Vì sao mọi doanh nghiệp cần bảo hiểm an ninh mạng?

Chuyển đổi số là xu hướng tất yếu của mọi doanh nghiệp trong thời đại ngày nay, khi mà thương mại  điện tử, giao dịch trực tuyến và làm việc từ xa ttrở  thành  điều kiện bắt buộc để tồn tại và phát triển, đặc biệt là khi chúng ta phải sống chung với Covid. Chính vì vậy mà không gian mạng cũng sẽ là nơi tiềm ẩn nhiều rủi ro hơn bao giờ hết mà các nhà lãnh đạo và quản lý cấp cao phải cân nhắc các  giải pháp kiểm soát  và giảm thiểu rủi ro cho tổ chức của mình.

Những rủi ro đặt ra trong thế giới kỹ thuật số ngày nay có nghĩa là một sự kiện mạng có nhiều khả năng gây ra tổn hại nghiêm trọng cho doanh nghiệp của bạn hơn bất kỳ sự kiện thực tế nào khác.

Theo PWS  Global  Risk, các  hình thức bảo hiểm truyền  thống thường  được mua cho những tổn thất phát sinh do thiệt hại tài sản hoặc thương tật cá nhân. Những gì ngành bảo hiểm đã làm trong nhiều năm qua là cung cấp cho chúng ta một phương pháp chuyển rủi ro rất hiệu quả. Tuy nhiên, chính sách bảo hiểm này không thể  bảo vệ tổ chức khi xem xét các rủi ro do thời đại kỹ thuật số gây ra.

Bảo hiểm tổn thất của bạn do các  sự kiện mạng đòi hỏi một giải pháp bảo hiểm chuyên biệt. Chính vì lẽ  đó mà Bảo hiểm an ninh mạng ra đời và phát triển nhanh chóng và mọi tổ chức có hoạt động kỹ thuật số đều phải trở nên quen thuộc

Phân loại rủi ro

Để hiểu cơ chế của chương trình Bảo hiểm An  Ninh Mạng, chúng ta cần chia rủi ro thành bốn loại:

Tổn thất của Bên thứ nhất

Tổn thất hoặc thiệt hại  mà doanh nghiệp của bạn phải gánh chịu do lỗi mạng hoặc vi phạm dữ liệu dẫn đến tổn thất tài chính hoặc trách nhiệm pháp lý đối với bên thứ ba

Quy định bảo vệ quyền riêng tư, Giải thưởng & Tiền phạt

Các cơ quan quản lý trên toàn thế giới có quyền hạn quy định tổ chức phải chịu trách nhiệm về cách họ lưu trữ dữ liệu cá nhân.

Tổn thất của bên thứ ba

Các khiếu nại do một bên thứ ba đưa ra chống lại tổ chức của bạn bởi những gì được định nghĩa là “hành động sai trái” có thể bao gồm lỗi, hành vi, thiếu sót, bỏ bê hoặc vi phạm nghĩa vụ dẫn đến trách nhiệm pháp lý đối với bên thứ ba.

Trách nhiệm pháp lý chuyên môn

Phạm vi bảo hiểm dựa trên sơ suất tùy chọn cho các chuyên gia CNTT

Bảo hiểm an ninh mạng được thiết kế để cung cấp cho các tổ chức thông tin và kiến ​​thức chuyên môn liên quan đến tấn công mạng, đồng thời;
  • Giúp thu hồi doanh thu và thanh toán các chi phí pháp lý liên quan đến một sự cố;
  • Giiúp doanh nghiệp giảm thiểu sự gián đoạn của CNTT bị vô hiệu hóa.
  • Giúp thanh toán chi phí phạt và tiền phạt do các tổ chức công / tư thu hoặc chi phí điều tra liên quan đến các khoản phạt và hình phạt đó.

Câu hỏi này nghe có vẻ đơn giản nhưng lại rất quan trọng.

Vì vậy, thông thường trong kinh doanh, giao tiếp trong nội bộ công ty còn chưa tốt. Các chuyên gia an ninh mạng và CNTT của bạn, cũng như các giám đốc điều hành quản lý và giám sát họ, có thể không biết liệu một chính sách như vậy có tồn tại hay không – ngay cả khi họ gửi đơn khiếu nại.

Thông thường, có giả định rằng một thiệt hại tài sản hiện có hoặc chính sách liên tục kinh doanh sẽ bao gồm một sự cố ngay cả khi chính sách “im lặng” về các vấn đề an ninh mạng. Nếu bạn không biết, các hành vi xâm nhập mạng không được bảo hiểm, bạn có thể phải chịu trách nhiệm thanh  toán toàn bộ cho một vụ vi phạm hoặc tấn công – hoặc phải thanh toán chi phí tham gia vào một cuộc chiến tốn kém của tòa án. Theo Báo cáo về Chi phí vi phạm dữ liệu năm 2020, tại Hoa Kỳ, tổng chi phí trung bình của một vụ vi phạm dữ liệu là 8,6 triệu đô la vào năm 2020, cao hơn gấp đôi so với mức trung bình toàn cầu. Chi phí cho việc vi phạm của hơn 50 triệu hồ sơ đã tăng từ mức trung bình 350 triệu USD vào năm 2018 lên 392 triệu USD vào năm 2020.

Năm 2020, 10 cuộc tấn công ransomware lớn nhất khiến nạn nhân tiêu tốn gần 213 triệu USD để điều tra, xây dựng lại mạng và khôi phục bản sao lưu, trả tiền chuộc và áp dụng các biện pháp phòng ngừa để tránh các sự cố trong tương lai. Tệ hơn nữa, các khoản thanh toán ransomware tổng cộng lên tới 7 hoặc 8 con số hiện đang bị tống tiền nhiều lần với nhiều khoản thanh toán xuất phát từ một cuộc tấn công.

2. Ai chịu trách nhiệm giảm thiểu rủi ro mạng bằng bảo hiểm?

Ai chịu trách nhiệm lựa chọn và mua bảo hiểm trách nhiệm an ninh mạng cho công ty của bạn? CIO? CISO? Người quản lý rủi ro của bạn? Tổng Cố Vấn?

Và trong trường hợp xảy ra một cuộc tấn công mạng, công việc gửi yêu cầu bồi thường và theo dõi trong quá trình xử lý là thuộc về ai?

Thiết lập trách nhiệm giải trình giúp xác nhận rằng các nhiệm vụ quản lý và giảm thiểu rủi ro mạng được hoàn thành đúng cách và kịp thời. Trước khi bạn có thể xây dựng chiến lược quản lý rủi ro an ninh mạng – rất quan trọng đối với khả năng hoạt động và khả năng phục hồi kỹ thuật số – bạn nên thiết lập các quy trình và sách lược để sẵn sàng cho sự cố.

3. Chúng ta có đủ số tiền bảo hiểm mạng ảo không?

Các tổ chức cơ sở hạ tầng quan trọng – bao gồm ngân hàng, công ty tiện ích, nhà cung cấp dịch vụ chăm sóc sức khỏe, công ty công nghệ, nhà sản xuất và chính quyền địa phương và nhà nước – là mục tiêu tấn công mạng chính ngày nay và có thể cần phạm vi phủ sóng nhiều hơn các doanh nghiệp như nhà bán lẻ. Thông thường, các mục tiêu ngành này có các yêu cầu về ngành và quy định riêng biệt phải được đáp ứng, điều này thậm chí còn nâng cao hơn nữa.

Nhưng tổ chức của bạn cần bao nhiêu bảo hiểm?

Để giúp xác định câu trả lời đúng, bạn cần phải định lượng rủi ro an ninh mạng của mình. Các tổ chức trưởng thành hơn như các tổ chức tài chính đã làm điều này. Nhưng những tổ chức cần nó thường xuyên nhất lại ít phân tích rủi ro của họ nhất. Và các công ty trong các ngành ít được quản lý hơn, bao gồm giáo dục và sản xuất, có xu hướng được bảo hiểm thấp hơn đối với trách nhiệm an ninh mạng.

Đôi khi một sự cố trở thành hồi chuông cảnh tỉnh cho cả một ngành. Sau cuộc tấn công NotPetya làm suy yếu, ngành hàng hải bắt đầu cải thiện an ninh mạng của mình. Việc chia sẻ thông tin về mối đe dọa đã được cải thiện và do đó, các sản phẩm bảo hiểm mạng đã xuất hiện.

Việc định lượng rủi ro ngay bây giờ có thể ngăn ngừa những khó khăn và những tổn thất có thể xảy ra đối với các công ty vừa và nhỏ sau này.

4. Chính sách bảo hiểm bao gồm những gì?

Các loại trừ trong chính sách của bạn là gì? 

Tìm hiểu điều đó ngay bây giờ! Đừng đợi cho đến khi hệ thống của bạn bị bắt làm con tin, chỉ để phát hiện ra rằng chính sách bảo hiểm mạng của bạn không bao gồm các khoản thanh toán ransomware.

Hầu hết các chính sách sẽ hoàn lại tiền cho bạn về bảo mật mạng, thuê cố vấn pháp lý và trả tiền cho nhà cung cấp pháp y. Thông thường, họ sẽ trả chi phí khôi phục dữ liệu và đưa hoạt động của bạn trở lại trực tuyến.

Còn chi phí điều tra nguyên nhân gốc rễ thì sao? Điều đó có thể không được bảo hiểm.

Và chi phí thông báo vi phạm như thế nào? Nếu bạn đã bị đánh cắp 100.000 số thẻ tín dụng, chi phí thông báo cho chủ thẻ có thể rất cao.

Chính sách của bạn có bao gồm quan hệ công chúng và truyền thông không? Thông điệp phù hợp có thể rất quan trọng trong việc ngăn ngừa tổn thất danh tiếng và khôi phục thiện chí với các bên liên quan.

Bảo hiểm của bạn có thanh toán chi phí cung cấp dịch vụ giám sát tín dụng và khôi phục ID cho những khách hàng có thông tin nhận dạng cá nhân (PII) bị đánh cắp không?

Nếu bạn bị tấn công bởi ransomware, chính sách của bạn có phải trả chi phí thương lượng với kẻ tấn công và trả tiền chuộc không? Chính sách của bạn có bao gồm việc gián đoạn kinh doanh nghiêm trọng, bao gồm tổn thất do hủy chuyến bay hoặc chuyến hàng bị bỏ lỡ hoặc sản xuất bị trì hoãn không? Một số, nhưng không phải tất cả, sẽ bao gồm phạm vi vi phạm dữ liệu, bồi hoàn chi phí gián đoạn kinh doanh, phòng thủ chống tống tiền mạng, hỗ trợ pháp y và hỗ trợ pháp lý.

Nếu Phương thức tấn công mạng có chủ đích (APT) xâm nhập vào hệ thống của bạn trong một cuộc tấn công cấp quốc gia, liệu bảo hiểm của bạn sẽ tài trợ cho việc khôi phục của bạn hay nó sẽ xóa sự cố như một “sự cố chiến tranh”? (Điều này đã được kiểm tra sau cuộc tấn công NotPetya.) Câu hỏi này không còn là giả thuyết với sự gia tăng dự đoán về mức độ tinh vi của APTs.

Và điều gì sẽ xảy ra nếu tổ chức của bạn bị phạt vì vi phạm

  • Quy định bảo vệ dữ liệu chung của Liên minh Châu  Âu (GDPR),
  • Đạo luật Sarbanes – Oxley năm 2002,
  • Quy định về an ninh mạng của NYDFS,
  • Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA)
  • hoặc một số quy định về quyền riêng tư hoặc an ninh mạng khác? Công ty bảo hiểm của bạn sẽ trả bao nhiêu, nếu có gì?

Lưu ý: Nếu doanh nghiệp của bạn bị tấn công bởi các tác nhân độc hại vì bảo mật của bạn không đủ mạnh, chính sách bảo hiểm của bạn có thể sẽ không trả tiền để bạn củng cố hệ thống của mình để tránh một cuộc tấn công khác. Nhưng điều đó không có nghĩa là bạn không nên đề phòng điều này.

5. Nhà cung cấp bảo hiểm có hiểu về lĩnh vực và rủi ro của ngành này không?

Các công ty bảo hiểm đã quen với việc ứng phó với thiên tai, bạo loạn ở nước ngoài, vỡ nợ và các rủi ro và mối đe dọa khác. Tuy nhiên, họ có thể không hiểu đầy đủ các mối đe dọa do lừa đảo, kỹ thuật xã hội và phần mềm độc hại gây ra và những mối nguy hiểm mà chúng gây ra cho doanh nghiệp của bạn.

Các nhà cung cấp bảo hiểm có nắm bắt được các yêu cầu về quyền riêng tư và bảo mật mà HIPAA áp đặt đối với ngành chăm sóc sức khỏe, cũng như những lo ngại về quyền riêng tư và bảo mật do quy định thúc đẩy chia sẻ dữ liệu cá nhân không? Họ có hiểu tầm quan trọng của FFIEC (Hội đồng kiểm tra các tổ chức tài chính liên bang) hoặc hướng dẫn của Ngân hàng Anh về khả năng phục hồi hoạt động và kỹ thuật số trong các dịch vụ tài chính không?

6. Chính sách của chúng tôi có đủ linh hoạt để thích ứng khi doanh nghiệp phát triển không?

Chính sách trách nhiệm pháp lý về an ninh mạng của bạn phải đủ linh hoạt để thích ứng với các chiến thuật của những kẻ xấu. Điều này cũng sẽ cho phép tổ chức của bạn thích nghi và thay đổi khi nhu cầu kinh doanh và công nghệ phát triển mà không cần phải bổ sung chính sách.

Đồng thời, nhóm của bạn nên chủ động xem xét chính sách mạng mỗi khi được gia hạn. Nếu bạn cảm thấy không được trang bị để xác định liệu chính sách của mình có đủ hay không, hãy tìm trợ giúp – từ nhóm nội bộ, cố vấn pháp lý bên ngoài hoặc nhà tư vấn có kinh nghiệm và đủ điều kiện.

7. Trách nhiệm pháp lý mạng ảo và Bảo hiểm trách nhiệm của Giám đốc và Nhân viên?

Đã có 1.500 vụ vi phạm dữ liệu trong năm 2015. Đã có một số sự cố vi phạm nổi tiếng gần đây và dẫn đến các khiếu nại của Giám đốc và Nhân viên (D&O) trong những năm gần đây. Một điều đáng chú ý nhất là Home Depot đã báo cáo một vụ vi phạm lớn về thông tin thẻ tín dụng bắt nguồn từ một vụ đột nhập được báo cáo vào tháng 4 năm 2014, năm tháng trước khi vụ việc được công khai. Target Corporation và Wyndham Worldwide cũng là một trong những công ty nổi tiếng hơn về các loại vi phạm này.

Có một số nguồn tuyên bố sau sự cố mạng, bao gồm khách hàng, cổ đông, cơ quan quản lý và các bên thứ ba khác như các tổ chức tài chính.

Các khiếu nại của D&O phát sinh từ một sự cố mạng có thể xuất phát từ các cáo buộc bao gồm vi phạm nghĩa vụ ủy thác, lãng phí tài sản của công ty, âm mưu và trợ giúp và tiếp tay. Các bị cáo được nêu tên có thể bao gồm CEO, CIO và các giám đốc khác nhau.

Các tuyên bố phái sinh cũng có thể phát sinh từ một sự cố mạng. Hành động phái sinh là một vụ kiện do một cổ đông của công ty khởi kiện chống lại các giám đốc, cán bộ và ban quản lý của công ty vì sự thất bại của ban lãnh đạo. Các khoản thanh toán này thường không thể bồi thường, tuân theo luật của từng tiểu bang.

Chương trình bảo hiểm D&O có thể cung cấp bảo hiểm cho các Giám đốc và Nhân viên cá nhân và cung cấp bảo hiểm cho công ty. Các chính sách này có thể cung cấp các loại trừ tiền phạt và hình phạt trong Định nghĩa tổn thất cũng như loại trừ Thương tật / Thiệt hại Tài sản và loại trừ Dịch vụ Chuyên nghiệp.

Các công ty bảo hiểm hiện đang ngày càng đặt ra nhiều câu hỏi về an ninh mạng và vi phạm mạng như một phần của quy trình bảo lãnh phát hành của D&O và các công ty bảo hiểm cũng đang bắt đầu đánh giá tổng hợp các giới hạn giữa các chính sách D&O và Cyber.

Các nhà quản lý rủi ro hiện đang đóng vai trò ngày càng tăng trong việc xác định các rủi ro mạng liên quan đến các cân nhắc quan trọng của hội đồng quản trị và đội ngũ quản lý. Họ cần hiểu các chính sách về Cyber và D&O và xác định các điểm trùng lặp chung giữa chúng. Điều quan trọng là phải theo kịp các xu hướng rủi ro mạng và tác động của chúng đối với phạm vi bảo hiểm của D&O.

Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »