文章发表于 政策条款

确认的网络攻击几乎不会对财产(计算机硬件除外)和人员造成实质性的物理伤害。第一个已知事件涉及2008-2010年间一种名为“Stuxnet”进入控制核武器的伊朗网络。该病毒使它们失控,摧毁了其中约20%。另一起事件涉及2014年对一家德国钢厂的黑客攻击,导致高炉发生故障,并造成了严重损失。去年,一家伊朗石化公司遭受了一系列火灾和爆炸,据信这是由黑客攻击造成的。对于这些类型的事件中的每一种,都有无数其他攻击可能造成但未造成人身伤害。

尽管承销商仍在努力准确地量化这种风险,但人们越来越愿意以不同的,有时是颇有创意的方式进入网络物理覆盖市场。但是这种风险并没有’只会影响网络覆盖。网络物理攻击可能会带来巨大的后果,其破坏可能会以指数方式超过这些新产品提供的覆盖范围。这些攻击可以在多个地理区域内进行协调,它们可以影响多个经济部门的许多人和企业,并且比以往更容易进行匿名实施。

实施这些攻击的难度越来越大,加上它们可能造成的前所未有的危害,要求可能的目标仔细研究网络物理风险市场。但是,在这些情况下,即使受到这些攻击的目标购买的网络物理覆盖范围也被证明严重不足,那些可能受到下游影响的人和可能发现自己是被告的人们也需要重新考虑传统覆盖范围。实际上,很少有公司这样做’鉴于新兴的网络物理风险,无需重新审查其整个保险计划。考虑覆盖范围和限制是否仍然适用于网络和传统覆盖范围。这将变得物理。

 

独立的网络保险是企业风险管理的重要组成部分。但是,即使是具有传统和网络覆盖范围的公司,通常也可能会存在由我本人造成的覆盖范围缺口’ve称为 ‘hot potato’ 问题。在这种情况下,网络政策和相关的传统报道都没有真正针对相对新型的风险而设计。

One example is physical damage caused by cyber events.  Particularly as the Internet of Things increases the connectivity of physical devices, cyber attacks can hurt people 和 property.  Cyberinsurance likely covers 网络安全故障s 和 unauthorized access to these devices, but ‘standard’当这些事件导致人身伤害时,网络政策通常将覆盖范围排除在外。而且本来可以涵盖人身伤害的财产和伤亡政策通常不包括由网络事件引起的损害。摇滚,遇到困难的地方。

差距,见面 美国国际集团’s Cyber Edge products.  These products are designed to fill this gap by, in addition to covering the relatively 标准 range of cyber risks, including the ability to add coverage for cyber events that cause physical damage to people or property.

本文最初发表于2016年秋季“简报,”Kessler Topaz Meltzer出版的季度新闻通讯&Check,一家著名的律师事务所,代表机构投资者和证券,股东及其他复杂诉讼类别。一世’ve included the full 出版物 on my 资源资源 page.

为我找到一个集中的个人,财务和健康信息存储库,我每天会发现数百万次尝试访问,窃取或破坏该信息。即使没有恶意行为者,私人数据也会在不经意间公开的可能性越来越高。这就是我们的世界。

首先,我必须说 保罗·斯托克曼 McGuireWoods的文章击败了我,“网络风险‘IRL’.”  So, read that.

Stockman解决了我的承保范围问题’我们已经注意到跨运营商的网络政策。他们倾向于说类似:“对于任何索赔或任何费用,本公司概不负责…for bodily injury…或任何有形财产的损坏或破坏。”  Carrier’位置:如果数据泄露或恶意软件攻击导致爆炸,’在别人身上。我拿–好吧,这取决于事实,政策措辞和相关司法管辖区的法律状况。当然。

It’但是,现在很清楚,网络攻击不仅可以破坏和窃取电子数据,还可以做更多的事情。网络攻击还可能导致机器故障,从而造成人身伤害‘IRL,” or “in real life.”  Consider a hacker taking control of 一个 HVAC system, or a car or a nuclear centrifuge (it separates uranium isotopes to make nuclear bombs).  The result: 内部收益率, broken stuff, injured people damage.

这里 is how it is supposed to work.  Something bad happens.  You’再保险公司支付。然后,承运人起诉伤害您的坏人。那’s subrogation.

在数据泄露的情况下,这种永恒的结构提出了许多挑战。最值得注意的是与发现坏人相关的困难。但这不是’t your problem.

另一方面,您与数据托管服务,信用卡处理器或其他供应商签订的合同很可能是您的问题。您可能需要支付月租费。根据您公司的规模,这笔费用可能不大。对于较小的组织,每个月可能只有20美元左右。现在,考虑该供应商持有什么–您的所有数据。 kes。

网络保险保单通常提供第一方和第三方承保范围。第一方承保范围涉及被保险人’自负的费用,用于调查和补救数据泄露以及收回被保险人 ’的数据和其他信息资产。当客户和监管机构试图要求被保险人对违规行为负责时,第三方将开始介入。

但是我们已经知道了,对吧?

我们还知道,承销商在开始撰写网络政策时就以商业一般责任(CGL)表格开始,因为,这是他们备案的最接近的东西,没有人喜欢从头开始。一世’之前,我们讨论了这是如何导致某些CGL条款渗入网络政策的,即使它们确实没有’t belong.  The 合同责任排除战争/恐怖行为排除

2016年5月31日,美国亚利桑那州地方法院 保持 那P.F.常’在2014年数据泄露后向其信用卡处理商支付近200万美元的义务是合同规定的,因此不在其网络保险政策范围内。哎哟。让’s back up.

2014年,黑客发布了60,000 P.F.的信用卡号。常’互联网上的客户。 P.F.常’拥有丘布(Chubb)网络保险政策,为此支付了每年134,052.00美元的保费。 Chubb支付了P.F.常’170万美元的政策收益,用于支付法医调查,诉讼辩护和其他费用, 但这还不到这次违规成本的一半.

真?对真的。

那些新的,老式的Air Jordan球鞋复古复古(我也有)。那些新的网络保险追溯日期– eh.

我在博客中记录了追溯日期 这里。提醒:保险单的追溯日期是不涵盖其他承保范围的事件发生的前一天。在与特定运营商签订的第一份保单中,通常是该保单’的开始日期也是如此。在我之前的文章中,我讨论了追溯日期之前发生的数据泄露问题,但是直到该日期之后才被发现(和诉讼,监管,修复等)。由于没有立即发现许多数据泄露事件,因此此顺序可能会严重影响覆盖范围,尤其是对于进入市场的新进入者。

这里’另一个扭曲。那所谓的“wrongful act”据称造成了违规行为(“occurrence”如果您想对此进行技术性了解)?原告或监管人可能认为“wrongful act”原因是未能实施特定的安全措施,而这可能发生在违规发生之前的数年。如果政策将追溯日期与“occurrence,” but also the”wrongful act” that did or 被指称ly caused it, double whammy.  And because the 不当行为 could be at least 被指称 可能在任何时候发生,这种语言可能会将覆盖范围的确定权交给原告和监管机构。危险的。

仅供参考,NBD是“internet slang” for “no big deal.”  “Internet slang”是我弟弟在短信中使用的。

无论如何。

上周, 第四巡回赛得到确认 一个 弗吉尼亚东区 裁定,旅行者在未经许可的情况下在网上找到病历后提起的集体诉讼数据泄露诉讼中有义务为Portal Healthcare Solutions辩护。该意见分析了商业一般责任政策(CGL),特别是“publication”该问题在2015年Sony Playstation承保争议中也排在前列。在索尼,纽约市一家初审法院裁定,CGL运营商没有义务捍卫数据泄露集体诉讼,许多裁决认为这表明在CGL政策中发现数据泄露覆盖范围的日子即将结束。因此,有许多评论员建议Traveller是另一个方向的摆动,这表明在CGL政策下数据泄露覆盖范围的可行性仍然存在。

你可能不是。但是,FBI是 报告 越来越多的网络犯罪分子在运行“商业电子邮件泄露” scams.  A “B.E.C.”当某人滥用社交媒体或电子凭证来假设高管人员或受信任的员工/顾问的身份,然后冒充该人,要求从公司内部其他人员进行欺诈性电汇。 FBI报告说,每个州的执法部门都收到了有关该活动的报告,在过去的三年中,估计有17642名受害者,而这些骗局的成本在此期间可能超过23亿美元。

现在,记住 当我告诉 您是否认为某些虚假电子邮件诈骗没有被视为隐蔽事件?此类索赔的处理方式有时取决于资金的发送者是否是授权用户,以及损失是否不是由付款人造成的。‘网络安全故障’ or ‘未经授权的网络访问。’  Without “unauthorized access,”可能很难获得覆盖。但是公元前是对熟悉的有趣的转折‘来自真实银行客户的虚假电子邮件’诈骗。在公元前,可以说是未经授权的使用或进入–内部数字的假设’的身份导致另一个内部人物协助欺诈。