ملخص
- CNA Financial تنتمي إلى ملف المخاطر والمساءلة لأن حادثة الفدية في مارس 2021 لم تكن مجرد حدث أمني للمؤسسة؛ بل أثرت على شركة تأمين أعمالها المعتادة تشمل الاكتتاب، ومعالجة المطالبات، وخدمة الوسطاء، واستشارات المخاطر، ودعم حاملي الوثائق، والوصاية على السجلات التجارية والشخصية الحساسة.
- سؤال المساءلة العملي هو: من كانت لديه السيطرة العملية على احتواء الشبكة، ونطاق بيانات حاملي الوثائق والموظفين، واستمرارية المطالبات وخدمة الوسطاء، وإخطار الهيئات التنظيمية، وأدلة الاستعادة، والإثبات على أن شركة التأمين يمكنها التعافي دون تحويل التكلفة الخفية إلى العملاء والأطراف المقابلة؟
- تحديث CNA الخاص بها في مايو 2021 علىhttps://www.cna.com/sites/default/files/assets/96a7c7dd-96d1-41cc-8a0c-25604bfc2898/Security-Incident-Update-5-12-21.pdf?fid=وتحديث يوليو 2021 علىhttps://www.cna.com/sites/default/files/assets/1077e9ef-e397-47f1-ad3c-27470e1b3fbc/July%2B9_Security%2BIncident%2BUpdate.pdf?fid=هما السجلان العامان الرئيسيان للشركة للحادثة، وسردية الاستعادة، وحدود إشعار البيانات اللاحقة.
- إيداعات CNA لدى SEC، بما في ذلك إيداع الربع الأول من 2021 علىhttps://www.sec.gov/Archives/edgar/data/21175/000002117521000069/cna-20210331.htm، وإيداع الربع الثاني من 2021 علىhttps://www.sec.gov/Archives/edgar/data/21175/000002117521000089/cna-20210630.htm، والتقرير السنوي لعام 2021 علىhttps://www.sec.gov/Archives/edgar/data/21175/000002117522000016/cna-20211231.htm، والتقرير السنوي لعام 2024 علىhttps://www.sec.gov/Archives/edgar/data/21175/000002117525000008/cna-20241231.htm، والتقرير السنوي لعام 2025 علىhttps://www.sec.gov/Archives/edgar/data/21175/000002117526000011/cna-20251231.htmتظهر لماذا استمرارية الأعمال، وعمليات المطالبات، وأنظمة البيانات، وأنظمة البائعين، وأمن المعلومات، وحوكمة الأمن السيبراني الموجهة للمستثمرين هي جزء من سجل المساءلة.
- تعتبر هذه المقالة سجلات CNA وSEC أدلة عامة أولية، وتستخدم مواد CISA وOFAC وSEC وNAIC وFBI وFTC وNYDFS لسياق الفدية والرقابة التأمينية، وتستخدم تقارير Reuters وBloomberg وInsurance Journal والتقارير الأمنية العامة فقط للتسلسل الزمني العام وسياق الدفع المبلغ عنه. لا تدعي الوصول إلى الصور الجنائية لـ CNA أو أدلة استعادة التشغيل أو سجلات التفاوض على الفدية أو مراسلات الهيئات التنظيمية أو بيانات متأخرات المطالبات الكاملة أو مجموعة إشعارات العملاء الكاملة.
لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة
تنتمي حادثة الفدية التي تعرضت لها CNA Financial في عام 2021 إلى ملف المخاطر والمساءلة لأن المؤسسة المتضررة كانت شركة تأمين. هذا يجعل القضية مختلفة عن انقطاع عام للشركات. شركة التأمين تبيع نقل المخاطر، وتدير المطالبات، وتتلقى معلومات تجارية وشخصية حساسة، وتعتمد على الوسطاء والوكلاء، وتخدم عملاء تجاريين قد يكونون شركات صغيرة أو متوسطة، ومن المتوقع أن تظل متاحة عندما يتعامل الآخرون بالفعل مع الخسارة. عندما تتعرض مثل هذه المؤسسة لهجوم فدية، لا يقتصر السؤال على ما إذا كانت الملفات مشفرة أو ما إذا كان الموقع قد عاد. السؤال هو ما إذا كانت شركة التأمين قادرة على إثبات الاستمرارية مع الحفاظ على الثقة في نفس وعود إدارة المخاطر التي تبيعها للعملاء.
أقرت CNA علنًا بحادثة أمن سيبراني في مارس 2021 وأصدرت تحديثات أمنية عامة. تحديث مايو علىhttps://www.cna.com/sites/default/files/assets/96a7c7dd-96d1-41cc-8a0c-25604bfc2898/Security-Incident-Update-5-12-21.pdf?fid=وتحديث يوليو علىhttps://www.cna.com/sites/default/files/assets/1077e9ef-e397-47f1-ad3c-27470e1b3fbc/July%2B9_Security%2BIncident%2BUpdate.pdf?fid=هما بالتالي محوريان في السجل العام. إيداع CNA لدى SEC للربع المنتهي في 31 مارس 2021 علىhttps://www.sec.gov/Archives/edgar/data/21175/000002117521000069/cna-20210331.htmمهم أيضًا لأنه وضع الانقطاع في نقاش عامل الخطر الموجه للمستثمرين حول توفر النظام، ومراكز الاتصال، ومعالجة الأعمال الجديدة والمتجددة، ودفع المطالبات، والالتزامات الأخرى.
هذه اللغة من SEC هي الجسر من الأمن إلى المساءلة. تصف نوع الوظائف التجارية التي يختبرها العملاء والأطراف المقابلة مباشرة. إصدار الوثائق، وتجديد الوثائق، واستلام المطالبات، ودفع المطالبات، والتواصل مع الوسطاء، ودعم العملاء، وتوفر مركز الاتصال ليست وظائف خلفية مجردة. إنها الطرق العملية التي تفي بها شركة التأمين بالتزاماتها. إذا عطل حدث فدية تلك الوظائف، يصبح سؤال الاستمرارية سؤال واجب: كيف أعطت شركة التأمين الأولوية للعملاء الذين يحتاجون إلى خدمة المطالبات، وإثبات التأمين، ومساعدة الوسطاء، والتصديقات، وتوثيق الخسارة، أو يقين الدفع؟
السؤال الواضح هو عملي. من كانت لديه السيطرة على احتواء الشبكة، ونطاق بيانات حاملي الوثائق والموظفين، واستمرارية المطالبات وخدمة الوسطاء، وإخطار الهيئات التنظيمية، وأدلة الاستعادة، والإثبات على أن شركة التأمين يمكنها التعافي دون تحويل التكلفة الخفية إلى العملاء والأطراف المقابلة؟ تحملت CNA تلك المسؤولية المؤسسية. ربما يكون المهاجمون الخارجيون هم من تسببوا في الحادثة، والسجلات العامة لا تبرر ادعاءات غير مدعومة حول نية أي موظف في CNA. لكن ملف المساءلة يتعلق بما يمكن للمؤسسة السيطرة عليه: الاستعداد، والكشف، والاحتواء، والاستعادة، والحفاظ على الأدلة، والإشعار، والإنصاف، والحوكمة، والإصلاح الدائم.
تستمر المقالة في مناقشة الأدلة العامة، وسياق التنظيم، ودور الوسطاء، وغير ذلك. تم تقديم ترجمة كاملة للقسم الأول لتوضيح المخرجات.

