It’(大约)国家网络安全意识月的活动。是的,它’一件事。 15岁的东西。适当地,我昨晚在Citrin Cooperman主持的一次网络安全研讨会上度过了(顺便感谢)。它引发了有关博客内容的两部分博客文章的第一篇“voluntary parting”排除。准备好爆米花。
首先是现场。我们’重新在费城的联盟联赛。它’有点黑暗,因为它’那里总是一片漆黑。每个人都穿外套,因为每个人都必须在那儿穿外套。尽管采光和形式(我在担任律师的11年中应该更加习惯),但是这个小组还是很出色的。一个道德的黑客演示了他使用一种每秒可进行数十亿次猜测的软件来找出我们所有密码的便捷性。一位估值专家解释了量化网络事件损失的过程。我最感兴趣的是,一家精良的保险经纪公司的总顾问提供特定的理赔见解(当然没有名字)。
她强调,与我们许多人所听到的叙述一致,承运人总体上对大多数网络索赔迅速做出反应并付款。所以,我问:“您看到的排除项是否与该叙述有所偏差,或者鉴于网络策略的量身定制的特性,也许可以在前端应用过程中解决这些排除项?”
本月,司法部发布了一套相当全面的网络安全事件前后建议。对于您所有的极客,您可以得到全部 这里。对于那些忙于其他新闻的人,这里’s some highlights.
事发前,司法部建议制定违规应对计划。我们’在这一点上,所有人都反复听到了这一点,许多公司和公司仍然没有可行的响应计划。司法部强调的这些计划的一些重要组成部分包括:(1)确定您最重要的资源并优先保护它们; (2)具有清晰的内部和外部报告结构,其重点在于遏制该事件,减轻其影响并保留信息,以便以后了解该事件的范围和来源; (3)识别并与在您所在行业或管辖范围内具有管辖权的适用的执法部门和监管机构建立关系; (4)最终针对关键信息资产的使用和访问制定适当的政策和程序,并投资适当的技术保护。
事发后,司法部基本上建议– wait for it –按照您制定的事前计划。
寻找商业通用责任(CGL)政策下的数据泄露范围的战争仍在继续。在 圣保罗火&Marine Insurance诉Rosen Millennium,Inc.等于2017年3月提交 (M.D. Fla。 6:17-CV-00540), 保险公司正在寻求一份声明,而被保险人都没有’2014-15或2015-16 CGL政策涵盖了数据泄露成本和价值数百万美元的PCI罚款。
2016年,被保险人(一家酒店)发现其付款网络在2014年9月至2016年2月之间受到恶意软件的入侵,导致客户信用卡信息泄露。该酒店首先向其网络保险公司Beazley招标,但Beazley拒绝承保该服务,理由是“occurrence”在适用的酒店追溯日期之前发生’2015-16年政策。有关那些臭名昭著的复古约会的更多信息 这里.
该酒店转向其CGL航空公司圣保罗(St.Paul),该公司出于各种原因拒绝了报道。有两个特别值得注意。 第一圣保罗辩称,针对数据泄露损失的网络保险的可用性已经众所周知,这本身就表明CGL政策并非旨在弥补这些损失。 第二,圣保罗指出,被保险人 实际购买 自2015-16年以来的网络保险。依托法院认为应当制定保险政策的案例,以便 不 为了找到重复的承保范围,St。Paul认为,必须对CGL政策进行解释,以免由于承保人而无法为数据泄露损失提供承保’Beazley的政策确实提供了这一覆盖范围。
就像包裹着牛皮纸袋的生日礼物一样,第五巡回赛’在6月25日做出的决定 规格’s v. Hanover 响亮地到达我的收件箱‘meh.’您会看到,我每天都会收到来自Westlaw的电子邮件,其中附有可能会或可能不会暗示网络保险范围法律的观点。我使用可以想到的最广泛的搜索词来确保我不会’不要因为包容性而错过任何事情。当您要求一切时,您会得到一切。大多数日子,我可以从附件的标题看出来’我应该阅读一个案例。大部分时间不是’t.
但 今天 第五巡回法院重新定义了网络保险范围内的典型合同责任排除。事实模式很常见。零售商雇用信用卡处理程序。处理器说,‘ok, we’我会做生意,但是你’ll签订合同,如果有任何问题请让您负责。’零售商别无选择,因为您需要处理器,而且他们在合同中都使用相同的责任转移语言。然后数据泄露…
违规后,支付卡行业(PCI)被处以罚款,并提高了安全性要求。处理器将两者都传递给零售商。零售商陷入困境,时间充裕。
《 2018年Verizon数据泄露调查报告》指出,在教育行业(是的,’一个行业),最普遍的数据泄露类型是“social attacks.” What’s a social attack?
网络钓鱼是一种社会攻击。那’s,当您收到一封带有链接或附件的电子邮件,该链接或附件只是被单击时。点击相当于在度假时打开前门的功能。
现在,将更细微的社交攻击称为“pretexting.”这有点像网络钓鱼,尽管它涉及与恶意行为者进行更详细的来回对话,而恶意行为者通常采用特定角色来促进该计划。正如Verizon更雄辩地解释的那样,借口是“创建虚假的叙述以获得信息或影响行为。”考虑模仿高管或您的Facebook朋友。
自2016年以来,Verizon每年都拒绝估算数据泄露的平均成本。 Verizon的理由是,由于有许多因素可以确定违约成本,因此没有可靠的方法“average”数据点。但是,我们知道影响违反成本的可识别因素,例如行业部门,威胁参与者,记录数量,受影响的数据类型等。因此,我们对特定实体的了解越多’根据风险简介,该实体不仅可以更好地保护自己,而且可以预测违规的潜在成本。
输入 丘布’s Cyber Risk Index。它’按行业,年收入和时间段组织的20年索赔数据。由于行业和公司规模是数据泄露分析中的重要差异因素,因此该工具使公司可以磨练关于数据泄露风险的性质和程度的有意义的数据。而且’s free, whether you’是否由Chubb重新投保。
我玩了一些交互式索引,这里有一些有趣的数据点:
2018年5月18日,科罗拉多州立法机关发送了 HB 18-1128,关于加强对消费者数据隐私保护的法案,’办公桌执行。该法案是各州为应对今年宣布的一系列重大违规行为而做出的一系列近期努力之一,其中包括Equifax,Facebook,Panera Bread,Under Armour和– well, you get it.
该法案模仿了欧盟朝着更高,更具体的标准迈进的趋势’通用数据保护条例。例如,HB-18-1128取代了‘在切实可行的范围内’违规通知要求,其期限不得早于确定违规发生之日起30天。那’比GDPR的纬度更大’似乎不可能达到72小时的时限(当然,在可行的情况下),但这是监管机构的另一种迹象’坚持确定的时间表。
与GDPR一样,科罗拉多州法案明确规定必须维护数据“不再需要”数据最小化的增长趋势的一个例子。关于安全措施本身,该法案要求“适用于个人识别信息的性质以及企业及其运营的性质和规模的合理安全程序和做法,” a ‘商业上合理的’同样反映GDPR的各种标准(鉴于许多因素,采取了适当的技术和组织措施)。要再有一个相似之处吗?该法案要求受保护实体授权第三方服务提供商实施合理的安全措施,这是另一趋势,这反映在GDPR和全国正在通过或提议的新立法中。
在 规格’的家庭伙伴诉汉诺威保险公司,得克萨斯州南部区成为 第二 法院努力应对支付卡行业(PCI)罚款,支付卡处理者合同以及臭名昭著的合同责任排除在许多网络保险保单中仍然存在的相互作用。
您可以阅读有关 第一 court to do so 这里。剧透:也没有覆盖。
规格’s,一家家庭零售连锁店,遭受其支付卡系统的两次数据泄露,导致客户信息和信用卡号丢失。规格’通过第三方First Data Merchant Services处理了其信用交易。违规后,First Data被万事达和Visa罚款近1000万美元。 First Data在其处理器协议中援引了赔偿条款,并要求Spec’s pay the fines.
偿付能力。这意味着您可以付款。网络攻击的发生频率和有效性越来越高,导致费用不断增加。网络保险市场正在蓬勃发展,但是保费和运营商准备金是否能跟上索赔成本的步伐?
It’s a fair question.
首先考虑损失问题的严重性。从前,要从银行偷钱,您必须骑马,开车,乘Uber– whatever –然后进入银行现在,自动网络攻击每小时可以发起无数次尝试,而且可能具有匿名性,并且没有人身旅行的限制或随之而来的告诉每个人着手的风险。我想您仍然可以创建人质场景来关闭赌场一段时间,但是针对在线游戏平台的分布式拒绝服务攻击更容易,风险更低并且可能造成的破坏更大。在Dyn,WannaCry和最近的Petya(或非Petya)攻击中,我们看到了‘single’进攻即可。事实:’与以往相比,现在更容易且风险更低地造成更大的损失。结果,被保险人更容易受到伤害。
在星期二,我很荣幸地参加了一个小组讨论公共养老基金网络保险的会议 凯斯勒·托帕兹(Kessler Topaz)’s 不断发展的机构投资者信托义务会议,与维多利亚·黑尔(Victoria Hale),丹佛员工退休计划总顾问以及退休金律师克里斯·瓦德尔(Chris Waddell)一起。我们强调,与续签传统保险相比,网络保险的采购流程是独特的。承保范围极高,可以协商 不 一刀切的适合所有人。以下是一些养老基金的具体提示。
第一,确保涵盖故意的员工不当行为。内部人员滥用是金融和公共机构数据泄露的最普遍原因之一。但是,由于网络保险形式在很大程度上可以追溯到商业一般责任险政策,因此其中一些仍然包含传统的‘intentional acts’排除被保险人的承保范围的排除’的故意不当行为。为确保您的保单涵盖最常见的违规原因之一,请推迟此排除。运营商通常会同意分拆‘rogue employees,’或将限制“insured”仅在雇员的工作范围内时才授予雇员。员工故意行为不当时,任何一方都应保持理智。
第二,请警惕对E的网络认可&O and D&O政策。这些认可是作为独立网络保险的低成本替代方案提出的,但是正如我所介绍的那样 这里,您可能购买了危险的有限承保范围。其中许多背书仅涵盖第三方风险– 即,是其数据遭到泄露的个人提起的集体诉讼。这可能 不 资金面临的最大风险。实际上,对于公共和金融机构而言,数据泄露中最昂贵的元素是有关泄露通知的法律建议,用于识别问题并进行修复的法务IT工作以及违反通知本身,通常每个通知接收者要花费2-3美元。网络认可价格不菲,但只有在包含第一方和第三方承保范围适当组合的情况下,它们才有价值,前者必须包括违规指导,IT响应和违规通知。
