Gánh nặng bảo hiểm dữ liệu và an ninh mạng

Phan Minh Châu

(KTSG) - Trên tờ Financial Times mới đây có bài viết về việc nhiều hãng bảo hiểm trên thế giới đã chùn tay trong việc bảo hiểm đối với các cuộc tấn công mạng cho các doanh nghiệp(1).

Lý do là bởi từ năm ngoái các vụ tấn công mạng đã tăng nhanh, đặc biệt là trong vòng hai tháng qua với nhiều vụ tấn công gây hậu quả nghiêm trọng. Trong số này phải kể đến các vụ tấn công đòi tiền chuộc gần đây vào hệ thống bảo hiểm y tế ở Ireland, một mạng đường ống dẫn dầu chủ chốt của Mỹ, và mới tuần rồi là nhà cung cấp thịt JBS lớn nhất thế giới, khiến những nơi này phải tạm đóng cửa hoạt động sau khi bị tấn công.

Hãng bảo hiểm khắt khe hơn trước rủi ro lớn hơn

Nếu may mắn thì tổ chức bị tấn công đã mua bảo hiểm dữ liệu và an ninh mạng sẽ được công ty bảo hiểm bồi thường tiền chuộc và các tổn thất khác như phải dừng hoạt động sản xuất, kinh doanh, và các chi phí cho các dịch vụ phát sinh như phục hồi dữ liệu.

Do tính nghiêm trọng và tần suất các cuộc tấn công mạng đều tăng nên phí bảo hiểm an ninh mạng cũng vì thế mà tăng. Theo số liệu trên Financial Times, mức tăng này là 27% trong khoảng tháng 4 đến giữa tháng 5-2021 so với cùng kỳ năm trước.

Không chỉ tăng phí bảo hiểm như một phương cách phòng vệ, các hãng bảo hiểm hiện nay còn thận trọng hơn rất nhiều trong việc nhận bảo hiểm trong lĩnh vực này cho các doanh nghiệp. Họ sẽ tìm hiểu và điều tra kỹ càng với doanh nghiệp bằng rất nhiều câu hỏi bổ sung so với trước đây.

Nếu doanh nghiệp cho thấy có mức độ kiểm soát quá thấp đối với vấn đề an ninh mạng thì thậm chí sẽ bị từ chối bảo hiểm. Một số hãng khác nếu có chấp nhận bảo hiểm thì sẽ không chỉ tăng phí bảo hiểm mà còn giảm mức độ bồi thường bảo hiểm, thậm chí là một nửa đối với các vụ tấn công đòi tiền chuộc.

Hoặc một cách khác là hãng bảo hiểm yêu cầu doanh nghiệp cùng bảo hiểm, tức doanh nghiệp cũng sẽ phải cùng chia sẻ tổn thất với hãng bảo hiểm khi có biến. Nhưng nhìn chung thì, theo Financial Times, hiện nay còn rất ít hãng bảo hiểm đồng ý bồi thường 100% thiệt hại liên quan đến tấn công mạng đòi tiền chuộc.

Ngoài ra, các hãng bảo hiểm cũng bắt đầu trở nên lựa chọn hơn với những ngành mà họ nhận bảo hiểm. Chẳng hạn ở Mỹ, theo một cuộc khảo sát của cơ quan chức năng, các hãng bảo hiểm đã giảm nhận bảo hiểm cho các ngành như y tế và giáo dục.

Ở Việt Nam, lĩnh vực bảo hiểm dữ liệu và an ninh mạng dường như vẫn còn khá mới mẻ, ít được đề cập đến. Bên cạnh một vài hãng bảo hiểm nước ngoài như Chubb và MISG, một số hãng bảo hiểm trong nước như Bảo Việt, BSH, và Bảo Long đã triển khai sản phẩm bảo hiểm này trong năm 2020.

Trước xu hướng gia tăng chi phí bảo hiểm và yêu cầu khắt khe hơn trong việc nhận bảo hiểm trên thế giới như nói trên, có thể dự đoán rằng xu hướng này cũng đã và đang diễn ra ở Việt Nam, tuy không có nhiều chi tiết thực tế được biết đến bởi những người ngoài cuộc.

Áp lực lên doanh nghiệp

Một đặc điểm của các cuộc tấn công đòi tiền chuộc là chúng thường không có mục tiêu tấn công từ ban đầu, mà chỉ tìm được con mồi sau khi đã rà quét các doanh nghiệp để tìm ra các lỗ hổng an ninh mạng kiểu như không có xác thực nhiều lớp cho e-mail hay cho việc cập nhật từ xa vào các mạng của doanh nghiệp. Trong khi đó, trên thực tế thì có rất nhiều doanh nghiệp, nhất là các doanh nghiệp nhỏ và vừa, lại không có những biện pháp an ninh tối thiểu như vậy.

Ở Việt Nam, theo Trend Micro, việc chi tiêu cho an ninh Internet “...vẫn chưa được đẩy ở mức quá cao. Chúng chỉ ở mức hời hợt tại một số doanh nghiệp, nếu Luật An ninh mạng được thông qua có thể mọi người sẽ càng không có thêm sự quan tâm về những rủi ro trên Internet. Tại Việt Nam, có thể nói rằng họ là một trong những quốc gia chưa đánh giá đúng về tầm quan trọng của việc bảo mật dữ liệu”(2).

Mức độ quan tâm thấp như vậy nên dễ hiểu là tại sao Việt Nam lại là quốc gia đứng thứ 3 khu vực châu Á - Thái Bình Dương về tỷ lệ máy tính của hệ thống điều khiển công nghiệp bị tấn công bằng mã độc đòi tiền chuộc, chỉ sau Trung Quốc và Indonesia, theo công bố của hãng an ninh mạng Kaspersky hồi tháng 11-2020(3).

Lý do có thể chủ yếu là chuyện chi phí. Đã là doanh nghiệp nhỏ và vừa thì nhiều người sẽ coi là chuyện xa xỉ khi phải đầu tư một khoản đáng kể vào các giải pháp và cơ sở hạ tầng an ninh mạng cho nội bộ doanh nghiệp. Hơn nữa, cũng với lý do là doanh nghiệp nhỏ và vừa, nhiều người cũng cho rằng họ không đáng để bọn tin tặc tấn công đòi tiền chuộc. Nhưng cả hai luồng suy nghĩ này đều là sai lầm, bởi bọn tin tặc sẽ không chừa một ai, kể cả đó là cá nhân mà chúng không hề biết đến ngoài đời, mà chỉ là qua các dấu vết để lại trên mạng và bị chúng phát hiện ra rồi tìm cách tống tiền.

Như vậy, doanh nghiệp sẽ vừa phải đầu tư trang bị vào giải pháp và cơ sở hạ tầng an ninh mạng, dù là cơ bản, trước những rủi ro lớn hơn, vừa phải quan tâm đến chuyện mua bảo hiểm an ninh mạng để giảm thiểu tổn thất khi bị tấn công, nhất là khi việc bảo vệ an ninh mạng của họ chỉ là cơ bản, không đủ phức tạp.

Nhưng việc mua bảo hiểm an ninh mạng cũng sẽ gặp trắc trở do sẽ bị các hãng bảo hiểm đòi hỏi phí bảo hiểm cao hơn và nhiều điều kiện hơn. Do đó, các doanh nghiệp Việt Nam, đặc biệt là các doanh nghiệp nhỏ và vừa, sẽ còn tiếp tục mắc kẹt trong tình thế nan giải này, và buộc phải mạo hiểm với may rủi, hy vọng các vụ tấn công mạng sẽ “chừa” mình ra.

Trong bối cảnh này, Việt Nam có thể xem xét đến giải pháp khắc phục mà Financial Times đề cập. Đó là Chính phủ cung cấp thêm các dịch vụ an ninh và thậm chí là hỗ trợ tài chính liên quan đến an ninh mạng.Sự trợ giúp của Chính phủ trong lĩnh vực này có thể thông qua các dàn xếp dưới dạng công - tư kết hợp với mục đích tối thượng là để giảm thiểu rủi ro đã trở nên lớn quá mức có thể hấp thụ nổi bởi cả doanh nghiệp lẫn ngành bảo hiểm.

(1) https://www.ft.com/content/4f91c4e7-973b-4c1a-91c2-7742c3aa9922

(2) https://trendmicro.ctydtp.vn/an-ninh-mang-tai-viet-nam-va-nhung-anh-huong-de-doa-tu-noi-bo-doanh-nghiep.html

(3) https://thoibaonganhang.vn/co-hoi-phat-trien-bao-hiem-khong-gian-mang-109803.html