Heartland支付系统当它拿出3000万美元的网络保险保单时,我觉得它的状况很好。不幸的是,2009年初,信用卡交易处理器遭到了大规模数据泄露,造成了约1.45亿美元的损失。保险公司确实向Heartland支付了3000万美元,但余下的1.15亿美元由该公司承担。
那么,网络保险值得吗?是否适合你的公司?你应该得到什么类型的覆盖面?多少才够?什么是需要提防的陷阱?
首先要明白的一点是,标准商业保险不包括数据泄露或几乎任何其他涉及数据的损失。标准保险包括有形的损失和损害。数据不是有形的。
你可以感谢美国担保责任保险公司(American Guarantee & Liability Insurance Co.) vs. Ingram Micro Inc.,这是美国亚利桑那州地区法院2000年做出的一项裁决。法院表示,由电源问题导致的电脑故障构成了英格拉姆公司从美国担保公司购买的保单所规定的物理损害。
“在那之后,保险公司改变了他们的政策,声明数据不被视为有形财产,”保险公司Aon risk Solutions网络风险全国董事总经理凯文•卡利尼奇(Kevin Kalinich)说。结果是,企业需要特殊的网络保险来覆盖数据相关的问题。问题是,这个领域是新的,没有所谓的标准覆盖和标准价格。
产生的复杂性是潜在买家回推的主要来源,根据Ponemon的拉里的Ponemon的学院的主席,一个研究机构,专注于信息安全和保护。
波耐蒙说:“这些保险与有‘上帝行动’条款的家庭保险类似,都有局限性和限制,这就造成了很多不确定性,不确定保险范围和风险是什么。”他补充称:“尽管如此,那些购买网络保险的人通常会对自己想要的保险范围非常挑剔。”
目前可获得的网络覆盖类型包括:
数据泄露报道:这支付了由于数据泄露而产生的费用。保险公司Chubb Group副总裁肯•戈尔茨坦(Ken Goldstein)说,报销的费用通常包括通知受害者、设立呼叫中心、为受害者提供信用监控和信用恢复服务,以及其他危机管理服务。你可能需要聘请法医专家,独立的律师来指导多州(数据泄露通知)法,以及公共关系专家。更有思想的国家的回应方式表明,他们正在认真对待这个问题。
监管民事诉讼范围:支付在被保险人从州司法部长违反了健康保险流通与责任法案(HIPAA)或类似法规的后面临罚款数据泄露后,或从联邦政府的案件。有些政策只涵盖防御行动的成本,而其他人可能支付罚款以及史蒂芬·哈泽,INSUREtrust,总部设在亚特兰大的特种保险供应商的负责人说。
网络敲诈报道:对于那些黑客投保人在保单持有人的系统窃取数据,然后尝试卖回,或者有人植物逻辑炸弹,并要求支付禁用它的情况。在其他方面,政策应涵盖谈判的成本,并悬赏导致逮捕罪犯的代价,戈尔茨坦说。
病毒责任:付在投保人是被人谁声称,他们已经从保单持有人的系统得到了一个病毒被起诉的案件。
内容责任:人们在愤怒的东西提起诉讼封面贴在保单持有人的网站。这样的范围也应包括版权声明和域名争议,哈斯说。
失去的收入范围:而保单持有人的电脑系统或网站已关闭替代对象收入丢失。但是Kalinich指出,保险公司往往采用最小的停机时间的12或24小时,或要求的实际损失的证据。“他们会说,毕竟,谁没打通(停电时)的客户可以有晚回来,”他说。
数据覆盖范围丢失:支付损失的情况下更换保单持有人的数据的成本。“备份策略并不总是有效的,事故和破坏活动发生,”哈泽说。
错误和遗漏覆盖:否则叫O&M的政策,这种类型的覆盖早网络保险的,但越来越多加入到网络政策覆盖由保单持有人的软件教改失败,哈斯说。
你们的费率可能有所不同
至于什么覆盖成本,Kalinich说,公司小于100万美元的年收入$可能要支付$ 5,000到$ 15,000覆盖率万,而大公司将支付$ 10,000到$ 25,000。对于那些超过十亿,价格可以在$ 20,000到$ 5万不等。
罗伯特·帕里西,有沼泽,保险经纪和风险咨询公司的高级副总裁说得简单一些,说费用是$ 7,000,每百万$ 35,000之间。
当然,较低的范围是买家谁的样子更好的风险 - 并决定谁是更好的风险是另一个因素,使得网络保险的一个复杂的话题。
“除非你有良好的安全措施,否则你无法得到好的保险,”卡利尼奇说。“由于保险公司知道了应该寻找什么,尽职调查承保已经变得更加精简。他们通常会拿你和同行业的其他人作比较。”
“应用不推掉很多时候,补充说:“哈泽。”但是,‘你加密你的数据吗?’是在应用程序中的常见问题,以及前景的95%没有。他们感到害怕,并应用过程摊位。但是,几乎所有的保险公司将提供覆盖反正 - 虽然,对于医疗保健公司尤其是,该政策是,如果它确实加密相当便宜“。
保险公司ACE Professional Risk副总裁托比•梅里尔对此表示赞同:“没有任何问题会把你从考虑中排除——除非你已经损失了数百万美元,或表现出极其糟糕的控制。”
但是被接受并不意味着所提供的将是具有价值的保险,提醒Kalinich。“有些保险公司将巴掌各种排除,使比毫无价值保险糟糕,但他们仍然领取保费,”他说。“他们可能会说,你被排除在外,如果你不保持与最新的安全软件更新。但是,没有人可以保持修补24-7。如果他们发现你不加密你的笔记本电脑,那么他们将排除是笔记本电脑不加密的。但是,这就是你需要的保险。因此,一个政策的具体措辞是非常重要的,”他说。
美林表示,更老练的买家正专注于他所说的保险质量。他说,这将包括保险公司是否有能力在出现违规时将投保人介绍给法律和法医专家,保险公司在支付金额方面的自由度有多大,以及支出前是否需要事先获得批准。
但是,很明显,老练的买家并不是标准,仅仅因为快速被接受意味着有很多首次购房者。
“在过去的五年里,市场是用了10〜15%的年增长率摇摆一起,而今年是30%到40%,”哈泽说。
帕里西估计:“在某一特定行业的前100家公司中,有25%已经收购,15家还在上市,40 - 50%将在一年内收购。”在经济不景气的时候,这类保险的覆盖面却在快速增长。”
各种数据泄露灾难的刺激增长的信贷来源的媒体报道。然而,“我们仍然看到,在没有适当安全计划的前景,”戈尔茨坦说。
除此之外,“对于第一次买房的人来说,这是很痛苦的,”卡里尼奇说。“它们必须协调各自的IT、法律、人力资源和风险管理部门,打破这些领域的隔阂。”(Human resources is involved because of the need to respond to questions about security training practices.)
有意申请网络保险应,作为第一步,填写投保企业,人士一致。最后,他们可以不买的保险,但填写申请的过程可能是教育。
“即使他们不买任何保险,他们将更好地了解他们的曝光,将能够以智能的方式与他们的董事会讨论此事,” Kalinich说。
“有,你可能没有想到自己的就可以了问题,”美林补充说。“我不是说你应该提交 - 只是用它来教育自己,那么带来的经纪人。”
关于经纪人的问题,哈斯说:“这是一项复杂的购买,你需要专业人士的帮助。他说:“大多数保单都是高度可定制的,而且有很多背书——有些甚至不会抬高价格——如果你知道要什么,就可以提出要求。例如,你可以增加对纸质文件的覆盖,包括现场和场外的。”
通常情况下,买家进入到他们的本地代理,和当地代理使用专家,哈斯说。无论是本地代理和专家获取佣金从7.5%到10%,从而使溢价15%至10%用于佣金。
最后,美林警告说,网络保险购买者必须明白,如果他们外包其数据处理,他们不是在同一时间外包他们的责任,如果有一个数据泄露。各违约通知的法律责任在于对收集的数据上,而不是被保存它时,它暴露了组织机构,他指出。
“网络保险是不存在的,以取代健全的风险管理,”美林说。“这是有来补充它。”
木材是在得克萨斯州的一名自由撰稿人。他可以在到达lwood@texas.net。