越来越多的企业购买网络保险来保护宝贵的电子资产,包括计算机系统本身以及其中存储的数据。但是,这些政策还比较年轻。他们经常使用取自传统财产/财产保护政策的术语,数十年的判例法为这些术语提供了含义。但是,这些看似熟悉的词正在制造新颖的网络保险问题,可能会影响您拥有或认为您拥有的保险范围。

纳特’l 在k &Stitch,LLC诉State Auto Prop。& Cas. 在s. Co.,CV SAG-18-2138,2020 WL 374460(博士.2020年1月23日), a court addressed a centuries old concept – physical loss – through the cyberinsurance lens.  After a screen-printing company suffered a ransomware 在tack, the company had data stolen 和 computers rendered partially inoperable. 的company filed a claim under their cybersecurity policy, which familiarly stated that the carrier “will pay for direct 物理损失或损害 涵盖财产…”.

的company obtained cyber coverage through an endorsement.  的Businessowners Special Form Computer Coverage endorsement refined the definition of “Covered Property” to include “Electronic Media 和 Records (Including Software).” It defined “Electronic Media 和 Records” to include:

经典的网络钓鱼攻击会识别出一种吸引目标受众的信息或机会,然后利用它们诱使目标单击恶意链接或打开损坏的文件。就像一条蠕虫到一条鱼。因此,网络钓鱼一词。

最早的攻击源于几乎普遍的诱惑力-金钱。按我说的去做,您将获得数十万甚至数百万美元。随着我们的明智,这些骗局变得更加量身定制。专业人士受到新客户询问的打击。据称制造商收到了行业协会的重要警报。父母的收件箱里充斥着孩子学校的假冒更新(是的,这已经发生了)。

但是,可能从来没有一个主题具有与COVID-19爆发相关信息相同的普遍吸引力。网络钓鱼诈骗者知道这一点。

如果我的母亲预览了这篇文章,她会告诫我不要给自己开个假名(ken-a-ho-rah)。那 ’一个意味深长的名词。意思是说或做某事来诱惑邪恶,邀请坏事走上前路。鉴于可能会或可能不会引起大众歇斯底里的情况,该职位的标题似乎是在调情一些,出于安全考虑,不应调情。 las,就像我孩子的名字一样,Bubby无法预览我的博客。与您一样,他们在发布后会看到它们。因此,冒着危险的风险…

My office 是 still open.  Will that be the case tomorrow?  Or the next day?  Unclear.  的NBA just suspended the entire season.  Schools are closing.  New Rochelle, New York has created a one-mile quarantine zone.  Anything 是 possible.  We are officially freaking out.

许多公司要么偏远,要么正准备这样做。但是,能够在家工作的幸运员工比不能访问或处理敏感电子数据的员工更有可能。想一想。许多专业人士都走这条路。甚至在很大程度上已经实现自动化的制造或其他工业过程中,也可能能够远程控制其部分或全部操作。由于远程工作的数量在增加,网络犯罪的机会也在增加。这里’我们所有人自愿隔离自己的三个简单,易于实施的技巧,以提高安全性,我真正希望自己被证明是不必要的恐慌。一世’我只是不确定这一点。秘诀…

2018年,联邦调查局’的互联网犯罪投诉中心(IC3)每天收到900多起有关互联网犯罪的投诉。总共有超过35万宗投诉,涉及27亿美元的损失。商业企业妥协(BEC)是最常见和最重要的。

这些骗局涉及使用欺诈性电子邮件,指示收件人不经意间将付款电汇给犯罪分子’ bank accounts, accounted for over 20,000 complaints 和 a whopping $1.2 billion in losses in 2018.  的Cyber Division of the FBI’经济犯罪部门调查这些投诉,目的是追回欺诈性挪用的资金。

“Michael”是一位退休的联邦调查局外勤特工,自成立以来就在该部门工作。在他的允许下,以下是我们最近谈话的摘要。

我在2016年4月 突出显示 与企业妥协或BEC有关的保险问题。昨天,我荣幸地向内部审计师协会的新泽西州中央分会在其年度欺诈会议上作了介绍(感谢 弗兰克·皮纳(Frank Pina)Mercadian 邀请)。

自从我上次撰写有关该主题的文章以来,FBI已确定BEC(也称为CEO欺诈,社会工程和欺骗)是最昂贵的网络犯罪形式之一。刷新:FBI将BEC定义为“针对执行电汇付款的企业和个人的复杂骗局…当主题通过社会工程或计算机工程技术来破坏合法的商业电子邮件帐户以进行未经授权的资金转移时,通常会执行此操作。”BEC的常见示例是来自CEO或CFO的电子邮件,该电子邮件指示员工向假冒的卖方付款,而骗子冒充产权保险代表,向房地产购买者发送最新的接线说明。

在2013年至2018年期间,BEC的交易额超过125亿美元 已报告 全球损失。我说 已报告 因为联邦调查局’的数据集仅限于通过其互联网投诉中心或IC3接收的自我报告信息。许多此类欺诈的受害者可能出于多种原因未向联邦调查局报告。在这些损失中,美国发生了41,058起事件,造成近30亿美元的损失。这个数字代表了在这五年期间向联邦调查局报告的欺诈相关损失的一半以上。

一月份,我对苏黎世发表了看法’s invocation of an ‘act of war’拒绝否认对Mondelez 在ternational的承保’由NotPetya造成的损失。并在此过程中开了一个关于奥利奥的有趣笑话。您’重新欢迎。最近,我接受了Matt Fleischer-Black的采访 网络不安全新闻 在同一主题上,马特建议他的研究表明索尼’在2014年之后,美国国际集团(AIG)涵盖了‘The 在terview’骇客。那让我思考– if AIG covered Sony’的损失,索尼之间有区别吗’的AIG政策和Mondelez’s Zurich policy?

据报道,当索尼“Guardians of Peace” hacked into Sony’2014年11月的网络。共和党以非常恐怖的形象锁定了员工的计算机,并威胁要释放索尼’有关未发行电影和机密商业问题的数据。他们还威胁“9-11 style”索尼的电影院遭到袭击’s “The 在terview,”一部有关两名记者的喜剧被送往暗杀朝鲜最高领导人金正恩。中央情报局将共和党确定为朝鲜国家行为者,奥巴马总统则加强了对朝鲜的制裁。

和平的监护人采访黑客的图像结果
我不’t have Sony’的实际AIG政策。但是,我确实找到了一个 AIG Cyber​​Edge政策样本 索尼本来会使用的’2014年4月-2015年4月的保单期限。像蒙多雷斯’根据苏黎世政策,‘战争排斥法。’AIG政策禁止覆盖“arising out of…战争,入侵,军事行动 …政治骚乱,内乱,暴动,戒严,内战,叛变,民众或军事起义,暴动,叛乱,革命,军事或篡夺政权…”.

Cyber this.  Cyber that.  I deal in dirt, 和 我不’t care.

如果有’您应该在那尘土之上建造一座商业建筑。

的“internet of things”是指我们的数字世界与物理世界之间不断扩展的连接。在我们的家中,我们拥有智能的气候控制系统,安全保护,冰箱,电视,吸尘器(是的,吸尘器),而且,您会明白的。我们喜欢舒适和便利,而且我们可以通过手机控制所有这些,’总是反正看着。

欢迎回来。除非你从未离开过,否则你’早上的天气可能比我还顺利。如果你’re reading this, we’两家公司的早晨都比2017年6月27日的Mondelez 在ternational,Inc.更好,当时该公司遭受了NotPetya袭击,震惊了全世界。认为您从未听说过Mondelez吗?它’是一家休闲食品巨头公司,主要生产丽兹饼干,吉百利巧克力和牛奶’s和我最喜欢的cookie– the Oreo.

在NotPetya上刷新–大多数人(包括中央情报局)都认为这次袭击是由俄罗斯军方对乌克兰发动的,据估计乌克兰遭受了50-80%的损失。许多人认为这种恶意软件的传播–攻击发生时最快–跨国公司和美国公司甚至都不是故意的。那没有’阻止它对全球的医院,银行,运输公司和其他机构造成约100亿美元的损失。

不过,Mondelez拥有苏黎世的保险单,专门涵盖“电子数据,程序或软件的物理损失或损坏,包括由于恶意引入机器代码或指令而造成的物理损失或损坏。”当NotPetya袭击Mondelez时,它永久摧毁了1,700台服务器和24,000台计算机。 Mondelez声称以财产损失,商业供应和分销中断,未履行的客户订单以及降低的利润等形式损失了超过1亿美元。孟德尔兹向苏黎世提出索赔,苏黎世当时’不能确定该怎么做。

性感的头衔,我知道。这里’s the thing –这是一个大问题。特别是对于雇主而言,对于任何收集和存储个人数据的实体而言,宾夕法尼亚州的法律都发生了巨大变化。

First, a bit of law 101.  的“economic loss rule”是一个法律概念,可以将法律划分为两个基本部分:侵权行为(。,过失)和合同。根据该规则,不存在因过失而仅造成经济损失而无人身伤害或财产损失的索赔。例如:您付钱给画家粉刷房屋。他没有’t。您想为所有事情提起诉讼,包括居住在颜色不反映房屋颜色的房屋中带来的情绪困扰。“real you.”但是你(可能)可以’t。根据经济损失规则,当您不付任何费用时遭受的经济伤害不会导致过失索赔或可能会导致侵权的更广泛的损害赔偿。您’坚持违反合同要求退还您的钱,可能还增加了雇用别人粉刷您的房屋的成本。有例外和细微差别,但那’这是您需要了解的所有信息。

关于经济损失规则是否禁止因数据泄露造成的经济损失的过失索赔,法院得出了不同的结论。还有一些州’甚至承认一项独立的侵权责任以支持对数据泄露的过失索赔 accompanied by physical damage (say, to your hardware). 的United States District Court for the District of Minnesota examined this state-by-state variation in the 目标数据泄露类诉讼。法院裁定,至少在2014年,阿拉斯加,加利福尼亚州,伊利诺伊州,爱荷华州,马萨诸塞州和…宾夕法尼亚州。至于来自哥伦比亚特区,乔治亚州,爱达荷州,新罕布什尔州和纽约州的集体成员,这些司法管辖区的法律仍然没有充分解决,以致他们的过失主张得以幸存。’s motion to dismiss.

昨天我 关于应用“voluntary parting” exclusion in 施密特诉旅行者,是俄亥俄州南部地区2015年的一起案件。如果你不能’t tell, I didn’不同意结果。

的Sixth Circuit offered a more reasoned 和 more recent view of insurance coverage for email/wire scams in 美国工具中心公司诉旅行者 (2018年7月13日)。一家美国制造商据称收到了其中国分包商的电子邮件。这位负责人说,由于正在进行审核,因此下一笔付款应连接到新的银行帐户。公司汇了钱。该小组再次通过电子邮件发送电子邮件,说该帐户存在问题,并要求重新电汇到其他帐户。这发生了四次。在$ 834,000之后,真正的租户开始询问其付款地点…

的company sought coverage under its Wrap+ business insurance, which contained “computer fraud”覆盖范围。它显示为:“公司将为被保险人付款’s direct loss of…Money…直接由计算机欺诈造成。”  的policy defined “computer fraud” as the “use of any computer to fraudulently cause a transfer of 钱…”.