Av Imran Ahmad
Partner, Miller Thomson LLP
Tidigare i sommar, när University of Calgary var offer för en ransomware-attack, sade den offentligt att cyberförsäkringen som den hade köpt visade sig vara ovärderlig för att hantera nedfallet av attacken. Utan tvekan tittar organisationer alltmer på att skaffa försäkringar som kan hjälpa dem i händelse av en cyberincident. Enligt en nyligen genomförd PwC rapporterar att cyberförsäkringsmarknaden kommer att tredubblas till 7,5 miljarder dollar år 2020.
Med den bakgrunden, borde din organisation skaffa en cyberförsäkring? Om så är fallet, hur ska du göra affärsfallet och vilka åtgärder bör vidtas för att säkerställa att din organisation får en policy som är bäst lämpad för dess behov?
Innan de köper cyberförsäkring bör organisationer åtminstone vidta följande steg för att säkerställa att de får rätt produkt baserat på deras faktiska behov. Denna bedömning bör innehålla följande steg:
Utvärdera interna policyer och protokoll relaterade till mänsklig, fysisk säkerhet och nätverkssäkerhet, integritet och beredskap för cyberincidenter.
Identifiera potentiell exponering. Detta kan göras på en mängd olika sätt, inklusive att till exempel hålla ett riskscorecard över verksamhetens divisioner/avdelningar, genomföra en gapanalys av verksamhetens policyer och protokoll för cyberincidentrespons och utveckla en riskkarta som identifierar och utvärderar viktiga integritets- och informationssäkerhetsrisker.
Tänk på de olika scenarierna för cyberincidenter (från "lindriga" till "katastrofala") och jämför kostnaderna för varje scenario baserat på branschjämförelser.
Granska företagets nuvarande försäkringar för att avgöra vad som täcks och vad som inte är det.
Baserat på denna bedömning kommer företaget att vara väl positionerat för att fastställa vilka typer av cyberrisker den är villig att söka försäkring för (t.ex. integritet och nätverkssäkerhet, regulatoriskt ansvar, krishantering, nätverksavbrott, täckning av informationstillgångar, utpressning, etc. ). Dessa steg kommer också att visa för försäkringsgivaren att organisationen har vidtagit åtgärder för att förstå sin cyberprofil och kan också hjälpa till att minska premierna som är förknippade med någon cyberpolicy.
Som en allmän regel kommer cyberförsäkring att ge täckning för första parts förlust och tredje parts ansvar. Förstapartsförlusttäckning kommer att innehålla följande:
Detta täcker kostnaderna för att undersöka en cyberincident, meddela tillsynsmyndigheter, berörda kunder och tillhandahålla kreditövervakning.
Täckning för att svara på en hackers krav på pengar i utbyte mot att låsa upp eller inte skada ett företags data eller nätverk. Det vanligaste exemplet är en ransomware-attack — som har ökat markant under 2016.
Täckning för experter för att återställa eller återställa data som förlorats efter en -incident.
Ersättning för förlorade inkomster eller kostnader i samband med att återställa verksamheten när din verksamhet går ner. När det gäller tredje parts ansvar , cyberförsäkringar erbjuder vanligtvis följande typer av försäkringar:
Täckning för att försvara och gottgöra stämningar för vårdslöshet i samband med en cyberincident.
Försvara och gottgöra stämningar från parter som hävdar ett integritetsintrång på grund av ett dataintrång.
Täckning för stämningar från en part för att skada sitt nätverk till följd av en cyberincident.
Täckning för regulatoriska åtgärder som uppstår ur en cyberincident.
En organisations storlek, bransch där den är verksam, typ av data den innehar, potentiella riskexponeringar och andra överväganden kommer att påverka omfattningen av den täckning av cyberansvar de eftersträvar. En tydlig förståelse för var den står på cyberriskspektrumet kommer att vara avgörande för att säkerställa att ett företag får rätt cyberansvarsskydd. Denna övning kommer att informera organisationer när de förhandlar om premier och de tjänster som bör inkluderas i cyberpolicyn.
Även om standardpolicy för kommersiellt allmänt ansvar (CGL), fel och utelämnanden (E&O) och policys för direktörer och tjänstemän (D&O) redan kan tillhandahålla vissa av dessa täckningar, om en organisation inte är försiktig kan det finnas uteslutningar av cyberbrott i dessa policyer som kan begränsa typen av hjälp som skulle krävas för att effektivt hantera en cyberincident.
Cyberförsäkring bör vara en del av alla organisationers riskreducerande strategi. Som sagt, alla cyberförsäkringar är inte lika och en organisation bör först bedöma sina specifika behov, riskexponering och sedan förhandla fram den bästa cyberförsäkringen.
*Imran Ahmad är partner på advokatbyrån Miller Thomson LLP i Toronto och är specialiserad inom området cybersäkerhetslagstiftning. Han kan nås på iahmad@millerthomson.com.