索尼和它的保险公司之一之间对数据违约责任的权利要求的亮点挑战,公司有时会面对越来越保险公司支付从网络安全事件所产生的费用冲泡法律纠纷。
苏黎世美国保险公司问纽约最高法院上周开脱保卫或弥偿索尼对从该公司最近的数据泄露事件而产生的债权的任何责任了。
数据泄露在索尼的PlayStation网络索尼娱乐在线和索尼影业导致对近100万个个人账户数据变得暴露和被泄露超过1200万信用卡和借记卡。
该漏洞迄今已导致了中美被起诉索尼至少55起假定的集体诉讼,并在加拿大起诉它另外三个诉讼。索尼预计,独自接近花1.8亿$在未来1年内对违反相关的成本。
但该公司试图获得苏黎世保卫它反对索赔遇到了一个障碍。
据苏黎世保险,与索尼计算机娱乐美国商业综合责任保险单具有不包括从网络事件造成的损失。该政策仅适用于“身体伤害”,并造成比样的网络攻击索尼经历其他事件“财产损失”。
这起诉讼是类似于一个去年由科罗拉多意外伤害保险股份有限公司申请在另一个数据泄露事件。在其诉讼中,科罗拉多险,如苏黎世,认为这是不负责偿还犹他州大学的相关引起的第三方服务提供商2008年的数据破坏成本$ 3.3亿。
在这种情况下,然而,科罗拉多险没有提供任何理由的位置,后来导致由第三方服务提供商解雇的议案。
苏黎世已在其诉讼中的地位很可能被法院证实,预测达纳科茨,一个网络责任保险专家与联合国机构,总部设在加利福尼亚州的保险经纪公司。
“个人和广告伤害责任保险,通过典型的一般责任保险提供的,具体是指造成人身伤害和财产损失责任险,”科茨说。网络攻击和数据泄露没有定义或视为人身伤害或财产损失,他在电子邮件中表示。
,科茨说,很多时候,网络事件是专门通过一些策略中排除,强调航母的意图不考虑作为覆盖这些指控。索尼需要有专门购买CYBER-责任保险的被认为是其索赔,科茨说。
问题的部分原因是,公司有时会误认为他们有任何一般的保险还提供了对网络事件的保护,艾伦·帕勒,在SANS研究所研究主管说。
公司,例如,有时假设保险覆盖面,他们可能在地方的情况下,金融或商业记录补偿他们被摧毁,也保护他们的网络破坏的事件。在现实中,这样的业务记录,保险没有延伸到从网络事故而造成的数据损失,尽管他们可能已经过去,他说。
现在,如果一家公司希望业务记录范围,包括对数据泄露防护,它需要买一个新的网络保险,帕勒说。
即使在公司有一个网络责任保险的情况下,往往是政策仅适用于重建丢失的数据,不违反通知费用,法律费用和有关违反其他费用需要钱,帕勒说。
虽然越来越多的公司已经购买网络保险的政策,这是很难找到这里时,竟被数据泄露,帕勒说保险政策支付的各种损失,公司招致的实例。
大型保险公司一般已经了解他们愿意,因为他们不得不在寻找再保险公司谁愿意分担风险的难度的网络政策,以弥补损失非常保守,帕勒说。
通常情况下,网络保险不能提供任何“从一个网络事件的财务风险的有意义的边界,” Gartner的分析师John Pescatore说,说。保险公司有一个很难找到用于评估网络风险有意义的基础。其结果是,保费高,支出是有限的,一个合格的“伤害”的定义也很有限,他说。
正在考虑网络保险企业首先要检查什么他们的现有政策做 - 不要 - 盖,他说。他们还需要有做了解业务流程或客户数据处于危险当前风险评估。
网络保险是不是松懈的替代品安全,因此公司需要解决所有的安全风险和法规遵从性要求第一,Pescatore说。“[然后]看看剩余风险,看看网络保险的成本可以减少事故的断言成本起到任何作用,”他说。
在索尼的情况下,它会出现,该公司并不知道他们现有的保险什么。“如果他们已经支付网络安全保险,这将覆盖该类型的实例,它会很可能不得不而言,他们不得不维持保护的尽职调查水平,”他说。
所以,即使他们有报道,索尼本来可能都很难从苏黎世收集,他说。
即使政策已经覆盖了数以百万计的很大一部分,索尼预计将花费,保费和抵扣的成本可能已经这么多,网络安全保险会取得什么金融意识,减少了回报,他说。
许多公司选择以“自我保险”,因为对与网络相关的保险高保费和免赔额的数据泄露,他说。
“风险管理者应该考虑的网络保险,他们缓解了对关键业务流程的风险后,”他说。
然后,他们需要非常仔细评估成本,增加Pescatore说。“有没有哪里的网络保险在降低事故成本[发挥]一个显著的角色众多的成功案例。
Jaikumar维贾雅恩涵盖了计算机世界的数据安全和隐私问题,金融服务的安全性和电子投票。按照Jaikumar在Twitter上@jaivijayan或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。
了解更多关于业务连续性在Computerworld的业务连续性主题中心。
这个故事,“苏黎世状告索尼亮点网络保险的不足之处”最初发表计算机世界 。