文章发表于 新闻与政策

越来越多的企业购买网络保险来保护宝贵的电子资产,包括计算机系统本身以及其中存储的数据。但是,这些政策还比较年轻。他们经常使用取自传统财产/财产保护政策的术语,数十年的判例法为这些术语提供了含义。但是,这些看似熟悉的词正在制造新颖的网络保险问题,可能会影响您拥有或认为您拥有的保险范围。

纳特’l 在k &Stitch,LLC诉State Auto Prop。& Cas. 在s. Co.,CV SAG-18-2138,2020 WL 374460(博士.2020年1月23日), a court addressed a centuries old concept – physical loss – through the cyberinsurance lens.  After a screen-printing company suffered a ransomware 在tack, the company had data stolen 和 computers rendered partially inoperable. 的company filed a claim under their cybersecurity policy, which familiarly stated that the carrier “will pay for direct 物理损失或损害 涵盖财产…”.

的company obtained cyber coverage through an endorsement.  的Businessowners Special Form Computer Coverage endorsement refined the definition of “Covered Property” to include “Electronic Media 和 Records (Including Software).” It defined “Electronic Media 和 Records” to include:

经典的网络钓鱼攻击会识别一种吸引目标受众的信息或机会,然后利用它们诱使目标单击恶意链接或打开损坏的文件。就像一条蠕虫到一条鱼。因此,网络钓鱼一词。

最早的攻击源于几乎普遍的诱惑力-金钱。按我说的去做,您将获得数十万甚至数百万美元。随着我们的明智,这些骗局变得更加量身定制。专业人士受到新客户询问的打击。据称制造商收到了行业协会的重要警报。父母的收件箱里充斥着孩子学校的假冒更新(是的,这已经发生了)。

但是,可能从来没有一个主题具有与COVID-19爆发相关信息相同的普遍吸引力。网络钓鱼诈骗者知道这一点。

如果我的母亲预览了这篇文章,她会告诫我不要给自己开个假名(ken-a-ho-rah)。那’一个意味深长的名词。意思是说或做某事来诱惑邪恶,邀请坏事走上前路。鉴于可能会或可能不会引起大众歇斯底里的情况,该职位的标题似乎是在调情一些,出于安全考虑,不应调情。 las,就像我孩子的名字一样,Bubby无法预览我的博客。与您一样,他们在发布后会看到它们。因此,冒着危险的风险…

My office is still open.  Will that be the case tomorrow?  Or the next day?  Unclear.  的NBA just suspended the entire season.  Schools are closing.  New Rochelle, New York has created a one-mile quarantine zone.  Anything is possible.  We are officially freaking out.

许多公司要么偏远,要么正准备这样做。但是,能够在家工作的幸运员工比不能访问或处理敏感电子数据的员工更有可能。想一想。许多专业人士都走这条路。甚至在很大程度上已经实现自动化的制造或其他工业过程中,也可能能够远程控制其部分或全部操作。由于远程工作的数量在增加,网络犯罪的机会也在增加。这里’我们所有人自愿隔离自己的三个简单,易于实施的技巧,以提高安全性,我真正希望自己被证明是不必要的恐慌。一世’我只是不确定这一点。秘诀…

2018年,联邦调查局 ’的互联网犯罪投诉中心(IC3)每天收到900多起有关互联网犯罪的投诉。总共有超过35万宗投诉,涉及27亿美元的损失。商业企业妥协(BEC)是最常见和最重要的。

这些骗局涉及使用欺诈性电子邮件,指示收件人不经意间将付款电汇给犯罪分子’ bank accounts, accounted for over 20,000 complaints 和 a whopping $1.2 billion in losses in 2018.  的Cyber Division of the FBI’经济犯罪部门调查这些投诉,目的是追回欺诈性挪用的资金。

“Michael”是一位退休的联邦调查局外勤特工,自成立以来就在该部门工作。在他的允许下,以下是我们最近谈话的摘要。

我在2016年4月 突出显示 与企业妥协或BEC有关的保险问题。昨天,我荣幸地向内部审计师协会的新泽西州中央分会年度欺诈会议作了专题介绍(感谢 弗兰克·皮纳(Frank Pina)Mercadian 邀请)。

自从我上次撰写有关该主题的文章以来,FBI已确定BEC(也称为CEO欺诈,社会工程和欺骗)是最昂贵的网络犯罪形式之一。刷新:FBI将BEC定义为“针对执行电汇付款的企业和个人的复杂骗局…当主题通过社会工程或计算机工程技术来破坏合法的商业电子邮件帐户以进行未经授权的资金转移时,通常会执行此操作。”BEC的常见示例是来自CEO或CFO的电子邮件,该电子邮件指示员工向假冒卖方付款,而冒充冒充产权保险代表的骗子向房地产购买者发送了最新的接线说明。

在2013年至2018年期间,BEC的交易额超过125亿美元 已报告 全球损失。我说 已报告 因为联邦调查局’的数据集仅限于通过其互联网投诉中心或IC3接收的自我报告信息。许多此类欺诈的受害者可能出于多种原因未向联邦调查局报告。在这些损失中,美国发生了41,058起事件,造成近30亿美元的损失。这个数字代表了在这五年期间向联邦调查局报告的欺诈相关损失的一半以上。

网络这个。网络那个。我处理污垢,而我不’t care.

如果有’您应该在那尘土之上建造一座商业建筑。

的“internet of things”是指我们的数字世界与物理世界之间不断扩展的连接。在我们的家中,我们拥有智能的气候控制,安全保护,冰箱,电视,吸尘器(是的,吸尘器),而且,您一定会喜欢的。我们喜欢舒适和便利,而且我们可以通过手机控制所有这些,’总是反正看着。

本月,司法部发布了一套相当全面的网络安全事件前后建议。对于您所有的极客,您可以得到全部 这里。对于那些忙于其他新闻的人,这里’s some highlights.

事发前,司法部建议制定违规应对计划。我们’在这一点上,所有人都反复听到了这一点,许多公司和公司仍然没有可行的响应计划。司法部强调的这些计划的一些重要组成部分包括:(1)确定您最重要的资源并优先考虑对其进行保护; (2)拥有清晰的内部和外部报告结构,其重点是遏制事件,减轻其影响并保留信息,以便以后了解事件的范围和来源; (3)识别并与在您所在行业或管辖范围内具有管辖权的适用的执法部门和监管机构建立关系; (4)最终针对关键信息资产的使用和访问制定适当的政策和程序,并投资适当的技术保护。

事发后,司法部基本上建议– wait for it –按照您制定的事前计划。

自2016年以来,Verizon每年都拒绝估算数据泄露的平均成本。 Verizon的理由是,由于有许多因素可以确定违约成本,因此没有可靠的方法“average”数据点。但是,我们知道影响违反成本的可识别因素,例如行业部门,威胁参与者,记录数,受影响的数据类型等。因此,我们对特定实体的了解越多’在风险状况方面,更好的装备是该实体不仅可以保护自己,而且可以预测违规的潜在成本。

输入 丘布’s Cyber Risk 在dex。它’按行业,年收入和时间段组织的20年索赔数据。由于行业和公司规模是数据泄露分析中的重要差异因素,因此该工具使公司可以磨练关于数据泄露风险的性质和程度的有意义的数据。而且’s free, whether you’是否由Chubb重新投保。

我使用了交互式索引,下面是一些有趣的数据点:

独立的网络保险是企业风险管理的重要组成部分。但是,即使是具有传统和网络覆盖范围的公司,通常也可能会存在由我本人造成的覆盖范围缺口’ve称为 ‘hot potato’ 问题。在这种情况下,网络政策和相关的传统报道都没有真正针对相对新型的风险而设计。

一个例子是网络事件造成的物理损坏。特别是随着物联网增加物理设备的连接性,网络攻击可能会伤害人员和财产。网络保险可能涵盖网络安全故障和对这些设备的未经授权的访问,但是‘standard’当这些事件导致人身伤害时,网络政策通常将覆盖范围排除在外。而且本来可以涵盖人身伤害的财产和伤亡政策通常不包括由网络事件引起的损害。摇滚,遇到困难的地方。

差距,见面 美国国际集团’s Cyber Edge products.  These products are designed to fill this gap by, in addition to covering the relatively 标准 range of cyber risks, including the ability to add coverage for cyber events that cause physical damage to people or property.

本文最初发表于2016年秋季“的Bulletin,”Kessler Topaz Meltzer出版的季度新闻通讯&Check,一家著名的律师事务所,代表机构投资者和证券,股东及其他复杂诉讼类别。一世’已在“资源”页面上包含了完整的出版物。

为我找到一个集中的个人,财务和健康信息存储库,我每天会发现数百万次尝试访问,窃取或破坏该信息。即使没有恶意行为者,私人数据也会在不经意间公开的可能性越来越高。这就是我们的世界。