oblige à atténuer les dommages.
Steven Pudell, actionnaire, Anderson Kill
Si la police ne dit pas explicitement qu'elle couvre les frais d'atténuation, la compagnie d'assurance peut tenter de décrire la couverture pour de tels coûts qui ne sont pas expressément expressément couverts par l'une des dispositions de couverture de la police.
Par exemple, si vous utilisez vos propres employés de l'informatique et de cybersécurité pour répondre à une attaque, la compagnie d'assurance peut refuser de couvrir les salaires des employés pour le moment où ils répondaient à l'attaque, et il peut affirmer qu'il n'a aucune obligationEn vertu de la politique visant à couvrir les salaires des employés, car celles-ci font partie des dépenses d'exploitation normales du preneur d'assurance et auraient été engagées en l'absence de la cyberattaque.
La compagnie d'assurance peut prétendre que ces frais ne sont pas couverts même si vos employés informatiques travaillent exclusivement pour répondre et se remettre de la cyberattaque et ne font pas autrement leurs tâches et fonctions régulières.
De plus, la compagnie d'assurance peut réduire la couverture même si l'utilisation de vos propres employés réduit finalement vos pertes liées au cyber (ainsi que l'exposition potentielle de la compagnie d'assurance) et vous permet de reprendre les opérations plus rapidement en raison de la familiarité de vos employés avec votre système etleur capacité à commencer la réponse à la violation immédiatement.
6) Do Not Assume that the InsuranceCompany Is Operating to Protect Your Interests
Une erreur courante du preneur d'assurance consiste à supposer que les intérêts des compagnies d'assurance sont alignées avec la leur.Supposons plutôt que l'objectif des compagnies d'assurance est de maximiser leurs bénéfices et qu'ils déploieront chaque défense de couverture et exclusion des politiques disponibles pour réduire leurs paiements.
In the context of cyber liability insurance, specifically, the insurance company may require you to hire a forensic accountant or cyber claims consultant from their designated list ofValuation experts to assist inValuing your cyber claim.
Dans de tels cas, ne supposez pas que l'expert de l'assurance-comparaison représente vos intérêts.
ThatValuation consultant is beholden to the insurance carrier, which itViews as a source of repeat business – and not to you. If you find yourself in that situation, it is best to retain your own independent professional, skilled in cyber liability insurance claims, to counsel you in your dealings with both the insurance company and the third-partyValuation consultant.
L'assurance est probablement la dernière chose dans votre esprit, ou certainement pas en haut de votre liste, lorsque vous avez subi une cyberattaque.Pour cette raison, il est important de planifier à l'avance, de vous éduquer et de connaître et de comprendre vos droits et obligations en vertu de votre cyber-politique et d'autres politiques potentiellement réactives maintenant, afin que vous soyez mieux en mesure de protéger votre entreprise en cas d'épreuvecyber-attaque. &
Luma S. Al-Shibib, a shareholder in the New York office of Anderson Kill P.C. Steven Pudell is a managing shareholder in the New York office of Anderson Kill P.C.