文章发表于 法律发展

越来越多的企业购买网络保险来保护宝贵的电子资产,包括计算机系统本身以及其中存储的数据。但是,这些政策还比较年轻。他们经常使用取自传统财产/财产保护政策的术语,数十年的判例法为这些术语提供了含义。但是,这些看似熟悉的词正在制造新颖的网络保险问题,可能会影响您拥有或认为您拥有的保险范围。

纳特’l 在k &Stitch,LLC诉State Auto Prop。& Cas. 在s. Co.,CV SAG-18-2138,2020 WL 374460(博士.2020年1月23日),法院通过网络保险的角度处理了一个世纪的古老概念-财产损失。一家丝网印刷公司遭受勒索软件攻击后,该公司的数据被盗,计算机部分无法使用。该公司根据其网络安全政策提出了一项索赔,该政策熟悉该运营商“will pay for direct 物理损失或损害 涵盖财产…”.

The company obtained cyber coverage through an endorsement.  The Businessowners 规格ial Form Computer Coverage endorsement refined the definition of “Covered Property” to include “Electronic Media 和 Records (Including Software).” It defined “Electronic Media 和 Records” to include:

如果我的母亲预览了这篇文章,她会告诫我不要给自己开个假名(ken-a-ho-rah)。那’一个意味深长的名词。意思是说或做某事来诱惑邪恶,邀请坏事走上前路。鉴于可能会或可能不会引起大众歇斯底里的情况,该职位的标题似乎是在挑剔一些,出于安全考虑,不应挑剔。 las,就像我孩子的名字一样,Bubby无法预览我的博客。与您一样,他们在发布后会看到它们。因此,冒着危险的风险…

我的办公室仍然开放。明天会这样吗?还是第二天?不清楚NBA整个赛季都停赛了。学校正在关闭。纽约州新罗谢尔创建了一个1英里的隔离区。一切皆有可能。我们正式吓坏了。

许多公司要么偏远,要么正准备这样做。但是,能够在家工作的幸运员工比不能访问或处理敏感电子数据的员工更有可能。想一想。许多专业人士都走这条路。甚至在很大程度上已经实现自动化的制造或其他工业过程中,也可能能够远程控制其部分或全部操作。由于远程工作的数量在增加,网络犯罪的机会也在增加。这里’我们所有人自愿隔离自己的三个简单,易于实施的技巧,以提高安全性,我真正希望自己被证明是不必要的恐慌。一世’我只是不确定这一点。秘诀…

欢迎回来。除非你从未离开过,否则你’早上的天气可能比我还顺利。如果你’re reading this, we’两者的早晨都比2017年6月27日的Mondelez 在ternational,Inc.更好,当时该公司受到了NotPetya袭击的打击,该袭击几乎震撼了全世界。认为您从未听说过Mondelez吗?它’是一家休闲食品巨头公司,主要生产丽兹饼干,吉百利巧克力和牛奶’s和我最喜欢的cookie– the Oreo.

在NotPetya上刷新–大多数人(包括中央情报局)都认为这次袭击是由俄罗斯军方对乌克兰发动的,据估计乌克兰遭受了50-80%的损失。许多人认为这种恶意软件的传播–攻击发生时最快–跨国公司和美国公司甚至都不是故意的。那没有’阻止它对全球的医院,银行,运输公司和其他机构造成约100亿美元的损失。

不过,Mondelez拥有苏黎世的保险单,专门涵盖“电子数据,程序或软件的物理损失或损坏,包括由于恶意引入机器代码或指令而造成的物理损失或损坏。”当NotPetya袭击Mondelez时,它永久摧毁了1,700台服务器和24,000台计算机。 Mondelez声称以财产损失,商业供应和分销中断,未履行的客户订单以及降低的利润等形式损失了超过1亿美元。孟德尔兹向苏黎世提出索赔,苏黎世当时’不能确定该怎么做。

性感的头衔,我知道。这里’s the thing –这是一个大问题。特别是对于雇主而言,对于任何收集和存储个人数据的实体而言,宾夕法尼亚州的法律都发生了巨大变化。

首先,有一点法律101。“economic loss rule”是一个法律概念,可以将法律划分为两个基本部分:侵权行为(。,过失)和合同。根据该规则,不存在因过失而仅造成经济损失而无人身伤害或财产损失的索赔。例如:您付钱给画家粉刷房屋。他没有’t。您想为所有事情提起诉讼,包括居住在颜色不反映房屋颜色的房屋中带来的情绪困扰。“real you.”但是你(可能)可以’t。根据经济损失规则,当您不付任何费用时遭受的经济伤害不会导致过失索赔或可能会导致侵权的更广泛的损害赔偿。您’坚持违反合同要求退还您的钱,可能还增加了雇用别人粉刷您的房屋的成本。有例外和细微差别,但那’这是您需要了解的所有信息。

关于经济损失规则是否禁止因数据泄露造成的经济损失的过失索赔,法院得出了不同的结论。还有一些州’甚至承认一项独立的侵权责任以支持对数据泄露的过失索赔 并伴有物理损坏(例如,损坏您的硬件)。美国明尼苏达州地区地方法院审查了这种州与州之间的差异 目标数据泄露类诉讼。法院裁定,至少在2014年,阿拉斯加,加利福尼亚州,伊利诺伊州,爱荷华州,马萨诸塞州和…宾夕法尼亚州。至于来自哥伦比亚特区,乔治亚州,爱达荷州,新罕布什尔州和纽约州的集体成员,这些司法管辖区的法律仍然没有充分解决,以致他们的过失主张得以幸存。’s motion to dismiss.

昨天我 关于应用“voluntary parting” exclusion in 施密特诉旅行者,是俄亥俄州南部地区2015年的一起案件。如果你不能’t tell, I didn’不同意结果。

第六巡回赛提供了更合理,更近期的电子邮件/电汇诈骗保险范围的视图 美国工具中心公司诉旅行者 (2018年7月13日)。一家美国制造商据称收到了其中国分包商的电子邮件。这位负责人说,由于正在进行审核,因此下一笔付款应连接到新的银行帐户。公司汇了钱。该小组再次通过电子邮件发送电子邮件,说该帐户存在问题,并要求重新电汇到其他帐户。这发生了四次。在$ 834,000之后,真正的租户开始询问其付款地点…

该公司寻求Wrap +商业保险的承保范围,其中包括“computer fraud”覆盖范围。它显示为:“公司将为被保险人付款’s direct loss of…Money…直接由计算机欺诈造成。”定义的政策“computer fraud” as the “use of any computer to fraudulently cause a transfer of 钱…”.

It’(大约)国家网络安全意识月的活动。是的,它’一件事。 15岁的东西。适当地,我昨晚在Citrin Cooperman主持的一次网络安全研讨会上度过了(顺便感谢)。它引发了有关博客内容的两部分博客文章的第一篇“voluntary parting”排除。准备好爆米花。

首先是现场。我们’重新在费城的联盟联赛。它’有点黑暗,因为它’那里总是一片漆黑。每个人都穿外套,因为每个人都必须在那儿穿外套。尽管采光和形式(我在担任律师的11年中应该更加习惯),但是这个小组还是很出色的。一个道德的黑客演示了他使用一种每秒可进行数十亿次猜测的软件来找出我们所有密码的便捷性。一位估值专家解释了量化网络事件损失的过程。我最感兴趣的是,一家精良的保险经纪公司的总顾问提供特定的理赔见解(当然没有名字)。

她强调,与我们许多人所听到的叙述一致,承运人总体上对大多数网络索赔迅速做出反应并付款。所以,我问:“您看到的排除项是否与该叙述有所偏差,或者鉴于网络策略的量身定制的特性,也许可以在前端应用过程中解决这些排除项?”

寻找商业通用责任(CGL)政策下的数据泄露范围的战争仍在继续。在 圣保罗火&Marine 在surance诉Rosen Millennium,Inc.等于2017年3月提交 (M.D. Fla。 6:17-CV-00540), 保险公司正在寻求一份声明,而被保险人都没有’2014-15或2015-16 CGL政策涵盖了数据泄露成本和价值上百万美元的PCI罚款。

2016年,被保险人(一家酒店)发现其付款网络在2014年9月至2016年2月之间受到恶意软件的入侵,导致客户信用卡信息泄露。该酒店首先向其网络保险公司Beazley招标,但Beazley拒绝承保该服务,理由是“occurrence”在适用的酒店追溯日期之前发生’2015-16年政策。有关那些臭名昭著的复古约会的更多信息 这里.

该酒店转向其CGL航空公司圣保罗(St.Paul),该公司出于各种原因拒绝了报道。有两个特别值得注意。  第一圣保罗辩称,针对数据泄露损失的网络保险的可用性已经众所周知,这本身就表明CGL政策并非旨在弥补这些损失。  第二,圣保罗指出,被保险人 实际购买 自2015-16年以来的网络保险。依托法院应制定保险政策的案例,以便 为了找到重复的承保范围,St。Paul认为,必须对CGL政策进行解释,以免由于承保人而无法为数据泄露损失提供承保’Beazley的政策确实提供了这一覆盖范围。

就像包裹着牛皮纸袋的生日礼物一样,第五巡回赛’在6月25日做出的决定 规格’s v. Hanover 响亮地到达我的收件箱‘meh.’您会看到,我每天都会收到来自Westlaw的电子邮件,其中附有可能会或可能不会暗示网络保险范围法律的观点。我使用可以想到的最广泛的搜索词来确保我不会’不要因为包容而错过任何东西。当您要求一切时,您会得到一切。大多数日子,我可以从附件的标题看出来’我应该阅读一个案例。大多数时候’t.

今天 第五巡回法院重新定义了网络保险范围内的典型合同责任排除。事实模式很常见。零售商雇用信用卡处理程序。处理器说,‘ok, we’我会做生意,但是你’ll签订合同,如果有任何问题请让您负责。 ’零售商别无选择,因为您需要处理器,而且他们在合同中都使用相同的责任转移语言。然后数据泄露…

违规后,支付卡行业(PCI)被处以罚款,并提高了安全性要求。处理器将两者都传递给零售商。零售商陷入困境,时间充裕。

规格’的家庭伙伴诉汉诺威保险公司,得克萨斯州南部区成为 第二 法院努力应对支付卡行业(PCI)罚款,支付卡处理者合同和臭名昭著的合同责任排除在许多网络保险保单中仍然存在的相互作用。

您可以阅读有关 第一 法院这样做 这里。剧透:也没有覆盖。

规格’s, a family-owned retail chain, suffered two data breaches of its payment card system resulting in the loss of customer information 和 credit card numbers.  规格’s processed its credit transactions through a third party, 第一 Data Merchant Services.  Following the breaches, 第一 Data was fined almost $10 million by MasterCard 和 Visa.  第一 Data invoked the indemnification provision in its processor agreement and demanded that 规格’s pay the fines.

确认的网络攻击几乎不会对财产(计算机硬件除外)和人员造成实质性的物理伤害。第一个已知事件涉及2008-2010年间一种名为“Stuxnet”进入控制核武器的伊朗网络。该病毒使它们失控,摧毁了其中约20%。另一起事件涉及2014年对一家德国钢厂的黑客攻击,导致高炉发生故障,并造成了严重损失。去年,一家伊朗石化公司遭受了一系列火灾和爆炸,据信这是由黑客攻击造成的。对于这些类型的事件中的每一种,都有无数其他攻击可能造成但未造成人身伤害。

尽管承销商仍在努力准确地量化这种风险,但人们越来越愿意以不同的,有时是颇有创意的方式进入网络物理覆盖市场。但是这种风险并没有’只会影响网络覆盖。网络物理攻击可能会带来巨大的后果,其破坏可能会以指数方式超过这些新产品提供的覆盖范围。这些攻击可以在多个地理区域内进行协调,它们可以影响多个经济部门的许多人和企业,并且比以往更容易进行匿名实施。

实施这些攻击的难度越来越大,加上它们可能造成的前所未有的危害,要求可能的目标仔细研究网络物理风险市场。但是,在这些情况下,即使受到这些攻击的目标购买的网络物理覆盖范围也被证明严重不足,那些可能受到下游影响的人和可能发现自己是被告的人们也需要重新考虑传统覆盖范围。实际上,很少有公司这样做’鉴于新兴的网络物理风险,无需重新审查其整个保险计划。考虑覆盖范围和限制是否仍然适用于网络和传统覆盖范围。这将变得物理。