确认的网络攻击几乎不会对财产(计算机硬件除外)和人员造成实质性的物理伤害。第一个已知事件涉及2008-2010年间一种名为“Stuxnet”进入控制核武器的伊朗网络。该病毒使它们失控,摧毁了其中约20%。另一起事件涉及2014年对一家德国钢厂的黑客攻击,导致高炉发生故障,并造成了严重损失。去年,一家伊朗石化公司遭受了一系列火灾和爆炸,据信这是由黑客攻击造成的。对于这些类型的事件中的每一种,都有无数其他攻击可能造成但未造成人身伤害。

尽管承销商仍在努力准确地量化这种风险,但人们越来越愿意以不同的,有时是颇有创意的方式进入网络物理覆盖市场。但是这种风险并没有’只会影响网络覆盖。网络物理攻击可能会带来巨大的后果,其破坏可能会以指数方式超过这些新产品提供的覆盖范围。这些攻击可以在多个地理区域内进行协调,它们可以影响多个经济部门的许多人和企业,并且比以往更容易进行匿名实施。

实施这些攻击的难度越来越大,加上它们可能造成的前所未有的危害,要求可能的目标仔细研究网络物理风险市场。但是,在这些情况下,即使受到这些攻击的目标购买的网络物理覆盖范围也被证明严重不足,那些可能受到下游影响的人和可能发现自己是被告的人们也需要重新考虑传统覆盖范围。实际上,很少有公司这样做’鉴于新兴的网络物理风险,无需重新审查其整个保险计划。考虑覆盖范围和限制是否仍然适用于网络和传统覆盖范围。这将变得物理。

 

独立的网络保险是企业风险管理的重要组成部分。但是,即使是具有传统和网络覆盖范围的公司,在通常情况下也可能存在覆盖范围的缺口,这是由我’ve称为 ‘hot potato’ 问题。在这种情况下,网络政策和相关传统覆盖范围都没有真正针对相对新型的风险而设计。

一个例子是网络事件造成的物理损坏。特别是随着物联网增加物理设备的连接性,网络攻击可能会伤害人员和财产。网络保险可能涵盖网络安全故障和对这些设备的未经授权的访问,但是 ‘standard’当这些事件导致人身伤害时,网络政策通常将覆盖范围排除在外。而且本来可以涵盖人身伤害的财产和伤亡政策通常不包括由网络事件引起的损害。摇滚,遇到困难的地方。

差距,见面 美国国际集团’s Cyber Edge 产品。这些产品的设计目的是通过弥补相对标准范围的网络风险来填补这一空白,包括增加对可能对人员或财产造成物理损害的网络事件的覆盖范围。

本文最初发表于2016年秋季“简报,”Kessler Topaz Meltzer出版的季度新闻通讯&Check,一家著名的律师事务所,代表机构投资者和证券,股东及其他复杂诉讼类别。一世’已在“资源”页面上包含了完整的出版物。

为我找到一个集中的个人,财务和健康信息存储库,我每天会发现数百万次尝试访问,窃取或破坏该信息。即使没有恶意行为者,私人数据也会在不经意间公开的可能性越来越高。这就是我们的世界。

被保险人只需花费很少的钱就可以在传统的CGL,专业责任或其他保险单上添加网络认可。 2016年10月25日,阿拉巴马州北部地区在 营’s Grocery,Inc.诉State Farm,这是迄今为止解释网络覆盖率的少数几个决定之一,它表明了为什么被保险人应该警惕选择网络认可而不是独立的保单。案卷号4:16-cv-0204,2016 WL 6217161。

营’经历了一系列不好,非常糟糕的日子。首先,黑客访问了其网络并损害了客户’信用卡,借记卡和支票卡信息。是的。然后,三个信用合作社起诉营地’s收回发卡,欺诈补偿和欺诈预防费用。双叶。最后,营地’向州营农场提出了索赔要求,后者通知了坎普’s涵盖范围的计算机程序和电子数据扩展以及对其财产和伤亡政策的相关背书仅适用于营地’第一方数据泄露损失。国营农场不包含背书’认为,像信用合作社这样的第三方责任索赔’.

法院同意。它认为国营农场没有义务捍卫或赔偿营地’关于信用合作社诉讼。它解释说“[i]通常将保险合同分配给以下两类之一:‘first party coverage’ or ‘third party coverage’…’First party coverage’与被保险人财产遭受的损失或损坏有关…相反,如果保险人’辩护和付款的义务交给了第三方索赔人,该第三方索赔人根据对被保险人的判决或和解已获支付,则该保险被归类为‘第三方保险。’因此,完全不同的利益受到保护‘first-party coverage’ and ‘third-party coverage’.”在举行那个营地’的背书只提供第一方的报道,实际上是坎普认为’s没有覆盖范围,因为它只是试图与信用合作社打交道’ third party claims.

首先,我必须说 保罗·斯托克曼 McGuireWoods的文章击败了我,“网络风险‘IRL’.”  So, read that.

Stockman解决了我的承保范围问题’我们已经注意到跨运营商的网络政策。他们倾向于说类似:“对于任何索赔或任何费用,本公司概不负责…for bodily injury…或任何有形财产的损坏或破坏。”  Carrier’位置:如果数据泄露或恶意软件攻击导致爆炸,’在别人身上。我拿–好吧,这将取决于事实,政策措辞和相关司法管辖区的法律状况。当然。

It’但是,现在很清楚,网络攻击不仅可以破坏和窃取电子数据,还可以做更多的事情。网络攻击还可能导致机器故障,从而造成人身伤害‘IRL,” or “in real life.”考虑一个黑客控制着HVAC系统,汽车或核离心机(它将铀同位素分离以制造核弹)。结果是:IRL,物品破碎,人员受伤。

确定合适的政策限制的努力继续使网络保险市场上的许多人感到沮丧。跨保险费率差异较大的保单之间比较保费的难度也是如此。但是可公开获得的数据仍在不断改善, 来自于 网络数据风险经理 尤其有趣。 CDRM在34个实际客户端上共享数据’基于行业和年收入的保费和限额。亮点之一:

最高收入:一家年收入为$ 4B的医药福利管理公司购买了一个保额为$ 5M的保额为$ 54,000的保单。

最高限额:一个年收入1500万美元的数据存储中心购买了一个保额为2000万美元的保单,保费为120,000美元。

如果您是一家处理或维护来自欧盟个人的数据的美国公司,那么这对您很重要。美国/欧盟数据隐私保护盾自认证流程于2016年8月1日开始生效。 好信息 已经存在,但是对于想要加入这个新计划的公司来说,也存在很多争执。您是否需要高级概述?当然可以以下是“隐私盾”合规性可能带来的后果:

  1.  修改您的隐私政策以符合新的要求/语言。
  2. 选择第三方争议机制来处理来自欧盟数据主体的投诉。

这是应该如何工作的。不好的事情发生了。你’再保险公司支付。然后,承运人起诉伤害您的坏人。那’s subrogation.

在数据泄露的情况下,这种永恒的构造带来了许多挑战。最值得注意的是与发现坏人相关的困难。但这不是’t your problem.

另一方面,您与数据托管服务,信用卡处理器或其他供应商签订的合同很可能是您的问题。您可能需要支付月租费。根据您公司的规模,这笔费用可能不大。对于较小的组织,每个月可能只有20美元左右。现在,考虑该供应商持有什么–您的所有数据。 kes

网络保险保单通常提供第一方和第三方承保范围。第一方承保范围涉及被保险人’自负的费用,用于调查和补救数据泄露以及收回被保险人’的数据和其他信息资产。当客户和监管机构试图要求被保险人对违规行为负责时,第三方将开始介入。

但是我们已经知道了,对吧?

我们还知道,承销商在开始撰写网络政策时就从商业一般责任(CGL)表格开始,因为,这是他们备案的最近档案,没有人喜欢从头开始。一世’之前,我们讨论了这是如何导致某些CGL条款渗入网络政策的,即使它们确实没有’t belong.  The 合同责任排除, 这 战争/恐怖行为排除, 等等。