Trong khoảng 10 năm vừa qua, chủ đề rủi ro mạng máy tính thường được đề cập tới trong các câu chuyện thời sự, các hội thảo trực tuyến, các bài thuyết trình hay thảo luận tại các hội chợ thương mại. Đây hoàn toàn không phải là chủ đề mới, và ngành bảo hiểm đã bắt đầu nhận bảo hiểm cho rủi ro này cách đây 15 năm. Tuy nhiên chỉ trong thời gian gần đây, rủi ro mạng máy tính mới thực sự là tâm điểm thu hút sự quan tâm của đông đảo dư luận.
Khắc phục hậu quả xâm nhập mạng, có cách nào thật sự tối ưu?
Các giám đốc rủi ro cần trù tính kế hoạch ứng phó trong trường hợp doanh nghiệp của mình bị xâm nhập dữ liệu.Thực tế cho thấy trong thời gian bị tấn công mạng, doanh nghiệp có thể phải đối mặt với các ý kiến chỉ trích từ nhiều hướng khác nhau.Chẳng hạn hãng kinh doanh chuỗi siêu thị bán lẻ Target (Mỹ) bị tấn công xâm nhập dữ liệu trong kỳ nghỉ lễ và sau đó phải hứng chịu búa rìu dư luận vì đã chậm trễ quá lâu trong việc thông báo cho khách hàng biết về tình trạng này cũng như những biện pháp mà hãng thực hiện.Không những thế, Target còn tiếp tục bị phê phán vì quy mô thực tế của vụ tấn công lớn hơn nhiều so với những gì công ty đã công bố ban đầu.
Trong trường hợp này, liệu Target có nên chờ thêm một thời gian để có thông tin đầy đủ về mức độ xâm nhập rồi hãy công bố?Liệu có cách làm nào “hoàn toàn đúng” để khắc phục sự cố tấn công xâm nhập dữ liệu?
Theo ông Tom Srail, Phó Tổng Giám đốc Willis, câu trả lời là “Hầu như không có cách làm nào đúng hoàn toàn, chỉ có cách làm đỡ sai sót nhất mà thôi”.
Về phần mình, ông Toby Merrill, Giám đốc rủi ro mạng của ACE, cho biết mỗi vụ xâm nhập mạng đều có những đặc điểm rất khác nhau. Vì vậy, thật khó để các doanh nghiệp có thể biết được một cách chính xác phương án đối phó với mỗi tình huống xâm nhập cụ thể. Ông so sánh điều này với những ứng xử của cha mẹ với con cái: “Hầu như bạn sẽ không thể dự đoán được cáchxử lý trước muôn vàn tình huống nảy sinh với con cái mình. Bạn chỉ có thể biết khi đã thực sự trải nghiệm”.
Ông Toby Merrill ví von: “Và trong trường hợp bị xâm nhập mạng, sẽ phát sinh rất nhiều ẩn số tương tự như khi sinh con. Bạn phải đối mặt với nhiều vấn đề thực tế khác nhau. Nếu có nhiều con, bạn sẽ thấy chẳng có đứa nào giống đứa nào. Xâm nhập mạng cũng vậy, chúng ta chẳng thể dự liệu được cách đối phó trong mỗi trường hợp cụ thể”.
Ông Merrill bổ sung: cho dù các công ty đã lập kế hoạch, có phương án ứng phó từ trước và đã phổ biến cho tất cả những người có liên quan, thì các vụ xâm nhập dữ liệu vẫn không hề giống nhau.
Ông nhấn mạnh: “Thông tin đầy đủ và xác thực là vấn đề rất quan trọng khi xử lý các vụ xâm nhập mạng” và cho rằng người ngoài rất khó biết rõ những gì đang diễn ra bên trong doanh nghiệp bị xâm nhập. “Các doanh nghiệp này sẽ phải mất rất nhiều công sức mới có thể công bố được thông tin về vụ xâm nhập một cách chính xác”.
Bên cạnh đó lại có thể có những nguồn thông tin khác gây nhiễu. Ông Merrill bình luận: “đôi khi bạn được nghe nói về vụ xâm nhập dữ liệu công ty mình từ một đối tác, bạn hàng nào đó, và thậm chí không biết đâu là sự thật”.Trong trường hợp này, “bạn phải đính chính lại những thông tin sai lệch đó”.
Theo ông, doanh nghiệp nào vội vàng công bố thông tin ra công chúng, có thể sẽ gặp phải những rắc rối sau đó.
Cho dù sẽ có những rối loạn xảy ra sau khi bị xâm nhập dữ liệu, “tôi cho rằng cách làm đúng đắn nhất là chủ động lập kế hoạch ứng phó từ trước”, ông Srail nói.Bên cạnh đó, doanh nghiệp cần rà soát lại các kế hoạch của mình nhằm đảm bảo luôn đáp ứng được những đòi hỏi trong tình hình mới đồng thời tương thích với các hợp đồng bảo hiểm mạng máy tính đang có hiệu lực.Chẳng hạn, một số hãng bảo hiểm yêu cầu doanh nghiệp phải sử dụng các đối tác đã được ấn định hoặc chỉ được lựa chọn đối tác thuộc danh sách cho trước.
Cũng theo ông Srail, bản kế hoạch cần chỉ rõ ai sẽ là (hoặc không được là) người phát ngôn trước công luận khi vụ việc xảy ra. Thậm chí có nhà bảo hiểm đã nêu trong hợp đồng rằng doanh nghiệp không được để các công ty quan hệ công chúng (PR) tham gia vào các sự kiện này. Và điều này là rất thực tế bởi lẽ khi bị xâm nhập dữ liệu, doanh nghiệp sẽ cần có một công ty truyền thông chuyên nghiệp thay vì một công ty PR. Khi đó, công ty truyền thông có nhiệm vụ chuyển tải các thông tin quan trọng một cách chính xác, kịp thời tới công chúng, đồng thời tìm cách đưa hình ảnh của doanh nghiệp thoát khỏi sự cố này. Nói cách khác, thông qua công ty truyền thông, sự việc bị tấn công xâm nhập phải trở thành câu chuyện mà cộng đồng đã dần lãng quên chứ không phải trở thành đề tài nóng hổi thu hút sự quan tâm của dư luận.
Ngoài ra, ông Srail còn gợi ý doanh nghiệp cần có sự phối hợp với các chuyên gia tốt nhất trong ngành. Chẳng hạn, các luật sư am tường về luật trong lĩnh vực này có thể đưa ra lời khuyên: “cứ mỗi ngày trì hoãn việc công bố thông tin ra công chúng, doanh nghiệp sẽ phải đối mặt với nguy cơ bị khởi kiện tập thể ngày càng tăng, nhưng ngược lại sẽ làm giảm khả năng bị áp dụng các biện pháp pháp lý, phạt hành chính hay phạt tiền từ văn phòng tổng chưởng lý tiểu bang”.
Về vấn đề này, ông Toby Merrill cũng nhấn mạnh tầm quan trọng của việc lựa chọn đối tác phù hợp và tiến hành kiểm tra khả năng ứng phó với các tình huống giả định để đảm bảo quy trình luôn được vận hành tốt.
Bên cạnh đó, doanh nghiệp còn cần phải biết “điều chỉnh và linh hoạt”.Những sự cố xảy ra ở công ty này có thể sẽ không lặp lại ở công ty khác, cho dù tính chất vụ xâm nhập là như nhau. Ông Merill bổ sung: “có rất nhiều biến số có thể phát sinh từ một vụ xâm nhập dữ liệu, và tôi chưa thấy ai có thể sử dụng cùng một biện pháp xử lý đối với hai vụ xâm nhập khác nhau”.
Theo PropertyCasualty360