Rủi ro mạng: tâm điểm dư luận, phản ứng của nhà bảo hiểm, và nỗi lo xâm nhập quy mô lớn (Phần 2)

Trong khoảng 10 năm vừa qua, chủ đề rủi ro mạng máy tính thường được đề cập tới trong các câu chuyện thời sự, các hội thảo trực tuyến, các bài thuyết trình hay thảo luận tại các hội chợ thương mại. Đây hoàn toàn không phải là chủ đề mới, và ngành bảo hiểm đã bắt đầu nhận bảo hiểm cho rủi ro này cách đây 15 năm. Tuy nhiên chỉ trong thời gian gần đây, rủi ro mạng máy tính mới thực sự là tâm điểm thu hút sự quan tâm của đông đảo dư luận.

Phần 2:

Vai trò của bảo hiểm (tiếp)

Theo ông Toby Merrill, Giám đốc rủi ro mạng của ACE, ngành bảo hiểm đã phát triển năng lực bảo hiểm mạng máy tính tới mức mà “thậm chí một số cấp chính quyền thuộc chính phủ liên bang đã ghi nhận ngành bảo hiểm là nguồn cung cấp các thông lệ tốt nhất trong quản lý rủi ro an ninh mạng”.

Về phần ACE, ông Merrill cho rằng sự chuyên sâu trong lĩnh vực này đã khiến ACE có một vị thế riêng, không chỉ đưa ra các giải pháp bảo hiểm mà còn sẵn sàng cung cấp đội ngũ chuyên gia hỗ trợ phục hồi thảm họa trong trường hợp xảy ra xâm nhập dữ liệu. Ông nói: “Chúng tôi có rất nhiều kinh nghiệm. Chúng tôi đã thấy những quy trình tốt và cũng chứng kiến những sai lầm rất tệ hại của khách hàng. Vì vậy, chúng tôi nỗ lực để giúp người được bảo hiểm có thể tiếp cận tốt nhất với các nguồn lực của ACE nhằm tránh được những rủi ro không đáng có.”

Năng lực bảo hiểm và đánh giá rủi ro

Mặc dù ông Tom Srail, Phó Tổng Giám đốc Willis, gọi năm 2013 là “năm của các vụ xâm nhập lớn”, nhưng nhìn chung các hãng bảo hiểm vẫn đẩy mạnh việc cấp đơn bảo hiểm trách nhiệm mạng máy tính. “Chúng tôi nhận thấy có một số công ty bảo hiểm đã phải hạn chế hoặc ngừng phát triển loại hình sản phẩm này”, ông nói, “tuy nhiên hầu hết các công ty còn lại vẫn đang rất bình tĩnh”.

Theo ông Srail, Willis đang nỗ lực giúp các hãng bảo hiểm duy trì thái độ bình tĩnh trước những tổn thất lớn, đồng thời sẽ ngày càng có nhiều người mua bảo hiểm an ninh mạng.

Ông cho biết, trên thực tế thị trường “cần chứng kiến các khoản chi trả với mức trách nhiệm bảo hiểm 100 triệu USD thì khi đó các doanh nghiệp quy mô trung bình cũng như các doanh nghiệp quy mô lớn nhưng đang còn lưỡng lự mới quyết định mua bảo hiểm với giới hạn trách nhiệm cao”.

Về vấn đề định phí, ông Srail nói: “Mức phí hiện vẫn phù hợp và không hề đắt. Tuy nhiên tôi cho rằng đang có bước cải thiện đáng kể”.

Nỗi lo xâm nhập quy mô lớn 

Không phải tất cả các doanh nghiệp khi phải đương đầu với rủi ro an ninh mạng đều tìm đến với giải pháp bảo hiểm. Ông Jonathan Hall, Phó Tổng Giám đốc hãng bảo hiểm FM Global, cho rằng các hãng bảo hiểm cần phải đi đầu trong việc ứng phó với rủi ro mạng. “Tôi nghĩ ngành bảo hiểm đang đáp ứng mỗi khi phát sinh nhu cầu của khách hàng”, ông nói, “và đang cố theo kịp các nhu cầu đó. Tôi nhận thấy ngành bảo hiểm đang nỗ lực phản ứng càng nhanh càng tốt”, ông bổ sung, “tuy nhiên điều đó là rất khó” vì khá thụ động.

Ông Hall nói mấu chốt  của vấn đề là xác định được điểm mà tại đó nhà bảo hiểm cung cấp đúng sản phẩm với đúng mức giá mà khách hàng cần. Tuy nhiên thách thức đặt ra đối với nhà bảo hiểm là làm thế nào để nhận biết được quy mô của rủi ro mạng sẽ lớn tới cỡ nào.

Theo ông Hall, ông không quan tâm đến một vụ tấn công mạng đơn lẻ.Các hãng bảo hiểm đều có thể chi trả được cho tổn thất từ 50 triệu USD đến 200 triệu USD. Nhưng ở đây là con số cộng gộp. “Vấn đề xảy ra đối với bảng cân đối kế toán của doanh nghiệp bảo hiểm là phải quan niệm rủi ro mạng tương tự các thảm họa như lũ lụt, động đất hay bão lốc”, ông bình luận.“Phải xem có bao nhiêu khách hàng có thể cùng phải chịu sự tác động từ một vụ tấn công máy tính?”

Nếu xảy ra một vụ tấn công mạng với mức thiệt hại 100 triệu USD/khách hàng và đồng loạt xảy ra với 100 đến 500 khách hàng của doanh nghiệp bảo hiểm, đây sẽ là “một thảm họa cho bảng cân đối kế toán của hãng bảo hiểm”, ông Hall nói. “Và tôi cho rằng đó chính là một phần của câu hỏi mà các hãng bảo hiểm đang cố gắng tìm ra câu trả lời: Tổn thất có thể lớn cỡ nào?”

Nguy cơ nói trên thực sự đe dọa đến nền tảng kinh doanh của các công ty hiện đang lưu trữ dữ liệu theo công nghệ đám mây. “Đó là một mối quan ngại lớn”, ông Merrill nhấn mạnh khi đề cập đến khả năng tấn công xâm nhập dữ liệu của các công ty cung cấp công nghệ đám mây, kéo theo ảnh hưởng tiêu cực tới hàng loạt các doanh nghiệp sử dụng dịch vụ này. “Nguy cơ này là rất thực tế và hoàn toàn có thể xảy ra”.

Hình 2: Dự kiến chi phí đầu tư cho hạ tầng công nghệ đám mây đối với các doanh nghiệp trên toàn cầu. Đơn vị: tỷ USD (Nguồn: IHS Technology)
 
Theo ông Srail, trong trường hợp rủi ro xảy ra, vấn đề đối với nhà cung cấp công nghệ đám mây không chỉ đơn thuần là một vụ xâm nhập mạng. “Các hãng cung cấp công nghệ đám mây có thể bị tấn công xâm nhập quy mô lớn và mất đi dữ liệu của 1.000 khách hàng”, ông nói.“Nhưng họ còn phải gánh chịu những hệ lụy không kém phần nghiêm trọng khi việc ngưng trệ hoạt động của hệ thống máy tính khiến cho 1.000 doanh nghiệp khách hàng phải đóng cửa. Do vậy, rủi ro mạng trong trường hợp này gây tác động trên cả hai mặt.”
 
Ông Merril lưu ý rằng hiện có “rất ít các hợp đồng bảo hiểm” với các hãng cung cấp công nghệ đám mây, điều đó sẽ hạn chế rất lớn khả năng khôi phục thảm họa khi xảy ra tấn công xâm nhập. “Điều này rất quan trọng bởi liệu bạn có nên phó thác sự an toàn dữ liệu của mình cho một nhà cung cấp dịch vụ không có sự đảm bảo an toàn cần thiết?”
 
Theo ông Srail, các hãng cung cấp công nghệ đám mây thoạt đầu nghĩ rằng “họ cũng chỉ là người cung cấp dịch vụ thiết yếu, giống như một công ty viễn thông di động. Bạn không thể kiện công ty viễn thông chỉ vì bạn nhận được một cú điện thoại tục tĩu từ ai đó”. Các nhà cung cấp công nghệ đám mây cho rằng tất cả trách nhiệm của mình chỉ là nắm giữ dữ liệu, vì vậy nếu hacker đánh cắp mật khẩu và truy cập vào dữ liệu của khách hàng, đó không phải là lỗi của họ. Bên cạnh đó, các doanh nghiệp này không bị ràng buộc trách nhiệm đối với hậu quả của các vụ tấn công xâm nhập mạng, đồng thời họ cũng không yêu cầu khách hàng phải trả thêm khoản phí nào cho việc đảm bảo an toàn dữ liệu.
 
Về phía khách hàng sử dụng dịch vụ đám mây, theo ông Srail, họ lại có quan điểm hoàn toàn khác: “Chúng tôi cần sử dụng dịch vụ, và không muốn mất thêm chi phí gì nữa. Nhưng nếu xảy ra sự cố, nhà cung cấp dịch vụ phải bồi thường cho chúng tôi”.
 
Tuy nhiên, gần đây đang có những biến chuyển khá tích cực trong mối quan hệ này sau khi có những sức ép từ phía khách hàng sử dụng công nghệ đám mây cũng như từ các cơ quan quản lý nhà nước. Ông Srail cho biết có nhiều nhà cung cấp dịch vụ công nghệ đám mây hiện nay đã bắt đầu chấp nhận ràng buộc trách nhiệm bảo đảm an toàn dữ liệu, đồng thời tính thêm phụ phí cho khách hàng. “Tôi cho rằng đó là tín hiệu tốt, và đó là điều chúng ta cần làm vào thời điểm này”, ông Srail bình luận.
Copyright © Bảo Hiểm Bảo Việt.