#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Продолжение статьи по страхованию киберрисков

Избегайте ограничений покрытия

Недавно федеральный суд вынес постановление, в котором говорилось, что компания  Chubb Ltd. не обязана возмещать расходы ресторанов P.F.Chang, понесенные в результате утечки данных кредитных карт в 2014 году. В связи с этим возникает вопрос, – в каких случаях страховая претензия может быть отклонена?

Это могло быть тем самым случаем, когда клиент (на тот момент времени) решил не покупать то или иное покрытие, а потом сожалел об этом. Приведенная выше ситуация была примером полиса старого образца, в котором не предусматривалась оценка безопасности PCI, в то время как в новом образце она уже учитывалась. Договор страхования был заключен, прежде чем, компания Chubb предложила своим клиентам покрытие оценки PCI. Так что, ситуация могла быть тем самым случаем, когда брокер позже не обратил внимания на внесенные усовершенствования. Определенно, существует множество сценариев развития ситуации, которые вовсе не имеют отношения к недочетам в самом полисе страхования.

Тем не менее, как и во многом другом, «дьявол кроется в мелочах»: нижеперечисленные пункты указывают вам на те сферы, которые необходимо обсудить со страховым брокером или оператором, чтобы удостовериться в том, что полис покрывает все области, представляющие важность для вашей организации.

Ретроактивное покрытие/ Предварительные действия

Предусматривает ли полис ретроактивное покрытие? «Некоторые полисы могут ограничивать покрытие теми случаями, которые имели место быть лишь после определенной даты  – как правило, после заключения договора страхования», – говорит Томас Конвей, руководитель компании Ernst & Young LLP. Поскольку нарушения в работе системы в результате атаки могут длиться месяцами, прежде чем будут обнаружены, и поскольку вы не можете изменить дату начала атаки, обеспечение охвата с ретроспективным покрытием поможет ослабить этот общий для многих компаний риск. Не думаю, что вы хотите получить отказ в страховой претензии лишь потому, что первая атака произошла прежде даты вступления в силу страхового полиса. При этом, некоторые операторы фактически уклоняются от предоставления покрытия для компаний с высокими рисками или устанавливают для них существенно завышенный тариф.

Продолжительность утечки данных

Как и в случае уже свершившегося события, утечка данных, которая продолжает происходить на протяжении определенного периода времени, является той сферой, которая нуждается в особом понимании. Некоторые инциденты могут повторяться, вновь, проявляться в разных местах и даже немного отличаться от ранее обнаруженной бреши. Эти «хронические» утечки представляют еще один повод для беспокойства. «Если вы уже пережили утечку информации один раз, то это может повлиять на тарифы, предлагаемые вам страховщиком», – говорит Уильям Диксон, вице-президент компании Stroz Friedberg. «На основе практических примеров можно сказать, что не будет постоянных выплат за продолжающиеся атаки».

Защита / Регулирующие положения

Полисы киберстрахования, как правило, включают в себя регулирующие положения, нацеленные на ограничение покрытия разумных затрат на защиту, с предварительного письменного согласия страховщика. Другими словами, операторы могут стремиться делать собственный отбор фирм, специализирующихся на защите данных. «Для некоторых компаний это может быть проблематично или даже нежелательно. Поэтому предпочтителен тот полис, который оставляет за компаниями право самостоятельно выбирать, с кем сотрудничать в вопросах защиты данных», – говорит Томас Конвей, руководитель компании Ernst & Young LLP.

Ограничения застрахованных лиц («первой стороны»)

Общей проблемой всех организаций является тема ответственности первой стороны – это, как правило, судебные издержки, связанные с иском. Организации должны иметь в виду, что в вопросе нарушения закона о защите прав потребителей могут быть исключения, связанные с отсутствием программы безопасности или недостатками в программном обеспечении, используемом в организации по защите окружающей среды. Эти ограничения могут представлять серьезную проблему во время предъявления страховой претензии.

Действия третьей стороны

«Многие компании пользуются услугами третьих лиц для своей бизнес-деятельности. Например, несколько лет назад сайт Нью-Йорк Таймс подвергся хакерской атаке, но ведь при этом он был размещен на хостинге компании, представляющей собой «третью сторону», – говорит Томас Конвей. Для компаний, которые полагаются на услуги третьих лиц в своей бизнес деятельности, может оказаться важным обеспечить покрытие для претензий, возникших по причине деятельности третьих лиц / поставщиков.

Компроментирование Корпоративной Электронной Переписки 

«Киберпреступники обнаружили, что проще заставить вас отдать им деньги, чем совершить кражу», – отмечает Говард Миллер из компании LBW Insurance’s Tech Secure. «Это трюк, осуществляемый лицом, выдающим себя за поставщика, клиента или сотрудника. В результате подобных действий деньги переводятся на счет киберпреступника».

Большинство страховых полисов не распространяет покрытие на этот вид киберпреступлений, потому что получение денег обманным путем не считается кражей. Но и то страховое покрытие, которое предусматривает подобную угрозу, все же не является стандартным и может варьировать в определении понятий, что именно должно быть покрыто, а что нет. Обратите внимание, что ключевое значение имеет тот факт, кто именно попался «на удочку» и перевел деньги мошенникам. Ошибки руководящего звена могут не включаться в покрытие, предусмотренным страховым полисом.

Кроме того, подобные случаи можно рассматривать как уголовное, а не киберпреступление.  Таким образом, покрытие для этой угрозы можно приобрести в рамках страхового полиса, предусматривающего покрытие уголовных преступлений (вам нужно настоять на этом). Ситуация становится проблематичной, когда она учитывается сразу в двух страховых полисах. Кто должен отреагировать первым? Что, если удержание по одному полису превышает размер удержания по-другому? Все эти кибервопросы могут запутать ситуацию и создать проблему перекрестного покрытия.

Регулирование штрафов и претензий

Если данные платежной карты украдены в результате утечки базы данных или хакерской атаки на платежный терминал, то за этим могут последовать штрафы. Если нарушена конфиденциальность медицинской информации пациента и соответствующие регулирующие правила, относительно защиты данных в этой сфере, то за этим последуют штрафы. Покроет ли их ваша страховка? Если да, то требуется ли от вас доказать, что утечка произошла, несмотря на все приложенные с вашей стороны усилия? Или, считаются ли штрафы и пени теми обязательствами, которые могут быть исключены из страхового полиса?

По мнению некоторых экспертов, подобные взыскания не включены в большинство страховых полисов. Исключение составляют лишь те случаи, когда застрахованная сторона оплачивает специфическое покрытие. Размер покрытия может значительно варьироваться в зависимости от страхового оператора. В конце концов, важно понимать, что такой возможностью следует воспользоваться и обговорить нюансы во время заключения договора страхования.

Автор статьи: Царев Евгений

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.