2016年5月31日,美国亚利桑那州地方法院 握住 那P.F.常’在2014年数据泄露后向其信用卡处理商支付近200万美元的义务是合同规定的,因此不在其网络保险政策范围内。哎哟。让’s back up.

2014年,黑客发布了60,000 P.F.的信用卡号。常’互联网上的客户。 P.F.常’拥有丘布(Chubb)网络保险政策,为此支付了每年134,052.00美元的保费。 Chubb支付了P.F.常’170万美元的政策收益,用于支付法医调查,诉讼辩护和其他费用, 但这还不到这次违规成本的一半.

真的吗?对真的。

那些新的,老式的Air Jordan球鞋复古复古(我也有)。那些新的网络保险追溯日期– eh.

我在博客中记录了追溯日期 这里。提醒:保险单的追溯日期是不涵盖其他承保范围的事件发生的前一天。在与特定运营商签订的第一份保单中,通常是该保单’的开始日期也是如此。在我之前的文章中,我讨论了追溯日期之前发生的数据泄露问题,但是直到该日期之后才被发现(和诉讼,监管,修复等)。由于没有立即发现许多数据泄露事件,因此此顺序可能会严重影响覆盖范围,尤其是对于进入市场的新进入者。

这里’另一个扭曲。那所谓的“wrongful act”据称造成了违规行为(“occurrence”如果您想对此进行技术性了解)?原告或监管人可能认为“wrongful act”原因是未能实施特定的安全措施,而这可能发生在违规发生之前的数年。如果政策将追溯日期与“occurrence,” but also the”wrongful act”造成或据称造成的双重打击。而且因为不法行为至少可以 被指称 可能在任何时候发生,这种语言可能会将覆盖范围的确定权交给原告和监管机构。危险的。

仅供参考,NBD是“internet slang” for “no big deal.”  “Internet slang”是我弟弟在短信中使用的。

反正。

上周, 第四巡回赛得到确认 一个 弗吉尼亚东区 裁定,旅行者在未经许可的情况下在网上找到病历后提起的集体诉讼数据泄露诉讼中有义务为Portal Healthcare Solutions辩护。该意见分析了商业一般责任政策(CGL),特别是“publication”该问题在2015年Sony Playstation承保争议中也排在前列。在索尼,纽约市一家初审法院裁定,CGL运营商没有义务捍卫数据泄露集体诉讼,许多裁决认为这表明在CGL政策中发现数据泄露覆盖范围的日子即将结束。因此,有许多评论员建议Traveller是另一个方向的摆动,这表明在CGL政策下数据泄露覆盖范围的可行性仍然存在。

你可能不是。但是,FBI是 报告 越来越多的网络犯罪分子在运行“商业电子邮件泄露” scams.  A “B.E.C.”当某人滥用社交媒体或电子凭证来假设高管人员或受信任的员工/顾问的身份,然后冒充该人,要求从公司内部其他人员进行欺诈性电汇。 FBI报告说,每个州的执法部门都收到了有关该活动的报告,在过去的三年中,估计有17642名受害者,而这些骗局的成本在此期间可能超过23亿美元。

现在,记住 当我告诉 您是否认为某些虚假电子邮件诈骗没有被视为隐蔽事件?此类索赔的处理方式有时取决于资金的发送者是否是授权用户,以及损失是否不是由付款人造成的。‘网络安全故障’ or ‘未经授权的网络访问。’  Without “unauthorized access,”可能很难获得覆盖。但是公元前是对熟悉的有趣的转折‘来自真实银行客户的虚假电子邮件’骗局。在公元前,可以说是未经授权的使用或进入–内部数字的假设’的身份导致另一个内部人物协助欺诈。

2016年4月28日,Angie Singer Keating(IT安全公司Reclamere的首席执行官),Renee Martin(真正的HIPAA专家)和小老我将介绍有关数据泄露的准备,响应和缓解的三部分系列中的第一部分。维护个人健康信息的公司。它’是早餐系列,所以我们’我会早点吃百吉饼和咖啡(还有一些健康的东西,’(确定),上午7:30,演示从上午8点开始– 9 AM.

要获取详细信息和RSVP,请按照以下步骤操作 关联。希望在那里见到你!

你们大多数人可能都知道 好莱坞长老会医疗中心数据泄露。 2016年2月5日,黑客将医院从其电子病历中冻结。报道称,直到两周后医院支付了1.7万美元的赎金后,医院才能获得这些记录。在过去的一个月中,至少发生了14次类似的攻击 已报告 由加利福尼亚,肯塔基州和马里兰州的医院提供。对于受到严格监管的医疗机构而言,数据安全的关键本质并不是什么新鲜事物,但是黑客威胁会加密健康记录以勒索赎金。–与不当披露的传统威胁相反–是一个相对较新的风险。但是,网络保险是其中之一 能够 cover.

“Can.”  Not necessarily “does.”

政策在网络勒索和其他类型的网络安全漏洞之间进行了区分。在最一般的水平上,似乎没有什么区别。一切始于未经授权的访问。一种“ransomware”攻击是网络勒索的一种形式,仅在黑客获得网络访问权限后才有所不同–骇客会加密资料并要求付款给“unlock”记录。直到付款需求达到为止,该事件可能会适合几乎所有网络保险政策’网络安全声明的定义,或该策略用来描述第一方对数据泄露响应和补救的覆盖范围的任何术语。

也许吧,但是他们’与上次大型保险授权相比,争议可能会少得多 –呃,税。越来越多的共识是,证券交易委员会正在努力提高机构理财经理对网络保险的要求。许多人认为这是朝正确方向迈出的一步。

在最近 文章瑞克·贝特(Rick Baert)讨论了理财经理购买网络安全保险的频率越来越高的趋势,理财经理从2014年的5%增长到2015年的30%。根据其监管系统合规性和完整性规则进行审查。在这些审查中,SEC一直询问管理者是否具有网络覆盖范围,如果覆盖了网络覆盖范围,则为多少。有些人认为问题只是摆在墙上的文字–网络保险将很快成为理财师的必备条件。

那其他人呢?

许多(幸运的)机构缺乏历史数据违规响应成本信息。因此,他们努力选择网络政策限制。一种流行的方法是将保留的记录总数乘以平均值“per-record”数据泄露成本,这一数字越来越多地被著名研究确定。听起来很简单。太容易了。这种方法具有科学感觉的舒适性,但存在严重缺陷。思想领袖之间在什么方面存在着巨大的矛盾。’s “average.”考虑以下:

波尼蒙研究所’的《 2015年数据泄露成本研究》分析了350家公司的数据泄露事件,其中涉及3,000起数据泄露事件–100,000条记录。 Ponemon得出结论,数据泄露的平均每条记录成本为217美元(对于非健康记录)。

《 NetDiligence 2015年网络索赔研究》考虑了保险公司针对160项数据泄露所造成的实际索赔信息,其中泄露事件从1条记录泄露到1亿多条记录。它发现数据泄露的平均每条记录成本接近1,000美元。

警报:公司一直在接收电子邮件和其他电子指令以进行付款或转帐,– oops –没有真正授权付款或转移的权利。这是欺诈。但这是“computer fraud”?

宾夕法尼亚州匹兹堡的Universal American Corp.诉National Union Fire Insurance Co.。,25 N.Y. 3d 675(N.Y. Ct。App。June 25,2015),’t.  New York’最高法院裁定,“computer fraud”保真债券的背书涵盖了 黑客’s unauthorized “entry” into the insured’的计算机系统以及随后的欺诈性资金转移。但是,它没有发现 授权的 user’根据收到的欺诈指示输入信息以转移资金。定义的政策“计算机系统欺诈” as follows: “直接由于(1)将电子数据或计算机程序输入被保险人,或(2)更改被保险人内部的电子数据或计算机程序而直接造成的损失’专有的计算机系统…前提是变更输入导致(a)财产被转让,支付或交付…”。法院认为欺诈是“entry”并非像过去那样将欺诈性数据输入到系统中,而是第三方未经授权地侵入了系统– IE。,一个黑客。由于欺诈者从未进入被保险人’在法院的计算机系统中,法院得出结论认为没有涵盖范围。

Apache Corporation诉Great American Insurance Co,2015年WL 7709584(美国德克萨斯州德克萨斯州,2015年8月7日),法院得出相反的结论。一种“computer fraud”预防犯罪政策中的规定确实涵盖了授权用户’根据欺诈性电子邮件说明进行资金转移。的定义“computer fraud”但是在这种情况下, 环球美国 法院所涉语言范围广泛:“We will pay for loss…直接由于使用任何计算机以欺诈方式导致从处所内转移该财产的行为… (a) to a person…处所外;或(b)到处所以外的地方。”法院认为欺诈行为以电子邮件为中心,导致计算机使用“substantial factor”在造成欺诈性转移方面,被保险人因此获得了承保。