Co dokładnie obejmuje ubezpieczenie od odpowiedzialności cywilnej Cyber?

W związku z tym, że naruszenia danych i cyberprzestępstwa dominują na nagłówkach gazet – Equifax i Yahoo są tylko najnowszymi wielkimi firmami, które zgłosiły mega-breach – liderzy biznesu coraz bardziej niepokoją się hakerami i innymi naruszeniami bezpieczeństwa danych.

Zagrożenie to jest podwójnie dokuczliwe dla liderów firm księgowych, którzy stoją przed podwójnym wyzwaniem, jakim jest nie tylko ochrona informacji o swojej firmie, ale także ochrona informacji o klientach.

Według CPA Mutual, krajowej grupy zajmującej się utrzymywaniem ryzyka i firmy księgowej, która zapewnia ochronę przed odpowiedzialnością, prawo dotyczące naruszenia danych zostało obecnie przyjęte przez 47 stanów w Stanach Zjednoczonych.

Sędziowie są mniej skłonni do wyrzucania roszczeń niż w przeszłości, nawet w przypadku małych i średnich niezależnych publicznych firm księgowych. Odpowiedzialność nie tylko ma wpływ na działalność firmy, ale może rozciągać się również na poszczególnych liderów.

Według CPA Mutual, od momentu zaoferowania swoim klientom pokrycia w cyberprzestrzeni, członkowie doświadczyli 18 strat w cyberprzestrzeni. Średnio kosztowały one nieco poniżej 17 000 dolarów, a najdroższe roszczenia do tej pory wynosiły 166 000 dolarów.Od 2015 r. liczba roszczeń podwajała się każdego roku.

Biorąc pod uwagę ten klimat, mówi Bill Thompson, CPA, RPLU, prezes CPA Mutual, konieczne jest, aby liderzy firm CPA regularnie przeglądali swoje polityki w zakresie odpowiedzialności cywilnej w cyberprzestrzeni w celu zapewnienia, że mają najlepszy plan.

Niektórzy ubezpieczyciele, tacy jak CPA Mutual, oferujący ubezpieczenia od cyberprzestępczości, dysponują również środkami na ograniczanie ryzyka i planowanie na wypadek katastrof. Jednak ubezpieczenie od odpowiedzialności cywilnej w cyberprzestrzeni pokrywa przede wszystkim koszty związane z rzeczywistym naruszeniem, według Kari Stern, starszy menedżer ds. roszczeń z NAS Insurance w Kalifornii.

“To właśnie tam ponoszone są największe wydatki: koszty związane z poradnictwem prawnym i projektami zawiadomień. Istnieją koszty związane z informatyką kryminalistyczną w celu ustalenia, gdzie doszło do naruszenia i w jakim stopniu dane zostały narażone”, mówi Stern. “Jeśli trzeba złożyć zawiadomienie i mieć klientów w wielu stanach, sporządzanie zawiadomień staje się naprawdę ważne, aby zrobić to sprawnie. Każdy stan ma inne wymagania dotyczące powiadomień. Może być również potrzebne call center skonfigurowane do obsługi zapytań po wygaśnięciu powiadomień”.

Inne koszty objęte ubezpieczeniem od odpowiedzialności cywilnej w cyberprzestrzeni (w zależności od tego, czy posiadasz polisę ubezpieczeniową od odpowiedzialności cywilnej) obejmują

  • Koszty przerwania działalności gospodarczej i public relations
  • Zagubione urządzenia
  • Naruszenie praw autorskich i znaków towarowych
  • Grzywny regulacyjne
  • Płacenie za naruszenie zasad okupu
  • Usługi monitoringu kredytowego oferowane klientom
  • Przywracanie danych i aktualizacje zabezpieczeń
  • Dodatkowe roszczenia prawne lub sprawy sądowe

Kilka ogólnych przykładów rodzajów naruszeń danych, których mogą doświadczyć firmy CPA, to wszystko, począwszy od “szczęśliwej straty” laptopa zawierającego dane osobowe klientów, a skończywszy na okablowaniu oszustw lub atakach na ware ware.

Według badania Ponemon Cost of Data Breach Study przeprowadzonego przez Instytut Ponemon w 2017 r., średni koszt każdego zagubionego lub skradzionego rekordu zawierającego poufne i pewne informacje spadł ze 158 USD za rekord w 2016 r. do 141 USD za rekord w tegorocznym badaniu. Jednakże, średnia wielkość naruszeń danych wzrosła o 1,8% do ponad 24.000 rekordów za każdy incydent. Z matematyki wynika, że wartość danych, o których mowa, wynosi ponad 3 miliony dolarów.

Stern ostrzega, że każda polityka odpowiedzialności cywilnej w cyberprzestrzeni jest inna, w tym niektóre nie obejmują dostawcy chmury lub innych dostawców lub osób trzecich, które mogą uzyskać dostęp do systemu. Ci dostawcy lub osoby trzecie mogą obejmować wszystkich klientów uzyskujących dostęp do systemu z portali klientów, zewnętrznych wykonawców IT lub, ewentualnie, przedstawicieli agencji regulacyjnych, na przykład.

Sprzedawcy ci mogą mieć mniej bezpieczne protokoły. “Wiele zależy od tego, gdzie przechowywane są twoje informacje. Być może masz ubezpieczony serwer, ale czy pozwalasz stronie trzeciej na dostęp do Twojego serwera w celu wykonania pewnych zadań? Możesz być również zagrożony, dzieląc się informacjami za pomocą współdzielonych skrzynek odbiorczych,” mówi Stern.

Thompson twierdzi, że we wszelkich obowiązujących umowach między firmą a stronami trzecimi, dotyczących poufności danych klienta i odpowiedzialności, zawsze powinno być jasne sformułowanie, jeśli naruszenie nastąpi z powodu błędu lub utraty bezpieczeństwa przez stronę trzecią.

“Przypominam naszym członkom, że naruszenie systemu Target [sprzedawca detaliczny] zostało spowodowane głównie przez wirusa wprowadzonego do systemów Target przez ich kontrahenta HVAC”, mówi Thompson.

Silne i regularnie zmieniane hasła oraz konsekwentnie i wielokrotnie monitorowana baza pracowników pod kątem dobrych praktyk bezpieczeństwa to według Sterna nadal dwa najważniejsze sposoby ograniczania ryzyka naruszenia danych. “W razie potrzeby, daj pracownikom i pracownikom dostawców własne hasła. W ten sposób, nawet jeśli pracownik zostanie zwolniony na poziomie dostawcy, można odciąć mu dostęp” – mówi Stern.

“Ostatecznie to ubezpieczona firma księgowa jest narażona na odpowiedzialność”, zauważa Thompson. “Skorzystaj ze strony internetowej ubezpieczyciela, jeśli jest ona dostępna, aby ograniczyć ryzyko. Następnie dokładnie sprawdź swoje opcje dotyczące ubezpieczenia od cyberprzestępczości. Nie wszystkie polisy są równe”.