Bảo hiểm an ninh mạng không đơn thuần là một sản phẩm tài chính

Trong bối cảnh công nghệ, đặc biệt là AI, đang phát triển mạnh mẽ, cộng thêm đó là các quy định pháp lý ngày càng chặt chẽ, hoàn thiện, an ninh mạng đang vượt ra khỏi phạm vi của từng doanh nghiệp hay cá nhân để trở thành vấn đề mang tính an ninh quốc gia.

Chia sẻ tại Hội thảo chuyên đề “Bảo hiểm an ninh mạng và khả năng chống chịu trong kỷ nguyên AI” do Hiệp hội An ninh mạng quốc gia (NCA) tổ chức sáng 5/5, ông Nguyễn Tất Hồng Dương, Tổng Biên tập Tạp chí điện tử An ninh mạng Việt Nam, cho biết việc bảo đảm an ninh mạng hiện nay đòi hỏi một hệ thống tổng thể, không chỉ bao gồm công nghệ mà còn cần các cơ chế giám sát 24/24, khả năng phát hiện sớm các cuộc tấn công, cùng với yếu tố con người và quy trình vận hành.

Tuy nhiên, ông Dương cho rằng có một khía cạnh quan trọng mà lâu nay vẫn chưa được nhìn nhận đúng mức, đó là khả năng chống chịu và phục hồi sau sự cố. Trong khi phần lớn tổ chức vẫn tập trung vào phòng thủ, thực tế cho thấy việc tránh hoàn toàn các cuộc tấn công gần như là không thể.

BẢO HIỂM AN NINH MẠNG: CẤU PHẦN THIẾT YẾU TRONG NĂNG LỰC AN NINH MẠNG

“Với an ninh mạng, chúng ta không thể mong là không bị tấn công, mà chỉ có thể mong là khi bị tấn công thì chúng ta chống đỡ như thế nào và đứng dậy ra sao”, ông Nguyễn Tất Hồng Dương nhấn mạnh.

Theo ông, từ góc nhìn này, bảo hiểm an ninh mạng không còn đơn thuần là một sản phẩm tài chính, mà đang dần trở thành một cấu phần thiết yếu trong năng lực an ninh mạng. “Đây chính là yếu tố góp phần bảo đảm “sức sống” và khả năng vận hành liên tục của hệ thống, qua đó củng cố sức mạnh tổng thể của an ninh mạng quốc gia trong một môi trường số ngày càng nhiều bất định”, Tổng Biên tập Tạp chí điện tử An ninh mạng Việt Nam nói.

Ông Yair Bar Touv, thành viên Hội đồng Quản trị và Chủ tịch Ủy ban An ninh mạng tại Clal Insurance Enterprises Holdings, cho biết thị trường bảo hiểm an ninh mạng đang tăng trưởng rất nhanh trên toàn cầu. Ông Yair Bar Touv cho rằng bảo hiểm an ninh mạng là một thị trường đang phát triển nhưng cũng “rất phức tạp”.

Đặc biệt, bảo hiểm an ninh mạng cho doanh nghiệp như ngân hàng, công ty bảo hiểm, bán lẻ hay các tổ chức hạ tầng là một câu chuyện hoàn toàn khác với mức độ phức tạp cao hơn rất nhiều, yêu cầu đánh giá kỹ lưỡng và điều kiện chặt chẽ hơn rất nhiều. Bởi vì, an ninh mạng là một lĩnh vực thay đổi liên tục, các hình thức tấn công ngày càng tinh vi. Vì vậy, khi ký hợp đồng bảo hiểm an ninh mạng, doanh nghiệp phải hiểu rõ phạm vi bảo hiểm.

“Khác với các loại hình bảo hiểm truyền thống dựa trên dữ liệu lịch sử tương đối ổn định, bảo hiểm an ninh mạng phải đối mặt với một môi trường rủi ro luôn biến động. Những gì đúng hôm nay có thể trở nên lỗi thời chỉ sau vài tháng, đặc biệt khi AI đang làm tăng tốc chu kỳ tiến hóa của các phương thức tấn công”, ông Yair Bar Touv cho biết.

THỊ TRƯỜNG ĐANG Ở “TUỔI THIẾU NIÊN”

Theo ông Hà Quốc Nam, đại diện công ty tư vấn bảo hiểm quốc tế Marsh Việt Nam, bảo hiểm an ninh mạng là một “lá chắn” và cũng là phương án dự phòng khi doanh nghiệp bị tấn công. Ông Nam cho rằng: “Vấn đề không còn là doanh nghiệp có bị tấn công hay không, mà là khi nào sẽ bị tấn công. Và khi điều đó xảy ra, câu hỏi lớn nhất của các chủ doanh nghiệp và nhà đầu tư là: doanh nghiệp của mình được bảo vệ đến đâu, có những công cụ gì để ứng phó”.

Ông Nam cũng cho biết bảo hiểm an ninh mạng là một loại hình bảo hiểm còn khá mới, có thể coi như đang ở “tuổi thiếu niên”, trong khi nhiều loại hình bảo hiểm khác đã tồn tại hàng trăm năm. Chính vì còn mới nên sản phẩm này đang liên tục thay đổi và “tiến hóa” theo từng ngày, từng giờ. Lý do là vì các hình thức tấn công mạng cũng liên tục phát triển, với những công cụ mới, phương pháp mới, đặc biệt là ứng dụng AI. Do đó, các điều khoản bảo hiểm cũng phải liên tục cập nhật để theo kịp thực tế.

Tuy vậy, theo ông Yair Bar Touv, về lâu dài, hầu hết các doanh nghiệp có trách nhiệm đều sẽ tìm đến bảo hiểm an ninh mạng. “Trong tương lai, gần như chắc chắn rằng các doanh nghiệp lớn và nghiêm túc sẽ không thể thiếu bảo hiểm an ninh mạng, dù họ cũng hiểu rõ rằng đây không phải là “tấm khiên” toàn diện, mà chỉ là một phần trong chiến lược quản trị rủi ro tổng thể”, ông Yair Bar Touv nói.

Chuyên gia quốc tế cho rằng điều quan trọng là các công ty bảo hiểm uy tín không chỉ đơn thuần bán hợp đồng rồi yêu cầu khách hàng ký.

“Họ sẽ đánh giá rất kỹ năng lực an ninh mạng của doanh nghiệp trước khi nhận bảo hiểm”, ông nói. “Tương tự như khi mua bảo hiểm nhà, công ty bảo hiểm có thể yêu cầu lắp đặt hệ thống báo động, gia cố cửa sổ, nếu không thì phí bảo hiểm sẽ cao hơn. Trong lĩnh vực an ninh mạng cũng vậy. Một doanh nghiệp lớn mua bảo hiểm, công ty bảo hiểm sẽ muốn hiểu rõ doanh nghiệp đó đang làm gì để bảo vệ hệ thống của mình, mức độ an toàn ra sao, có đội ngũ chuyên trách hay không. Chỉ khi họ thấy doanh nghiệp đã có những biện pháp phù hợp, họ mới sẵn sàng cung cấp bảo hiểm”.

Bên cạnh đó, ông Yair Bar Touv cho biết công ty bảo hiểm cũng rất quan tâm đến việc doanh nghiệp có đội ngũ xử lý khủng hoảng hay không. Bởi vì, trong trường hợp xảy ra tấn công, đội ngũ này có thể giúp giảm thiểu thiệt hại đáng kể. Ví dụ, nếu một cuộc tấn công ransomware ban đầu đòi tiền chuộc 5 triệu USD, nhưng nhờ có đội ngũ đàm phán và xử lý khủng hoảng tốt, số tiền có thể được giảm xuống còn 1,5 triệu USD. Trong suốt quá trình này, công ty bảo hiểm luôn theo sát, nắm rõ mọi diễn biến, từ việc doanh nghiệp báo cáo cho nhân viên, cơ quan quản lý, cho đến các bên liên quan.

THAM GIA BẢO HIỂM AN NINH MẠNG, DOANH NGHIỆP SẼ KẾT NỐI CẢ HỆ SINH THÁI

Chuyên gia bảo hiểm của Marsh Việt Nam cho biết trong các hợp đồng bảo hiểm an ninh mạng, phạm vi chi trả không chỉ dừng lại ở việc hỗ trợ doanh nghiệp trả tiền chuộc cho kẻ tấn công. Quan trọng hơn, bảo hiểm còn chi trả cho các chi phí thuê chuyên gia, bao gồm các chuyên gia điều tra số và các công ty tư vấn xử lý khủng hoảng.

Những đơn vị này sẽ đóng vai trò thay mặt doanh nghiệp làm việc trực tiếp với kẻ tấn công, xác định đối tượng đứng sau vụ tấn công, đánh giá mức độ đáng tin cậy của việc trả tiền chuộc, cũng như kiểm tra xem nếu trả tiền thì có thực sự nhận được khóa giải mã hay không, và dữ liệu sau khi được trả lại có bị rò rỉ hay không.

Đại diện Marsh Vietnam cho biết khi tham gia bảo hiểm an ninh mạng, doanh nghiệp không chỉ ký hợp đồng với công ty bảo hiểm, mà thực tế còn được kết nối với một hệ sinh thái các đơn vị chuyên môn cao như các công ty điều tra số, tư vấn khủng hoảng, luật sư… Khi xảy ra sự cố, doanh nghiệp sẽ nhận được sự hỗ trợ chuyên nghiệp từ các bên này.

“Khi tham gia bảo hiểm an ninh mạng, doanh nghiệp không chỉ ký hợp đồng với công ty bảo hiểm, mà thực tế còn được kết nối với một hệ sinh thái các đơn vị chuyên môn cao như các công ty điều tra số, tư vấn khủng hoảng, luật sư… Khi xảy ra sự cố, doanh nghiệp sẽ nhận được sự hỗ trợ chuyên nghiệp từ các bên này”, ông Hà Quốc Nam nói.

Thực tế cho thấy, dù doanh nghiệp có bộ phận IT riêng, nhưng không một tổ chức nào có thể tự mình sở hữu đầy đủ mọi chuyên môn và kinh nghiệm để xử lý tất cả các tình huống tấn công mạng phức tạp.

Ngoài ra, ông Nam cho biết hợp đồng bảo hiểm còn bao gồm nhiều loại chi phí liên quan khác như chi phí kiểm soát dữ liệu, chi phí khôi phục và tái tạo dữ liệu, cũng như chi phí kiểm tra và đảm bảo tính toàn vẹn của dữ liệu sau sự cố. Đây đều là những khoản chi phí thường phát sinh trong quá trình xử lý một sự cố an ninh mạng.

“Bảo hiểm an ninh mạng luôn là một trong những lĩnh vực “nóng” của ngành bảo hiểm, không chỉ tại Việt Nam mà trên toàn cầu”, đại diện Marsh Vietnam nói. Theo ông, chi phí trung bình để xử lý một sự cố an ninh mạng tại Việt Nam hiện vào khoảng 500.000 USD. Đáng chú ý, từ 65% đến 70% tổng chi phí này là dành cho việc thuê các chuyên gia điều tra số và xử lý sự cố, cho thấy vai trò rất lớn của các đơn vị chuyên môn bên ngoài trong quá trình khắc phục.

Theo thống kê của Marsh trong vòng 5 năm trở lại đây, các rủi ro liên quan đến tống tiền qua mạng, đặc biệt là ransomware, là nhóm rủi ro phổ biến và nghiêm trọng nhất, chiếm tới khoảng 70% các sự cố an ninh mạng đang được xử lý hiện nay.

“Tuy vậy, việc thuyết phục doanh nghiệp Việt Nam hiểu về bảo hiểm nói chung đã là một thách thức, nhưng để họ hiểu sâu hơn về bảo hiểm an ninh mạng – một lĩnh vực còn rất mới – thì lại càng khó khăn hơn, đòi hỏi nhiều thời gian và công sức”, ông Hà Quốc Nam nói.