По мнению экспертов, директора по информационной безопасности (CISO), вероятно, станут мишенью для регулирующих органов и адвокатов истцов в США в рамках судебных разбирательств по утечке данных, поэтому крайне важно, чтобы на них распространялся полис D&O их компании.
По словам экспертов, хорошей новостью для директоров по информационной безопасности является то, что на нынешнем конкурентном рынке страховщики D&O, как правило, готовы добавить их в число застрахованных без дополнительной оплаты.
Они указывают на иск Комиссии по ценным бумагам и биржам США (SEC), поданный против Solar Winds Corp, в котором ее директор по информационной безопасности назван ответчиком вместе с самой компанией, как знак того, что директора по информационной безопасности и их компании должны быть обеспокоены этим вопросом.
В иске говорится, что SolarWinds и директор по информационной безопасности Тимоти Браун обманули инвесторов, преувеличивая методы компании в области кибербезопасности и занижая или не раскрывая известные риски. SolarWinds стала целью масштабной кибератаки, длившейся почти два года.
Проблему, с которой сталкиваются компании, усложняют новые правила кибербезопасности SEC, которые требуют от компаний определять, какие кибернарушения являются существенными, и сообщать о них агентству в течение четырех рабочих дней. Требования о раскрытии информации о происшествиях вступают в силу для большинства компаний 18 декабря, при этом более мелкие компании имеют право на продление.
Регуляторы «пытаются подчеркнуть, что отдельные лица уязвимы перед судебным преследованием или принудительными мерами, особенно если они вводят рынок в заблуждение», а акционеры и жертвы утечки данных становятся все более склонными к судебным разбирательствам, сказал адвокат Джонатан Армстронг, партнер Cordery Compliance в Лондоне.
«Я не уверен, что CISO будут упоминаться во всех судебных процессах по ценным бумагам», но, безусловно, существует повышенный риск, - сказал Эндрю Доэрти, национальный исполнительный директор в США и руководитель практики профессиональных решений по рискам компании USI Insurance Services.
«В течение некоторого времени уровень риска рос, и его никто не замечал», — сказал Ларри Файн, руководитель отдела страхования управленческой ответственности WTW.
По его словам, будут еще судебные разбирательства. «Я не уверен, что это будет лавина, но мы увидим, что директора по информационной безопасности будут привлечены к большей потенциальной ответственности, большей, чем это было в прошлом», — сказал он.
«Адвокатам истцов нравятся подобные сценарии, и я ожидаю, что они будут готовы подавать иски, когда будет выявлена закономерность или видимость неправомерного действия», — считает Джеймс Риццо, страховщик рисков для руководителей американских компаний в Beazley.
«Определенно существует страховое покрытие» в рамках полиса D&O, которое «на самом деле предназначено для обеспечения защиты руководителей высшего звена», — согласился с коллегой Мэтью Маклеллан, управляющий директор и руководитель продукта D&O компании Marsh.
Однако директорам по информационной безопасности «действительно необходимо подтвердить, являются ли они должностными лицами компании, а если являются, то им следует постараться, чтобы они были застрахованы в соответствии с полисом D&O», — посоветовала Сара Дауни, управляющий директор Lockton.
«Вопрос в том, является ли директор по информационной безопасности руководителем, как это определено полисом или страховщиком», — сказал Файн. Определения должностных лиц в полисе D&O публичных компаний «на удивление неясны», добавил он.
Можно предположить, что если вы чиновник, то вы определенно застрахованный руководитель, считает Файн. «Но по мере того, как вы продвигаетесь дальше», это становится менее ясным, «именно поэтому многие страхователи теперь стремятся получить больше ясности в отношении статуса покрытия CISO», - сказал он.
Если директор по информационной безопасности не квалифицируется как должностное лицо компании, получающее возмещение в соответствии с полисом D&O компании, ему следует добиваться добавления подтверждения для обеспечения такого покрытия, сказала Дауни. «Рынки к этому готовы», — пояснила она.
По словам Маклеллана, существует «открытость и готовность» отвечать на вопросы, пересматривать формулировки полиса и вносить изменения.
Артуро Перес-Рейес, старший вице-президент и киберстратег американской компании Newfront Insurance, отметил, что это не такая уж большая проблема для полиса D&O частных компаний, который сформулирован более широко, чем полис публичных компаний.
Дэвид Б. Андерсон, вице-президент по кибербезопасности компании Woodruff Sawyer & Co, предостерег, что могут возникнуть проблемы у тех, кто работает директором по информационной безопасности в небольших компаниях, но не обязательно имеет эту должность официально.
«Есть так много преданных своему делу и заботливых профессионалов, которые выполняют работу директора по информационной безопасности, но имеют такие звания, как старший вице-президент по сетям», — сказал он.
«Вам действительно необходимо убедиться, что страховое покрытие D&O распространяется на тех, кто действует как функциональный эквивалент директоров по информационной безопасности и работает с брокерами, «чтобы гарантировать, что любые исключения, связанные с кибербезопасностью, будут ограничены», — сказал Андерсон.
Еще одной проблемой являются сторонние подрядчики, которые могут выполнять функции директора по информационной безопасности компаний, сказал Риццо.
Компании «возможно, захотят рассмотреть какой-нибудь продукт внешней профессиональной ответственности», чтобы гарантировать возмещение ущерба этим подрядчикам, сказал он.
Подготовлено порталом Allinsurance.kz