哈特兰支付系统当它拿出3000万美元的网络保险保单时,我觉得它的状况很好。不幸的是,2009年初,信用卡交易处理器遭到了大规模数据泄露,造成了约1.45亿美元的损失。保险公司确实向Heartland支付了3000万美元,但余下的1.15亿美元由该公司承担。
那么,网络保险值得吗?这对你的公司合适吗?你应该买什么样的保险?多少才够?有什么需要注意的?
首先要明白的一点是,标准商业保险不包括数据泄露或几乎任何其他涉及数据的损失。标准保险包括有形的损失和损害。数据不是有形的。
你可以感谢美国担保责任保险公司(American Guarantee & Liability Insurance Co.) vs. Ingram Micro Inc.,这是美国亚利桑那州地区法院2000年做出的一项裁决。法院表示,由电源问题导致的电脑故障构成了英格拉姆公司从美国担保公司购买的保单所规定的物理损害。
“在那之后,保险公司改变了他们的政策,声明数据不被视为有形财产,”保险公司Aon risk Solutions网络风险全国董事总经理凯文•卡利尼奇(Kevin Kalinich)说。结果是,企业需要特殊的网络保险来覆盖数据相关的问题。问题是,这个领域是新的,没有所谓的标准覆盖和标准价格。
信息研究机构波耐蒙研究所(Ponemon Institute)主席拉里•波耐蒙(Larry Ponemon)表示,由此带来的复杂性是潜在买家望而却步的主要原因安全和保护。
波耐蒙说:“这些保险与有‘上帝行动’条款的家庭保险类似,都有局限性和限制,这就造成了很多不确定性,不确定保险范围和风险是什么。”他补充称:“尽管如此,那些购买网络保险的人通常会对自己想要的保险范围非常挑剔。”
目前可获得的网络覆盖类型包括:
数据泄露的报道:这支付了由于数据泄露而产生的费用。保险公司Chubb Group副总裁肯•戈尔茨坦(Ken Goldstein)说,报销的费用通常包括通知受害者、设立呼叫中心、为受害者提供信用监控和信用恢复服务,以及其他危机管理服务。你可能需要聘请法医专家,独立的律师来指导多州(数据泄露通知)法,以及公共关系专家。更有思想的国家的回应方式表明,他们正在认真对待这个问题。
规管民事诉讼范围:在被保险人因数据泄露而面临州总检察长的罚款,或因违反《健康保险便携性和问责法案》(HIPAA)或类似法规而面临联邦政府罚款的情况下支付。亚特兰大专业保险公司INSUREtrust的负责人史蒂文•哈斯(Steven Haase)说,有些保单只支付诉讼辩护的费用,而有些保单可能还要支付罚款。
网络敲诈勒索的报道:黑客窃取了保单持有人的数据,然后试图将其卖回去,或者有人在保单持有人的系统中植入逻辑炸弹,要求支付一定的费用使其失效。戈尔茨坦说,除了其他费用外,这项政策还应包括谈判代表的费用,以及提供悬赏以抓获肇事者的费用。
病毒责任:在投保人被声称从投保人的系统中感染病毒的人起诉的情况下支付。
内容责任:涵盖因投保人网站上发布的内容而引起愤怒的人们提起的诉讼。哈斯说,这样的覆盖范围还应该包括版权主张和域名纠纷。
收入损失的报道:弥补保单持有人电脑系统或网站关闭时的收入损失。但卡利尼奇指出,保险公司通常要求最低停机时间为12或24小时,或者要求提供实际损失的证明。“他们会说,毕竟(停电期间)没有接通的客户可以晚些再来,”他说。
数据覆盖范围丢失:支付保单持有人资料遗失时更换资料的费用。“备份策略并不总是有效的,事故和破坏会发生,”Haase说。
错误和遗漏的范围:也被称为O&M保单,这种类型的保险早于网络保险,但越来越多地加入到网络保单中,以覆盖保单持有人的软件所声称的故障,哈斯说。
你们的费率可能有所不同
至于保险费用,卡里尼奇说,年收入低于1亿美元的公司预计将为每100万份保险支付5,000至15,000美元,而规模较大的公司将为每100万份保险支付10,000至25,000美元。对于那些超过10亿的,价格可以在2万到5万美元之间。
保险经纪及风险咨询公司Marsh的高级副总裁罗伯特帕里西(Robert Parisi)说得更简单一些,他说成本在每百万美元7,000至35,000美元之间。
当然,较低的风险范围是为那些看起来风险更大的买家准备的,而决定谁的风险更大是另一个让网络保险成为复杂话题的因素。
“除非你有良好的安全措施,否则你无法得到好的保险,”卡利尼奇说。“由于保险公司知道了应该寻找什么,尽职调查承保已经变得更加精简。他们通常会拿你和同行业的其他人作比较。”
”应用程序不会经常被拒绝,”哈斯补充道。“但是‘你会加密你的数据吗?是求职申请中常见的问题,而95%的潜在求职者都没有回答这个问题。他们害怕了,申请过程停滞了。但几乎所有的保险公司都会提供保险——尽管,尤其是对医疗保健公司来说,如果保险加密的话,会便宜得多。”
保险公司ACE Professional Risk副总裁托比•梅里尔对此表示赞同:“没有任何问题会把你从考虑中排除——除非你已经损失了数百万美元,或表现出极其糟糕的控制。”
但卡里尼奇警告说,被接受并不意味着提供的保险将值得拥有。他表示:“一些保险公司会在收取保费的同时,附加各种不承保条款,使保险变得一文不值。”如果你不及时更新最新的安全软件,他们可能会说你被排除在外。但没人能一天到晚打补丁。如果他们发现你没有加密你的笔记本电脑,那么他们将排除没有加密的笔记本电脑。但这正是你需要保险的地方。因此,政策的具体措辞非常重要。
美林表示,更老练的买家正专注于他所说的保险质量。他说,这将包括保险公司是否有能力在出现违规时将投保人介绍给法律和法医专家,保险公司在支付金额方面的自由度有多大,以及支出前是否需要事先获得批准。
但是,很明显,老练的买家并不是标准,仅仅因为快速被接受意味着有很多首次购房者。
“在过去的五年里,市场一直在以每年10%到15%的速度波动,而今年的增长率是30%到40%,”哈斯说。
帕里西估计:“在某一特定行业的前100家公司中,有25%已经收购,15家还在上市,40 - 50%将在一年内收购。”在经济不景气的时候,这类保险的覆盖面却在快速增长。”
消息来源认为,媒体对各种数据泄露灾难的报道刺激了这一增长。然而,戈尔茨坦说,“我们仍然看到没有安全计划到位的前景。”
除此之外,“对于第一次买房的人来说,这是很痛苦的,”卡里尼奇说。“它们必须协调各自的IT、法律、人力资源和风险管理部门,打破这些领域的隔阂。”(Human resources is involved because of the need to respond to questions about security training practices.)
有兴趣申请网络保险的企业,第一步应该填写一份保险申请,消息来源同意。最后,他们可能不会买保险,但填写申请表格的过程可能很有教育意义。
卡里尼奇表示:“即使他们不买任何保险,他们也会更好地了解自己的风险敞口,并能够以明智的方式与董事会讨论这个问题。”
美林补充称:“其中有些问题是你自己可能没想到的。”“我并不是说你应该提交它——只是用它来教育自己。然后请经纪人来。”
关于经纪人的问题,哈斯说:“这是一项复杂的购买,你需要专业人士的帮助。他说:“大多数保单都是高度可定制的,而且有很多背书——有些甚至不会抬高价格——如果你知道要什么,就可以提出要求。例如,你可以增加对纸质文件的覆盖,包括现场和场外的。”
哈斯说,买家通常会去找当地的中介,而当地中介会聘请专家。当地的代理商和专家都能拿到7.5%到10%的佣金,所以佣金的15%到10%就成了佣金。
最后,美林警告称,网络保险买家必须明白,如果他们将自己的数据处理外包出去,那么在发生数据泄露时,他们不会同时将自己的责任外包出去。他指出,各种违反通知法的责任在于收集数据的机构,而不是数据被曝光时存储数据的机构。
美林表示:“网络保险无法取代健全的风险管理。”“它是用来补充的。”
伍德是德克萨斯州的一名自由撰稿人。请联系他lwood@texas.net。