Trong khoảng 10 năm vừa qua, chủ đề rủi ro mạng máy tính thường được đề cập tới trong các câu chuyện thời sự, các hội thảo trực tuyến, các bài thuyết trình hay thảo luận tại các hội chợ thương mại. Đây hoàn toàn không phải là chủ đề mới, và ngành bảo hiểm đã bắt đầu nhận bảo hiểm cho rủi ro này cách đây 15 năm. Tuy nhiên chỉ trong thời gian gần đây, rủi ro mạng máy tính mới thực sự là tâm điểm thu hút sự quan tâm của đông đảo dư luận.

Hình 1: Số vụ và quy mô xâm nhập dữ liệu qua các năm (Nguồn: Risk Based Security)


Trước thềm Hội thảo và triển lãm thường niên năm 2014 do RIMS (Hội Quản lý rủi ro và bảo hiểm) tổ chức, phóng viên PC360 đã có cuộc phỏng vấn nhanh với 4 nhà quản lý rủi ro trong ban biên tập tạp chí National Underwriter’s. Nội dung phỏng vấn xoay quanh việc xác định đâu là rủi ro đáng chú ý nhất đang nổi lên trong thời gian gần đây. Ba trong số bốn người có câu trả lời là rủi ro mạng máy tính.Kết quả sơ bộ đó cũng phản ánh những diễn biến chính trong hội thảo RIMS, nơi rủi ro mạng máy tính trở thành chủ đề phổ biến cho cả người bán và người mua bảo hiểm.

Chẳng hạn, công ty Chubb Corp. đã công bố kết quả khảo sát về rủi ro đa quốc gia tiến hành tại 300 doanh nghiệp Mỹ và Canada về những rủi ro toàn cầu mà họ phải đối mặt trên thị trường quốc tế. Theo đó, xâm phạm dữ liệu/ rủi ro mạng được xếp vào nguy cơ thứ hai, chỉ đứng sau rủi ro thất bại của chuỗi cung ứng.

Theo bà Kathleen Ellis, Phó Tổng Giám đốc cấp cao Chubb Multinational Solutions, rủi ro mạng đã dành được rất nhiều sự quan tâm từ phía khách hàng. Đồng thời bà sẽ không lấy làm ngạc nhiên nếu trong các cuộc khảo sát sắp tới, rủi ro mạng trở thành nguy cơ đứng đầu.

Lý giải về vấn đề này, ông Tom Srail, Phó Tổng Giám đốc Willis, nói tin tức về các vụ xâm phạm dữ liệu những năm gần đây cùng với sự tăng lên đáng kể các quy định bảo vệ quyền riêng tư đối với dữ liệu đã càng khiến chủ đề này trở nên “nóng” hơn. “Mỗi khi tin tức về những vụ việc như vậy lọt ra giới truyền thông, nó lại hâm nóng tình hình và thu hút sự quan tâm của dư luận về rủi ro mạng máy tính”, ông nói.

Năm 2013 đã chứng kiến nhiều vụ xâm phạm an ninh mạng quy mô lớn. Theo một báo cáo của Risk Based Security, năm vừa qua đã có tới 4 trong tổng số 10 vụ xâm phạm lớn nhất từ trước tới nay – xét trên tiêu chí số lượng bản ghi bị xâm nhập. Trong đó gồm cả vụ có số lượng bản ghi bị xâm nhập đạt kỷ lục cao nhất mọi thời đại – với trên 152 triệu bản ghi. Báo cáo cho biết mặc dù số vụ giảm nhưng quy mô xâm nhập đã tăng cao so với năm 2012: từ mức 264 triệu bản ghi năm 2012 lên tới 823 triệu bản ghi bị xâm nhập năm 2013.

VAI TRÒ CỦA BẢO HIỂM

Sự phát triển của các sản phẩm và dịch vụ bảo hiểm trong những năm qua có thể chưa trở thành tấm áo phao song ít nhất cũng là công cụ duy trì sự sống quan trọng để giữ cho hoạt động kinh doanh không bị chìm nghỉm khi bị tấn công xâm nhập dữ liệu.

Ông Tom Srail, Phó Tổng Giám đốc Willis, cho biết trong những năm đầu triển khai nghiệp vụ này, các nhà bảo hiểm chỉ nhận bảo hiểm chochi phí thông báo cho khách hàng (khi bị xâm nhập dữ liệu), và chi phí kiểm soát tín dụng (credit mornitoring). Tại thời điểm đó, khách hàng thường gồm các công ty cung cấp dịch vụ trực tuyến (dot-coms), các hãng bán lẻ và ngân hàng.

Từ đó tới nay, bảo hiểm rủi ro mạng đã phát triển mạnh và đáp ứng được cho nhiều đối tượng khách hàng hơn.”Bảo hiểm mạng là giải pháp thích hợp với nhiều ngành sản xuất kinh doanh hiện nay”, ông Srail nói, tuy nhiên ông cũng lưu ý rằng không phải đối với ngành nào cũng như vậy.

“Chẳng hạn như ngành sản xuất”, ông Srail lý giải: một công ty sản xuất chuyên bán buôn sẽ không có cơ sở dữ liệu về khách hàng mà chỉ có cơ sở dữ liệu về người lao động của mình.”Những dữ liệu này mặc dù rất cần thiết nhưng giá trị không lớn”. Ông minh họa một hãng sản xuất có doanh thu 1 tỷ USD đứng trước nguy cơ bị mất dữ liệu về 5.000 hay 10.000 nhân viên của mình thì đó cũng không phải là một “rủi ro kinh doanh đáng kể”.

Một ví dụ khác là ngành năng lượng. Theo ông Srail: “một số công ty năng lượng không chịu sự tác động trực tiếp của hình thức tấn công an ninh mạng vào các hãng bán lẻ mà ta thường thấy trên các bản tin”. Tuy vậy, thực tế đang thay đổi.”Một trong số các hãng bảo hiểm lớn đã cho ra đời sản phẩm bảo hiểm mới với đối tượng phục vụ là các công ty điện lực, năng lượng, dầu và khí đốt.”

Tháng trước, hãng bảo hiểm AIG đã giới thiệu CyberEdge PC – sản phẩm mở rộng của đơn bảo hiểm rủi ro mạng, với phạm vi bảo hiểm cho rủi ro hư hỏng tài sản và thương tật thân thể. AIG cho biết sản phẩm này nhằm “đáp ứng đòi hỏi thực tế khi số vụ tấn công và nguy cơ tấn công mạng nhắm vào các ngành thương mại đang ngày càng tăng cao, dẫn tới hỏng hóc thiết bị, hư hại tài sản và gây thương tật cho con người.”

Và đối với hầu hết các ngành khác, sự gia tăng các sản phẩm và điều khoản bảo hiểm rủi ro mạng trong những năm qua đã khiến cho thị trường này trở nên hấp dẫn hơn bao giờ hết.

Ông Srail cho biết việc bổ sung điều khoản bảo hiểm cho các khoản tiền phạt (do bị xâm nhập dữ liệu) thực sự có ý nghĩa lớn đối với ngành chăm sóc sức khỏe so với các ngành khác. “Chúng ta vừa chứng kiến trường hợp một công ty chăm sóc sức khỏe, chỉ trong một thời gian ngắn đã phải gánh chịu khoản phạt từ chính quyền bang/ liên bang trị giá trên 1 triệu USD do để mất dữ liệu khách hàng từ một vụ tấn công xâm nhập nhỏ,” ông Srail nói, đồng thời lưu ý rằng đây là điểm đặc thù của ngành dịch vụ này. “Chúng ta không thể thấy một ngân hàng phải chịu phạt 1 triệu USD từ việc để mất số thẻ tín dụng của 20 khách hàng.Nhưng điều đó lại hoàn toàn có thể xảy ra trong ngành chăm sóc sức khỏe.”

Theo PropertyCasualty360