Обязательства по договору, «третья сторона» и киберстрахование/Часть 2

Обязательства по договору, «третья сторона» и киберстрахование/Часть 2

Оценив возможные убытки, как вы используете полученную информацию для управления вопросами о страховании киберответственности?

Среди наиболее важных сторонних покрытий стоит выделить покрытие ответственности за сохранение безопасности и конфиденциальности. Оно включает в себя обязанность по защите претензий третьих сторон, ссылающихся на материальную ответственность, наступившую в результате нарушения безопасности или неприкосновенности частной жизни, включая неспособность защитить конфиденциальную информацию или предотвратить несанкционированный доступ к компьютерной системе, содержащей личную информацию, неспособность защитить онлайн или офлайн информацию; неудача в предотвращении DDOS атаки или передачи вредоносного кода для заражения компьютерной системы третьей стороны.

Среди наиболее важных пунктов страхования ответственности первых лиц выделяются уведомление о нарушениях безопасности и страховое покрытие ответных действий. Это включает в себя расходы, понесенные в результате нарушения конфиденциальности или безопасности или появления негативного сообщения в средствах массовой информации, а также покрытие расходов на уведомление пострадавшей стороны или от имени стороны, за которую страхователь несет ответственность, в том числе судебные издержки; расходы на кредитный мониторинг; расходы на проведение ИТ-экспертизы; расходы на организацию call-центра; расходы на рекламу и почтовые расходы. Страховое покрытие также может включать в себя расходы на привлечение консультанта по связям с общественностью, с целью предотвращения нанесению вреда репутации компании.

Важно знать, покрывает ли страховой полис договорную ответственность за ущерб, причиненный в результате некоторых противоправных действий, таких как противоправное использование мультимедиа, нарушение безопасности или нарушение конфиденциальности. Такое обязательство принимается в форме письменного соглашения об освобождении от ответственности или соглашения о возмещении убытков. Подобное покрытие может помочь обеспечить страховое возмещение страхового обязательства в договоре на обслуживание с третьей стороной и обеспечить покрытие прямой ответственности для третьей стороны.

В некоторых полисах страхования исключается любое покрытие договорной ответственности или соглашения об освобождении от ответственности, а также соглашения о возмещении ущерба. Среди других недоработок в вопросе страхового покрытия стоит упомянуть исключения, связанные с неспособностью застрахованного обеспечить безопасность своей сети или компьютерной системы в соответствии с отраслевыми стандартами или правилами, а также отсутствие страхового покрытия для незашифрованных мобильных устройств. Эти виды исключений фактически сводят на нет цель киберстрахования.

В зависимости от входящих в область страхового покрытия противоправных действий, некоторые полисы включают в себя покрытие убытков, ставших результатом «непреднамеренного нарушения договора», имеющего отношение к технологическим услугами, предоставляемыми другим за определенную плату. Например, если услуги не соответствуют письменным требованиям или стандартам; если действия по оказанию услуг были выполнены небрежно или с использованием бракованного материала; не соответствовали законодательным и нормативным требованиям или применимым стандартам; не было предоставлено никаких гарантий или заявлений о том, что эти услуги не нарушают права интеллектуальной собственности других лиц; или привели к нарушению соглашения об эксклюзивности или конфиденциальности.

Что лидеры в сфере безопасности должны понимать о способности третьей стороны «справиться» с нарушением безопасности?

Могут возникнуть проблемы с попыткой возложить установленные законом обязанности, связанные с нарушением безопасности, на кого-то другого или с попыткой получения компенсации за счет передачи риска по договору. Я часто слышу, как клиенты компаний, работающих в сфере здравоохранения, говорят о том, что заключение соглашения об обслуживании, которые они подписали с различными поставщиками услуг, снимает с них ответственность за нарушение безопасности данных, что часто оказывается совсем не так. Как правило, клиент, который является владельцем данных, должен будет ответить по закону в случае недопустимого их нарушения. При любом расследовании управление по гражданским правам будет, прежде всего, обращать внимание на управление и обязательства в области безопасности данных клиента.

В зависимости от обстоятельств, клиент и / или его деловой партнер будут сталкиваться с некоторыми из следующих обязательств:

— Кто несет ответственность за уведомление пострадавшей стороны, государственных и федеральных регулирующих органов и средств массовой информации?

— Кто оплачивает пресс-релизы или юридические уведомления об инциденте?

— Кто проводит или оплачивает проведение экспертизы с целью выявления причин нарушения безопасности, если таковые имеются?

— Кто оплачивает услуги по кредитному мониторингу и возмещению украденного пострадавшим лицам?

— За счет чьего полиса страхования профессиональной ответственности / киберответственности будут оплачиваться эти расходы, включая любую потенциальную потерю прибыли из-за прерывания бизнеса?

— Имеет ли клиент или его деловой партнер страховое покрытие ответственности, предусмотренной договором?

Даже если обязательство по уведомлению или компенсация возлагается на делового партнера, и он выступает в качестве гаранта, все равно стоит вопрос о том, как может клиент или получатель возмещения быть уверен, что гарант будет выполнять все требования относительно возмещения в соответствии с договором? Имеется ли у него страховое покрытие для оплаты расходов на осуществление ответных действий или на покрытие ущерба, нанесенного третьей стороне, и если да, то имеются ли адекватные лимиты этих расходов, и смогут ли они покрыть все затраты по расследованию нарушения безопасности?

Соглашения о возмещении ущерба не являются страхованием. Страхование — это отдельное соглашение, не регулируемое другими договорами, поскольку соглашение о возмещении ущерба и страховой полис выполняют отдельные и независимые друг от друга обязанности. Страховщик гаранта не связан договором, заключенным между ним и его клиентом, если только получатель возмещения не определен и не добавлен в качестве еще одного застрахованного лица в страховой полис.

В некоторых страховых полисах определение «застрахованного лица» автоматически включает в себя других застрахованных лиц, таких как агенты или независимые подрядчики, действующие от имени застрахованного. (Обратите внимание, что это, как правило, не распространяется на небрежность в действиях агента или независимого подрядчика, поэтому им необходимо иметь собственный страховой полис). Страховой полис может также включать в качестве застрахованного любое физическое или юридическое лицо, которому застрахованный обязуется в соответствии с письменным договором предоставить страховое покрытие.

Даже если гражданская ответственность гаранта в соответствии с заключенным договором были принята его страховщиком, страховая компания, в свою очередь, не будет оплачивать счета за нарушение безопасности информации, не проведя прежде расследования относительно ответственности застрахованного за инцидент и не проверив обоснованности этих расходов.

Как лидеры в сфере безопасности могут сказать, имеет ли брокер или страховой агент, с которыми они общаются, понимание нюансов страхования киберответственности?

Один из способов узнать, знаком ли страховой агент / брокер с внутренними и внешними аспектами киберстрахования — это напрямую спросить его об этом. В частности, понимают ли они различные нюансы в отношении страхового покрытия и особенность формулировки «кто застрахован», поскольку виды страхового покрытия в сфере киберстрахования не стандартизированы, что затрудняет различение между ними как для клиента, так и для страховых агентов / брокеров.

Другим хорошим показателем является то, что страховой агент понимает важность наличия как управления киберрисками, так и покрытия киберответственности.

Кроме того, думаю, вы хотели бы, чтобы агент, который запрашивает копии ваших договоров, обратил внимание на любые оговоренные условия страхования и положения о возмещении. В некоторых договорах предусмотрены требования к страхованию, такие как сохранение «страхования профессиональной ответственности» (общий термин, который может включать в себя множество форм страхового покрытия), в том числе указание третьей стороны / получателя возмещения в качестве дополнительного застрахованного лица в страховом полисе. Последнее требование может предоставить финансовую «страховочную сетку» для получателя возмещения в том случае, если соглашение об освобождении от ответственности было признано недействительным.

В таких случаях вы должны попросить своего страхового агента / брокера определить, имеется ли у вас соответствующее страховое покрытие. Страховые агенты могут предоставлять юридические консультации или высказывать свое мнение только в том случае, если являются лицензированными адвокатами. Но в любом случае они должны знать, соответствует ли страховое покрытие их клиентов договорным обязательствам по переносу рисков, а также должны обращать внимание на потенциальные проблемы со страховым покрытием, быть способными определить, достаточно ли защищен ли клиент. Таким образом, анализ договора ограничивается тем, предлагает ли предлагаемая или действующая программа страхования клиента типы и объемы необходимого страхового покрытия.

В некоторых ситуациях будут неопределенности относительно роли страхования, которую оно может сыграть в передаче рисков в соответствии с условиями договора. В зависимости от условий страхового покрытия, страховой полис может обеспечить финансирование обязательств, принятых по договору, но, возможно, не всех. Всегда присутствует некоторый риск.

Обязательства по договору, «третья сторона» и киберстрахование/Часть 1

Contract obligations, third parties, and cyber insurance

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации