文章发表于 政策条款

你们大多数人可能都知道 Hollywood Presbyterian Medical Center 数据泄露。 2016年2月5日,黑客将医院从其电子病历中冻结。报道称,直到两周后医院支付了1.7万美元的赎金后,医院才能获得这些记录。在过去的一个月中,至少发生了14次类似的攻击 已报告 由加利福尼亚,肯塔基州和马里兰州的医院提供。对于受到严格监管的医疗机构而言,数据安全的关键本质并不是什么新鲜事物,但是黑客威胁会加密健康记录以勒索赎金。–与不当披露的传统威胁相反–是一个相对较新的风险。但是,网络保险是其中之一 能够 盖。

“Can.”  Not necessarily “does.”

政策在网络勒索和其他类型的网络安全漏洞之间进行了区分。在最一般的水平上,似乎没有什么区别。一切始于未经授权的访问。一个“ransomware”攻击是网络勒索的一种形式,仅在黑客获得网络访问权限后才有所不同–骇客会加密资料并要求付款给“unlock”记录。直到付款需求达到为止,该事件可能会适合几乎所有网络保险政策’网络安全声明的定义,或该策略用来描述第一方对数据泄露响应和补救的覆盖范围的任何术语。

警报:公司一直在接收电子邮件和其他电子指令以进行付款或转帐,– oops –没有真正授权付款或转移的权利。这是欺诈。但这是“computer fraud”?

宾夕法尼亚州匹兹堡的Universal American Corp.诉National Union Fire 在 surance Co.。,25 N.Y. 3d 675(N.Y. Ct。App。June 25,2015),’t.  New York’最高法院裁定,“computer fraud”保真债券的背书涵盖了 黑客’s 未经授权“entry” into the insured’的计算机系统以及随后的欺诈性资金转移。但是,它没有发现 授权的 用户’根据收到的欺诈指示输入信息以转移资金。定义的政策“计算机系统欺诈” as follows: “直接由于(1)将电子数据或计算机程序输入被保险人,或(2)更改被保险人内部的电子数据或计算机程序而直接造成的损失’专有的计算机系统…前提是变更输入导致(a)财产被转让,支付或交付…”。法院认为欺诈是“entry”并非像过去那样将欺诈性数据输入到系统中,而是第三方未经授权地侵入了系统– 。,一个黑客。由于欺诈者从未进入被保险人’在法院的计算机系统中,法院得出结论认为没有涵盖范围。

Apache Corporation诉Great American 在 surance Co,2015年WL 7709584(美国德克萨斯州德克萨斯州,2015年8月7日),法院得出相反的结论。一个“computer fraud” provision in a Crime Prevention Policy did cover an 授权的 用户’根据欺诈性电子邮件说明进行资金转移。的定义“computer fraud”但是在这种情况下, 环球美国 法院所涉语言范围广泛:“We will pay for loss…直接由于使用任何计算机以欺诈方式导致从处所内转移该财产的行为… (a) to a person…处所外;或(b)到处所以外的地方。”法院认为欺诈行为以电子邮件为中心,导致计算机使用“substantial factor”在造成欺诈性转移方面,被保险人因此获得了承保。

卫生与公共服务’(HHS)民权办公室最近向Lincare,Inc.处以239,000.00美元的HIPAA罚款。’不知道罚款是否会被网络保险所覆盖。我不’甚至不知道公司是否有网络保险。

我所知道的是事实模式突出了医疗保健实体的关键保险问题。 Lincare违规不涉及电子记录。一名员工在家中存储了278名患者的身体记录。员工搬家时,他将记录留在了后面。他们是由第三方发现的,– surprise –无权访问它们。本月初,鉴于泄露的记录数量不多,一位行政法法官确认了相对较高的罚款。

有林卡’如果违反电子品种,则具有监管覆盖范围的网络保险保单很可能会占据上风(当然,这取决于保单语言)。当涉及实物文件时,情况更加复杂。那里 ’s 判例法 on how physical 数据泄露es interact with other types of insurance, such as commercial general liability (CGL), but I’我尚未发现任何确定物理违规行为是否会触发网络保险覆盖率的举报案例(如果您有,请告诉我)。

而且您的保单可能涵盖也可能没有涵盖。如果您想了解更多(我知道),请单击此链接以 TheEmployerHandbook.com,我的同事埃里克·迈耶(Eric Meyer,又名“The Blog King, ” aka, “I’m Very Important,” aka “摇滚明星“)慷慨地允许我就该主题发表评论。当你’在那里,您可以随意四处逛逛,并从管理方雇佣律师那里获得有关雇佣法的良好信息。他’在他那不起眼的观点中,比我有趣得多。

商业财产和责任保险单通常包含针对恐怖行为的排除。在9/11之后,恐怖主义排除成为行业标准,这是有史以来最大的单一保险损失,估计损失在30美元之间–700亿美元。由于再保险公司将恐怖主义排除在外作为再保险的条件,主要承运人迅速采用了当今非常普遍的恐怖主义排除’政策将其包括在内几乎是理所当然的。

伦敦的 网络风险与保险论坛 (CRIF)最近提供了两个统计数据,说明了为何相同 既成事实 对于网络保险不能采取任何态度。 CRIF报告称,有58%的黑客活动来自可被称为恐怖分子的实体或个人,或者“hacktivists,”表示该违规行为具有政治,社会,宗教或其他类似动机。 CRIF进一步报告说,在伦敦市场上,将近80%的受审政策排除了此类风险。  简而言之,大多数政策并未涵盖大部分相关风险。

没有判例法说明什么是什么,什么不是’网络恐怖主义。但是,有一些标题可能会被电信运营商视为在恐怖主义排除范围之内的黑客入侵。 2014年,“Guardians of Peace”入侵索尼娱乐’的网络,并威胁在放映这部电影的剧院进行9/11风格的攻击,“The 在 terview,”一部以暗杀朝鲜最高领导人金正恩为前提的电影。索尼取消了电影发行,奥巴马总统加大了对朝鲜的制裁。

如果这篇帖子在“网络星期一”特惠过高和电子邮件埋伏中被迷失了,它就赢了’完全是一个惊喜,但可耻。自2005年进入假日购物市场以来,“网络星期一”已成为一年中最大的购物日之一。 2014年,消费者在网上购物上花费了26.8亿美元,平均交易额仅为100美元。一世’m not great at math –很多律师’t –但这是很多交易。很多信用卡号。物理地址。电子邮件地址。与Tickle-Me-Elmo相比,许多数据的转售价值要高得多,而Tickle-Me-Elmo仍从阁楼的纸板箱中不断地发球。

这使我们清楚地了解了追溯日期的简单提示:保单持有人应在“网络星期一”之前就此追溯日期,就此而言,应在“黑色星期五”之前进行谈判。

追溯日期是保险单中确定的充当各种看门人的时间点。不论何时提出索赔,在该日期之前发生的事件均不包括在内。当涉及网络保险以及几乎所有保险时,’在保单持有人中’有兴趣将日期尽可能推迟。但这可能是在边际上产生了真正的差异。大多数人认为追溯日期是根据触发事件可以追溯到政策返回的年数。但是,应将保单持有人同等地调整到一年中最重要的几天,几周和几个月中最重要的网络犯罪机会– 。, 马上。

让’玩单词联想游戏。我说这句话时想到的第一个字是什么,“data breach”?  If you thought, “hacking,” you’re not the only one.  But according to many accounts, hacking accounts for only about a third of 数据泄露es.

普通的旧式盗窃以其更传统的钱包抢夺形式构成了另外10%的漏洞。尽管在这种情况下笔记本电脑失窃是最常见的原因,但在过去的一年中,台式机,拇指驱动程序以及智能手机的失窃造成了许多数据泄露。显然,拇指驱动器和电话是最容易抢劫的。它们也几乎已成为几乎每个行业中的关键运营要素,我预计由其盗窃引起的违规数量也将呈上升趋势。另有百分之十的违规行为是由“malicious insiders,”出于所有明显原因而损坏或出售数据的现任或前任员工不满。

你可能是避风港’还没有扬眉。但是我们’ve only covered the causes of about half of 数据泄露es.  What about the other half?