Bảo hiểm rủi ro trên không gian mạng ảo (cyber- insurance), còn gọi là bảo hiểm mạng ảo, không giúp một doanh nghiệp thoát khỏi móng vuốt của bọn tội phạm mạng, nhưng phần nào giúp họ ổn định về mặt tài chính nếu không may xảy ra những vụ tấn công mạng.
Công nghệ, phương tiện truyền thông xã hội và các giao dịch qua Internet đóng vai trò quan trọng trong cách các tổ chức kinh doanh và tiếp cận với khách hàng tiềm năng nhất hiện nay. Đồng thời những phương tiện này cũng trở thành chiếc cổng dẫn đến những cuộc tấn công mạng, gây thiệt hại cho doanh nghiệp. Khi những vụ tấn công mạng xảy ra ngày càng nhiều, các doanh nghiệp lớn không chỉ tăng cường công tác bảo mật hệ thống để hạn chế rủi ro mà còn mua bảo hiểm cho hệ thống như một cách bảo vệ doanh nghiệp về mặt tài chính.
Bảo hiểm mạng ảo bỗng trỗi dậy như một ngành kinh doanh đầy tiềm năng. Nhưng khi số vụ rò rỉ dữ liệu lớn xảy ra nhiều hơn với mức thiệt hại lớn hơn thì các chuyên gia ở các tổ chức như SANS Institute, Advisen và PivotPoint thấy lo ngại vì các chính sách bảo hiểm hiện có cho mảng thị trường này quá phức tạp, dễ gây nhầm lẫn dẫn đến sự thiệt thòi cho công ty mua bảo hiểm.
Bảo hiểm rủi ro mạng ảo là gì?
Nói đến bảo hiểm mạng ảo người ta thường nói đến chính sách bảo hiểm rủi ro mạng ảo hay bảo hiểm trách nhiệm mạng ảo (CLIC) – được thiết kế để giúp một tổ chức giảm thiểu sự rủi ro về tài chính nhờ được bù lại phần chi phí có liên quan đến sự hồi phục sau sự cố an ninh mạng. Theo bản báo cáo của PwC, thị trường bảo hiểm mạng ảo xuất hiện từ năm 2005 và dự kiến đạt 7,5 tỉ đô la vào năm 2020. Khoảng 1/3 số công ty Mỹ gần đây mua một số loại bảo hiểm mạng ảo. Các con số này chỉ ra rằng thị trường đang có nhu cầu về các gói bảo hiểm rủi ro dành cho những công ty kinh doanh trên môi trường có liên quan đến không gian mạng. Nhưng bảo hiểm thông thường là một phạm trù phức tạp với người mua, việc chọn mua bảo hiểm có liên quan đến mạng ảo còn phức tạp hơn rất nhiều.
Một trong những điểm khó khăn mà doanh nghiệp mua bảo hiểm mạng ảo thường gặp phải xuất phát từ nội bộ. Julian Waits Jr., CEO của công ty phân tích rủi ro PivotPoint, từng mô tả chuyện này bằng một câu chuyện sau đây: Một ngày nọ khi hệ thống mạng bị tấn công, CISO – Giám đốc về an ninh mạng của doanh nghiệp – bị gọi đến phòng họp. Ở đó cấp trên của vị CISO này khiển trách anh đã không mã hóa chương trình ứng dụng dẫn đến sự cố bị tấn công nên bên bảo hiểm chỉ chịu thanh toán 1/3 số tiền đền bù theo yêu cầu của công ty. Người CISO phản bác rằng anh không hề biết công ty đã mua bảo hiểm mạng ảo và trên thực tế anh không thể mã hóa chương trình được do nó vận hành máy ATM, nếu mã hóa thì khách hàng sẽ không thực hiện được các giao dịch của họ. Có hai điểm đáng nói ở câu chuyện này: Một là CISO không biết rằng công ty của anh đã áp dụng chính sách bảo hiểm mạng ảo nhằm phòng vệ trước các cuộc tấn công mạng. Hai là loại chương trình ứng dụng nên được mua bảo hiểm và được chi trả bảo hiểm khi gặp sự cố.
Tình trạng này, theo Julian Waits Jr. là từ sự thiếu hiểu biết, sự nhầm lẫn của bên mua bảo hiểm về thuật ngữ chuyên ngành bảo hiểm, dẫn đến sự nhầm tưởng về các hạng mục được chi trả bảo hiểm. Mặt khác, các công ty thường mua bảo hiểm sau khi công ty gặp sự cố nào đó. Họ mua bảo hiểm để tránh sự tổn thất cho những trường hợp tương tự sau này. Tuy nhiên, điều này thực sự không chính xác do môi trường kinh doanh mạng luôn thay đổi, công nghệ thay đổi, hành vi của những người tham gia vào hoạt động của chuỗi hệ thống mạng cũng thay đổi dẫn đến các tình huống rủi ro về mạng khác nhau tùy theo thời điểm và bối cảnh. Kết quả là, các công ty mua bảo hiểm thường không chắc chắn về những gì được và không được bảo hiểm. Đó là chưa kể đến việc thực hiện các quy trình bảo vệ hệ thống theo hợp đồng bảo hiểm cũng hiếm khi đúng, như quên cập nhật bản vá lỗi phần mềm hệ thống, không sao lưu hoặc sao lưu không đủ… khiến công ty không nhận được sự đền bù như sự mong đợi.
Hiểu rõ gói bảo hiểm rủi ro mạng ảo
Nhiều công ty bảo hiểm danh tiếng đã xây dựng hoàn chỉnh chính sách bảo hiểm mạng ảo bằng cách cho ra mắt thị trường những dòng sản phẩm bảo hiểm mạng ảo riêng biệt, như Allianz, Chubb Philadelphia và Travelers, trong khi nhiều công ty bảo hiểm khác chỉ bán bảo hiểm mạng ảo như là một gói mở rộng từ các dòng sản phẩm chính hiện có. Dĩ nhiên là có sự khác biệt rất lớn về chính sách bảo hiểm giữa dòng sản phẩm riêng và gói mở rộng. Nhưng cũng giống như bất kỳ loại bảo hiểm hiện có, bảo hiểm mạng ảo thay đổi tùy theo từng công ty bảo hiểm và chính sách của công ty đó.
Theo CSO.com, các công ty muốn mua bảo hiểm mạng ảo nên so sánh các chính sách bảo hiểm mạng ảo của các công ty bảo hiểm khác nhau, tìm hiểu về các mục được bảo hiểm, về bối cảnh của loại bảo hiểm đó cũng như các điểm giới hạn của chúng. Ví dụ: Công ty bảo hiểm cung cấp một hay nhiều loại chính sách bảo hiểm mạng hay chỉ đơn giản là một phần mở rộng của chính sách bảo hiểm hiện có hay được tùy chỉnh từ một hợp đồng đã có? Trong hầu hết các trường hợp, một chính sách độc lập là tốt nhất và toàn diện hơn. Cũng như khi mua các loại bảo hiểm cho cá nhân, doanh nghiệp cũng nên tìm hiểu về các mức khấu trừ của các công ty bảo hiểm. Vì là bảo hiểm trong không gian ảo nên doanh nghiệp cũng cần tìm hiểu về các điểm bảo hiểm và giới hạn bảo hiểm có liên quan đến nhà cung cấp ứng dụng bên thứ nhất và bên thứ ba. Trong trường hợp này cũng phải tìm hiểu xem nhà cung cấp dịch vụ của bạn có mua bảo hiểm mạng ảo hay không và điều đó sẽ ảnh hưởng như thế nào đến nội dung thỏa thuận của bạn.
Ngoài ra, doanh nghiệp cần xem xét liệu chính sách bảo hiểm đó có bao gồm bất kỳ cuộc tấn công nào trong đó tổ chức đó là một trong các nạn nhân hoặc là mục tiêu chính; hay trong trường hợp do sự sơ suất của một nhân viên mà dẫn đến sự cố mạng. Social engineering đóng một vai trò nhất định trong tất cả các loại tấn công, bao gồm tấn công lừa đảo, spear phishing và các mối đe dọa dai dẳng (APTs). Vì vậy, loại kỹ thuật tấn công hay khung thời gian cũng là điểm cần lưu ý khi tìm hiểu chính sách bảo hiểm.
David K. Bradford, nhà đồng sáng lập và là Giám đốc về chiến lược của Advisen, cho rằng các CIO và CISO nên tham gia vào quá trình tìm hiểu việc mua bảo hiểm mạng. Họ nên được ngồi cùng với người chịu trách nhiệm quản lý rủi ro cho doanh nghiệp để bàn bạc thống nhất với nhau về điều gì cần được bảo hiểm và xác định các khoản sẽ không được chi trả bảo hiểm trước khi lập ra hồ sơ rủi ro mạng để mua bảo hiểm. Một công ty bảo hiểm muốn biết tính dễ tổn thương trước cuộc tấn công mạng của một doanh nghiệp thường dựa trên bộ hồ sơ đánh giá rủi ro mạng ảo, từ đó họ cân nhắc các điều khoản được bảo hiểm.
Trong tương lai, khi bảo hiểm mạng được tiêu chuẩn hóa hơn, công ty bảo hiểm có thể yêu cầu kiểm toán các quá trình và quản trị của bên mua bảo hiểm như một điều kiện bảo hiểm. Các công ty mua bảo hiểm cũng được khuyên nên giáo dục nhân viên về sự nhận thức các mối nguy cơ an ninh mạng, đặc biệt là với các phương thức lừa đảo qua mạng. Bởi vì, nếu có sự cố về mạng – xuất phát từ lỗi của nhân viên – dù có được nhận sự đền bù thiệt hại về tài chính theo hợp đồng bảo hiểm thì khoản đền bù đó cũng mang tính tương đối, trên thực tế công ty bị gián đoạn kinh doanh, uy tín cũng bị ảnh hưởng.
