文章发表于 政策条款

越来越多的企业购买网络保险来保护宝贵的电子资产,包括计算机系统本身以及其中存储的数据。但是,这些政策还比较年轻。他们经常使用取自传统财产/财产保护政策的术语,数十年的判例法为这些术语提供了含义。但是,这些看似熟悉的词正在制造新颖的网络保险问题,可能会影响您拥有或认为您拥有的保险范围。

纳特’l 在k &Stitch,LLC诉State Auto Prop。& Cas. 在s. Co.,CV SAG-18-2138,2020 WL 374460(博士.2020年1月23日), a court addressed a centuries old concept – physical loss – through the cyberinsurance lens.  After a screen-printing company suffered a ransomware attack, the company had data stolen 和 computers rendered partially inoperable. 的company filed a claim under their cybersecurity policy, which familiarly stated that the carrier “will pay for direct 物理损失或损害 涵盖财产…”.

的company obtained cyber coverage through an endorsement.  的Businessowners 规格ial Form Computer Coverage endorsement refined the definition of “Covered Property” to include “Electronic Media 和 Records (Including Software).” It defined “Electronic Media 和 Records” to include:

一月份,我对苏黎世发表了看法’s invocation of an ‘act of war’拒绝否认对Mondelez 在ternational的承保’由NotPetya造成的损失。并在此过程中开了一个关于奥利奥的有趣笑话。您’重新欢迎。最近,我接受了Matt Fleischer-Black的采访 网络不安全新闻 在同一主题上,马特建议他的研究表明索尼’在2014年之后,美国国际集团(AIG)涵盖了‘The 在terview’骇客。那让我思考– if AIG covered Sony’的损失,索尼之间有区别吗’的AIG政策和Mondelez’s Zurich policy?

据报道,当索尼“Guardians of Peace” hacked into Sony’2014年11月的网络。共和党以非常恐怖的形象锁定了员工的计算机,并威胁要释放索尼’有关未发行电影和机密商业问题的数据。他们还威胁“9-11 style”索尼的电影院遭到袭击’s “The 在terview,”一部有关两名记者的喜剧被送往暗杀朝鲜最高领导人金正恩。中央情报局将共和党确定为朝鲜国家行为者,奥巴马总统则加强了对朝鲜的制裁。

和平的监护人采访黑客的图像结果
我不’t have Sony’的实际AIG政策。但是,我确实找到了一个 AIG Cyber​​Edge政策样本 索尼本来会使用的’2014年4月-2015年4月的保单期限。像蒙多雷斯’根据苏黎世政策,‘战争排斥法。’AIG政策禁止覆盖“arising out of…战争,入侵,军事行动…政治骚乱,内乱,暴动,戒严,内战,叛变,民众或军事起义,暴动,叛乱,革命,军事或篡夺政权…”.

Cyber this.  Cyber that.  I deal in dirt, 和 我不’t care.

如果有’您应该在那尘土之上建造一座商业建筑。

的“internet of things”是指我们的数字世界与物理世界之间不断扩展的连接。在我们的家中,我们拥有智能的气候控制系统,安全保护,冰箱,电视,吸尘器(是的,吸尘器),而且,您会明白的。我们喜欢舒适和便利,而且我们可以通过手机控制所有这些,’总是反正看着。

欢迎回来。除非你从未离开过,否则你’早上的天气可能比我还顺利。如果你’re reading this, we’两者的早晨都比2017年6月27日的Mondelez 在ternational,Inc.更好,当时该公司受到了NotPetya袭击的打击,该袭击几乎震撼了全世界。认为您从未听说过Mondelez吗?它’是一家休闲食品巨头公司,主要生产丽兹饼干,吉百利巧克力和牛奶’s和我最喜欢的cookie– the Oreo.

在NotPetya上刷新–大多数人(包括中央情报局)都认为这次袭击是由俄罗斯军方对乌克兰发动的,据估计乌克兰遭受了50-80%的损失。许多人认为这种恶意软件的传播–攻击发生时最快–跨国公司和美国公司甚至都不是故意的。那没有’阻止它对全球的医院,银行,运输公司和其他机构造成约100亿美元的损失。

不过,Mondelez拥有苏黎世的保险单,专门涵盖“电子数据,程序或软件的物理损失或损坏,包括由于恶意引入机器代码或指令而造成的物理损失或损坏。”当NotPetya袭击Mondelez时,它永久摧毁了1,700台服务器和24,000台计算机。 Mondelez声称以财产损失,商业供应和分销中断,未履行的客户订单以及降低的利润等形式损失了超过1亿美元。孟德尔兹向苏黎世提出索赔,苏黎世当时’不能确定该怎么做。

性感的头衔,我知道。这里’s the thing –这是一个大问题。特别是对于雇主而言,对于任何收集和存储个人数据的实体而言,宾夕法尼亚州的法律都发生了巨大变化。

第一, a bit of law 101.  的“economic loss rule”是一个法律概念,可以将法律划分为两个基本部分:侵权行为(。,过失)和合同。根据该规则,不存在因过失而仅造成经济损失而无人身伤害或财产损失的索赔。例如:您付钱给画家粉刷房屋。他没有’t。您想为所有事情提起诉讼,包括居住在颜色不反映房屋颜色的房屋中带来的情绪困扰。“real you.”但是你(可能)可以’t。根据经济损失规则,当您不付任何费用时遭受的经济伤害不会导致过失索赔或可能会导致侵权的更广泛的损害赔偿。您’坚持违反合同要求退还您的钱,可能还增加了雇用别人粉刷您的房屋的成本。有例外和细微差别,但那’这是您需要了解的所有信息。

关于经济损失规则是否禁止因数据泄露造成的经济损失的过失索赔,法院得出了不同的结论。还有一些州’甚至承认一项独立的侵权责任以支持对数据泄露的过失索赔 accompanied by physical damage (say, to your hardware). 的United States District Court for the District of Minnesota examined this state-by-state variation in the 目标数据泄露类诉讼。法院裁定,至少在2014年,阿拉斯加,加利福尼亚州,伊利诺伊州,爱荷华州,马萨诸塞州和…宾夕法尼亚州。至于来自哥伦比亚特区,乔治亚州,爱达荷州,新罕布什尔州和纽约州的集体成员,这些司法管辖区的法律仍然没有充分解决,以致他们的过失主张得以幸存。’s motion to dismiss.

昨天我 关于应用“voluntary parting” exclusion in 施密特诉旅行者,是俄亥俄州南部地区2015年的一起案件。如果你不能’t tell, I didn’不同意结果。

的Sixth Circuit offered a more reasoned 和 more recent view of insurance coverage for email/wire scams in 美国工具中心公司诉旅行者 (2018年7月13日)。一家美国制造商据称收到了其中国分包商的电子邮件。这位负责人说,由于正在进行审核,因此下一笔付款应连接到新的银行帐户。公司汇了钱。该小组再次通过电子邮件发送电子邮件,说该帐户存在问题,并要求重新电汇到其他帐户。这发生了四次。在$ 834,000之后,真正的租户开始询问其付款地点…

的company sought coverage under its Wrap+ business insurance, which contained “computer fraud”覆盖范围。它显示为:“公司将为被保险人付款’s direct loss of…Money…直接由计算机欺诈造成。”  的policy defined “computer fraud” as the “use of any computer to fraudulently cause a transfer of 钱…”.

It’(大约)国家网络安全意识月的活动。是的,它’一件事。 15岁的东西。适当地,我昨晚在Citrin Cooperman主持的一次网络安全研讨会上度过了(顺便感谢)。它引发了有关博客内容的两部分博客文章的第一篇“voluntary parting”排除。准备好爆米花。

首先是现场。我们’重新在费城的联盟联赛。它’有点黑暗,因为它’那里总是一片漆黑。每个人都穿外套,因为每个人都必须在那儿穿外套。尽管采光和形式(我在担任律师的11年中应该更加习惯),但是这个小组还是很出色的。一个道德的黑客演示了他使用一种每秒可进行数十亿次猜测的软件来找出我们所有密码的便捷性。一位估值专家解释了量化网络事件损失的过程。我最感兴趣的是,一家精良的保险经纪公司的总顾问提供特定的理赔见解(当然没有名字)。

她强调,与我们许多人所听到的叙述一致,承运人总体上对大多数网络索赔迅速做出反应并付款。所以,我问: “您看到的排除项是否与该叙述有所偏差,或者鉴于网络策略的量身定制的特性,也许可以在前端应用过程中解决这些排除项?”

就像包裹着牛皮纸袋的生日礼物一样,第五巡回赛’在6月25日做出的决定 规格’s v. Hanover 响亮地到达我的收件箱‘meh.’您会看到,我每天都会收到来自Westlaw的电子邮件,其中附有可能会或可能不会暗示网络保险范围法律的观点。我使用可以想到的最广泛的搜索词来确保我不会’不要因为包容而错过任何东西。当您要求一切时,您会得到一切。大多数日子,我可以从附件的标题看出来’我应该阅读一个案例。大多数时候’t.

今天 第五巡回法院重新定义了网络保险范围内的典型合同责任排除。事实模式很常见。零售商雇用信用卡处理程序。处理器说,‘ok, we’我会做生意,但是你’ll签订合同,如果有任何问题请让您负责。’零售商别无选择,因为您需要处理器,而且他们在合同中都使用相同的责任转移语言。然后数据泄露…

Following the breach, the Payment Card 在dustry (PCI) comes down on the processor with considerable fines 和 enhanced security requirements.  的processor passes both along to the retailer.  的retailer 是 in the hole, big time.

的2018 Verizon Data Breach 在vestigations Report indicates that in the education industry (yes, it’一个行业),最普遍的数据泄露类型是“social attacks.”  What’s a social attack?

网络钓鱼是一种社会攻击。那’s,当您收到一封带有链接或附件的电子邮件,该链接或附件只是被单击时。点击相当于在度假时打开前门的功能。

现在,将更细微的社交攻击称为“pretexting.”这有点像网络钓鱼,尽管它涉及与恶意行为者进行更详细的来回对话,而恶意行为者通常采用特定角色来促进该计划。正如Verizon更雄辩地解释的那样,借口是“创建虚假的叙述以获得信息或影响行为。”考虑模仿高管或您的Facebook朋友。

在星期二,我很荣幸地参加了一个小组讨论公共养老基金网络保险的会议 凯斯勒·托帕兹(Kessler Topaz)’s Evolving Fiduciary Obligations for 在stitutional 在vestors conference, joining Victoria Hale, General Counsel of the Denver Employees Retirement Plan, 和 pension attorney Chris Waddell.  We emphasized that the cyberinsurance procurement process is unique as compared to the renewal of traditional lines.  的coverage 是 highly negotiable 和 definitely 一刀切的适合所有人。以下是一些养老基金的具体提示。

第一,确保涵盖故意的员工不当行为。内部人员滥用是金融和公共机构数据泄露的最普遍原因之一。但是,由于网络保险形式在很大程度上可以追溯到商业一般责任险政策,因此其中一些仍然包含传统的‘intentional acts’排除被保险人的承保范围的排除’的故意不当行为。为确保您的保单涵盖最常见的违规原因之一,请推迟此排除。运营商通常会同意分拆‘rogue employees,’或将限制“insured”仅在雇员的工作范围内时才授予雇员。员工故意行为不当时,任何一方都应保持理智。

第二,请警惕对E的网络认可&O 和 D&O政策。这些认可是作为独立网络保险的低成本替代方案提出的,但是正如我所介绍的那样 这里,您可能购买了危险的有限承保范围。其中许多背书仅涵盖第三方风险– ,是其数据遭到泄露的个人提起的集体诉讼。这可能 资金面临的最大风险。实际上,对于公共和金融机构而言,数据泄露中最昂贵的要素是有关泄露通知的法律建议,用于识别问题并进行修复的法务IT工作以及违反通知本身,通常每个通知接收者要花费2-3美元。网络认可价格不菲,但只有在包含第一方和第三方承保范围适当组合的情况下,它们才有价值,前者必须包括违规指导,IT响应和违规通知。