It’(大约)国家网络安全意识月的活动。是的,它’一件事。 15岁的东西。适当地,我昨晚在Citrin Cooperman主持的一次网络安全研讨会上度过了(顺便感谢)。它引发了有关博客内容的两部分博客文章的第一篇“voluntary parting”排除。准备好爆米花。
首先是现场。我们’重新在费城的联盟联赛。它’有点黑暗,因为它’那里总是一片漆黑。每个人都穿外套,因为每个人都必须在那儿穿外套。尽管采光和形式(我在担任律师的11年中应该更加习惯),但是这个小组还是很出色的。一个道德的黑客演示了他使用一种每秒可进行数十亿次猜测的软件来找出我们所有密码的便捷性。一位估值专家解释了量化网络事件损失的过程。我最感兴趣的是,一家精良的保险经纪公司的总顾问提供特定的理赔见解(当然没有名字)。
她强调,与我们许多人所听到的叙述一致,承运人普遍对大多数网络索赔做出快速反应并付钱。所以,我问:“您看到的排除项是否与该叙述有所偏差,或者鉴于网络策略的量身定制的特性,也许可以在前端应用过程中解决这些排除项?”
本月,司法部发布了一套相当全面的网络安全事件前后建议。对于您所有的极客,您可以得到全部 这里。对于那些忙于其他新闻的人,这里’s some highlights.
事发前,司法部建议制定违规应对计划。我们’在这一点上,所有人都反复听到了这一点,许多公司和公司仍然没有可行的响应计划。司法部强调的这些计划的一些重要组成部分包括:(1)确定您最重要的资源并优先考虑对其进行保护; (2)拥有清晰的内部和外部报告结构,其重点是遏制事件,减轻其影响并保留信息,以便以后了解事件的范围和来源; (3)识别并与在您所在行业或管辖范围内具有管辖权的适用的执法部门和监管机构建立关系; (4)最终针对关键信息资产的使用和访问制定适当的政策和程序,并投资适当的技术保护。
事发后,司法部基本上建议– wait for it –按照您制定的事前计划。
寻找商业通用责任(CGL)政策下的数据泄露范围的战争仍在继续。在 圣保罗火&Marine 在surance诉Rosen Millennium,Inc.等于2017年3月提交 (M.D. Fla。 6:17-CV-00540), an insurer is seeking a declaration that neither the 被保险人’2014-15或2015-16 CGL政策涵盖了数据泄露成本和价值上百万美元的PCI罚款。
在 2016, the 被保险人, a hotel, discovered that its payment network had been compromised by malware between September 2014 和 February 2016, resulting in the disclosure of customer credit card information. The hotel 第一 tendered to Beazley, its cyber insurer, but Beazley denied coverage on the ground that the “occurrence”在适用的酒店追溯日期之前发生’2015-16年政策。有关那些臭名昭著的复古约会的更多信息 这里.
该酒店转向其CGL航空公司圣保罗(St.Paul),该公司出于各种原因拒绝了报道。有两个特别值得注意。 第一圣保罗辩称,针对数据泄露损失的网络保险的可用性已经众所周知,这本身就表明CGL政策并非旨在弥补这些损失。 第二, St. Paul points out that the 被保险人 实际购买 自2015-16年以来的网络保险。依托法院应制定保险政策的案例,以便 不 to find duplicative coverage, St. Paul argues that the CGL policies must be interpreted so as 不 to provide coverage for data breach losses because the 被保险人’Beazley的政策确实提供了这一覆盖范围。
就像包裹着牛皮纸袋的生日礼物一样,第五巡回赛’在6月25日做出的决定 规格’s v. Hanover 响亮地到达我的收件箱‘meh.’您会看到,我每天都会收到来自Westlaw的电子邮件,其中附有可能会或可能不会暗示网络保险范围法律的观点。我使用可以想到的最广泛的搜索词来确保我不会’不要因为包容而错过任何东西。当您要求一切时,您会得到一切。大多数日子,我可以从附件的标题看出来’我应该阅读一个案例。大多数时候’t.
但 今天 第五巡回法院重新定义了网络保险范围内的典型合同责任排除。事实模式很常见。零售商雇用信用卡处理程序。处理器说,‘ok, we’我会做生意,但是你’ll签订合同,如果有任何问题请让您负责。’零售商别无选择,因为您需要处理器,而且他们在合同中都使用相同的责任转移语言。然后数据泄露…
违规后,支付卡行业(PCI)被处以罚款,并提高了安全性要求。处理器将两者都传递给零售商。零售商陷入困境,时间充裕。
《 2018年Verizon数据泄露调查报告》指出,在教育行业(是的,’一个行业),最普遍的数据泄露类型是“social attacks.” What’s a social attack?
网络钓鱼是一种社会攻击。那’s,当您收到一封带有链接或附件的电子邮件,该链接或附件只是被单击时。点击相当于在度假时打开前门的功能。
现在,将更细微的社交攻击称为“pretexting.”这有点像网络钓鱼,尽管它涉及与恶意行为者进行更详细的来回对话,而恶意行为者通常采用特定角色来促进该计划。正如Verizon更雄辩地解释的那样,借口是“创建虚假的叙述以获得信息或影响行为。”考虑模仿高管或您的Facebook朋友。
自2016年以来,Verizon每年都拒绝估算数据泄露的平均成本。 Verizon的理由是,由于有许多因素可以确定违约成本,因此没有可靠的方法“average”数据点。但是,我们知道影响违反成本的可识别因素,例如行业部门,威胁参与者,记录数,受影响的数据类型等。因此,我们对特定实体的了解越多’在风险状况方面,更好的装备是该实体不仅可以保护自己,而且可以预测违规的潜在成本。
输入 丘布’s Cyber Risk 在dex。它’按行业,年收入和时间段组织的20年索赔数据。由于行业和公司规模是数据泄露分析中的重要差异因素,因此该工具使公司可以磨练关于数据泄露风险的性质和程度的有意义的数据。而且’s free, whether you’re 被保险人 by 丘布 or 不.
我玩了一些交互式索引,这里有一些有趣的数据点:
2018年5月18日,科罗拉多州立法机关发送了 HB 18-1128,关于加强对消费者数据隐私保护的法案,’办公桌执行。该法案是各州为应对今年宣布的一系列重大违规行为而做出的一系列近期努力之一,其中包括Equifax,Facebook,Panera Bread,Under Armour和– well, you get it.
该法案模仿了朝着欧盟采用更高,更具体的标准迈进的趋势’通用数据保护条例。例如,HB-18-1128取代了‘在切实可行的范围内’违规通知要求,其期限不得早于确定违规发生之日起30天。那’比GDPR的纬度更大’似乎不可能达到72小时的时限(当然,在可行的情况下),但这是监管机构的另一个指示’坚持确定的时间表。
与GDPR一样,科罗拉多州法案明确规定必须维护数据“不再需要”数据最小化的增长趋势的一个例子。关于安全措施本身,该法案要求“适用于个人识别信息的性质以及企业及其运营的性质和规模的合理安全程序和惯例,” a ‘商业上合理的’同样反映GDPR的各种标准(鉴于许多因素,采取了适当的技术和组织措施)。要再有一个相似之处吗?该法案要求受保护实体授权第三方服务提供商实施合理的安全措施,这是另一趋势,这反映在GDPR和全国各地正在通过或提议的新立法中。
在 规格’的家庭伙伴诉汉诺威保险公司,得克萨斯州南部区成为 第二 法院努力应对支付卡行业(PCI)罚款,支付卡处理者合同以及臭名昭著的合同责任排除在许多网络保险保单中仍然存在的相互作用。
您可以阅读有关 第一 法院这样做 这里。剧透:也没有覆盖。
规格’s, a family-owned retail chain, suffered two data breaches of its payment card system resulting in the loss of customer information 和 credit card numbers. 规格’s processed its credit transactions through a third party, 第一 Data Merchant Services. Following the breaches, 第一 Data was fined almost $10 million by MasterCard 和 Visa. 第一 Data invoked the indemnification provision in its processor agreement and demanded that 规格’s pay the fines.
偿付能力。这意味着您可以支付标签。网络攻击的发生频率和有效性越来越高,导致费用不断增加。网络保险市场正在蓬勃发展,但是保费和运营商准备金是否能跟上索赔成本的步伐?
It’s a fair question.
首先考虑损失问题的严重性。从前,要从银行偷钱,您必须骑马,开车,乘Uber– whatever –然后进入银行现在,自动网络攻击每小时可以发起无数次尝试,而且可能具有匿名性,并且没有人身旅行的限制或随之而来的告诉每个人着手的风险。我想您仍然可以创建人质场景来关闭赌场一段时间,但是针对在线游戏平台的分布式拒绝服务攻击更容易,风险更低并且可能造成的破坏更大。在Dyn,WannaCry和最近的Petya(或非Petya)攻击中,我们看到了‘single’进攻即可。事实:’与以往相比,现在更容易且风险更低地造成更大的损失。结果,被保险人更容易受到伤害。
在星期二,我很荣幸地参加了一个小组讨论公共养老基金网络保险的会议 凯斯勒·托帕兹(Kessler Topaz)’s 不断发展的机构投资者信托义务会议,加入了丹佛员工退休计划总顾问Victoria Hale和养老金律师Chris Waddell。我们强调,与续签传统保险相比,网络保险的采购流程是独特的。承保范围极高,可以协商 不 一刀切的适合所有人。以下是一些养老基金的具体提示。
第一,确保涵盖故意的员工不当行为。内部人员滥用是金融和公共机构数据泄露的最普遍原因之一。但是,由于网络保险形式在很大程度上可以追溯到商业一般责任险政策,因此其中一些仍然包含传统的‘intentional acts’排除被保险人的承保范围的排除’的故意不当行为。为确保您的保单涵盖最常见的违规原因之一,请推迟此排除。运营商通常会同意分拆‘rogue employees,’或将限制“insured”仅在雇员的工作范围内时才授予雇员。员工故意行为不当时,任何一方都应保持理智。
第二,请警惕对E的网络认可&O 和 D&O政策。这些认可是作为独立网络保险的低成本替代方案提出的,但是正如我所介绍的那样 这里,您可能购买了危险的有限承保范围。其中许多背书仅涵盖第三方风险– 即,是其数据遭到泄露的个人提起的集体诉讼。这可能 不 资金面临的最大风险。实际上,对于公共和金融机构而言,数据泄露中最昂贵的元素是有关泄露通知的法律建议,用于识别问题并进行修复的法务IT工作以及违反通知本身,通常每个通知接收者要花费2-3美元。网络认可价格不菲,但只有在包含第一方和第三方承保范围的适当组合时,它们才有价值,前者必须包括违规指导,IT响应和违规通知。
