1. Chúng ta có chính sách bảo hiểm an ninh mạng không?
Câu hỏi này nghe có vẻ đơn giản nhưng lại rất quan trọng.
Vì vậy, thông thường trong kinh doanh, giao tiếp trong nội bộ công ty còn chưa tốt. Các chuyên gia an ninh mạng và CNTT của bạn, cũng như các giám đốc điều hành quản lý và giám sát họ, có thể không biết liệu một chính sách như vậy có tồn tại hay không – ngay cả khi họ gửi đơn khiếu nại.
Có giả định rằng một thiệt hại tài sản hiện có hoặc chính sách liên tục kinh doanh sẽ bao gồm một sự cố ngay cả khi chính sách “im lặng” về các vấn đề an ninh mạng. Nếu bạn không biết, các hành vi xâm nhập mạng không được bảo hiểm, bạn có thể phải chịu trách nhiệm thanh toán toàn bộ cho một vụ vi phạm hoặc tấn công – hoặc phải thanh toán chi phí tham gia vào một cuộc chiến tốn kém của tòa án. Theo Báo cáo về Chi phí vi phạm dữ liệu năm 2020, tại Hoa Kỳ, tổng chi phí trung bình của một vụ vi phạm dữ liệu là 8,6 triệu đô la vào năm 2020, cao hơn gấp đôi so với mức trung bình toàn cầu. Chi phí cho việc vi phạm của hơn 50 triệu hồ sơ đã tăng từ mức trung bình 350 triệu USD vào năm 2018 lên 392 triệu USD vào năm 2020.
Năm 2020, 10 cuộc tấn công ransomware lớn nhất khiến nạn nhân tiêu tốn gần 213 triệu USD để điều tra, xây dựng lại mạng và khôi phục bản sao lưu, trả tiền chuộc và áp dụng các biện pháp phòng ngừa để tránh các sự cố trong tương lai. Tệ hơn nữa, các khoản thanh toán ransomware tổng cộng lên tới 7 hoặc 8 con số hiện đang bị tống tiền nhiều lần với nhiều khoản thanh toán xuất phát từ một cuộc tấn công.
2. Ai chịu trách nhiệm giảm thiểu rủi ro mạng bằng bảo hiểm?
Ai chịu trách nhiệm lựa chọn và mua bảo hiểm trách nhiệm an ninh mạng cho công ty của bạn? CIO? CISO? Người quản lý rủi ro của bạn? Tổng Cố Vấn?
Và trong trường hợp xảy ra một cuộc tấn công mạng, công việc gửi yêu cầu bồi thường và theo dõi trong quá trình xử lý là thuộc về ai?
Thiết lập trách nhiệm giải trình giúp xác nhận rằng các nhiệm vụ quản lý và giảm thiểu rủi ro mạng được hoàn thành đúng cách và kịp thời. Trước khi bạn có thể xây dựng chiến lược quản lý rủi ro an ninh mạng – rất quan trọng đối với khả năng hoạt động và khả năng phục hồi kỹ thuật số – bạn nên thiết lập các quy trình và sách lược để sẵn sàng cho sự cố.
3. Chúng ta có đủ số tiền bảo hiểm mạng ảo không?
Các tổ chức cơ sở hạ tầng quan trọng – bao gồm ngân hàng, công ty tiện ích, nhà cung cấp dịch vụ chăm sóc sức khỏe, công ty công nghệ, nhà sản xuất và chính quyền địa phương và nhà nước – là mục tiêu tấn công mạng chính ngày nay và có thể cần phạm vi phủ sóng nhiều hơn các doanh nghiệp như nhà bán lẻ. Thông thường, các mục tiêu ngành này có các yêu cầu về ngành và quy định riêng biệt phải được đáp ứng, điều này thậm chí còn nâng cao hơn nữa.
Nhưng tổ chức của bạn cần bao nhiêu bảo hiểm? Để giúp xác định câu trả lời đúng, bạn cần phải định lượng rủi ro an ninh mạng của mình. Các tổ chức trưởng thành hơn như các tổ chức tài chính đã làm điều này. Nhưng những tổ chức cần nó thường xuyên nhất lại ít phân tích rủi ro của họ nhất. Và các công ty trong các ngành ít được quản lý hơn, bao gồm giáo dục và sản xuất, có xu hướng được bảo hiểm thấp hơn đối với trách nhiệm an ninh mạng.
Đôi khi một sự cố trở thành hồi chuông cảnh tỉnh cho cả một ngành. Sau cuộc tấn công NotPetya làm suy yếu, ngành hàng hải bắt đầu cải thiện an ninh mạng của mình. Việc chia sẻ thông tin về mối đe dọa đã được cải thiện và do đó, các sản phẩm bảo hiểm mạng đã xuất hiện.
Việc định lượng rủi ro ngay bây giờ có thể ngăn ngừa những khó khăn và những tổn thất có thể xảy ra đối với các công ty vừa và nhỏ sau này.
4. Chính sách bảo hiểm bao gồm những gì?
Các loại trừ trong chính sách của bạn là gì?
Tìm hiểu điều đó ngay bây giờ! Đừng đợi cho đến khi hệ thống của bạn bị bắt làm con tin, chỉ để phát hiện ra rằng chính sách bảo hiểm mạng của bạn không bao gồm các khoản thanh toán ransomware.
Hầu hết các chính sách sẽ hoàn lại tiền cho bạn về bảo mật mạng, thuê cố vấn pháp lý và trả tiền cho nhà cung cấp pháp y. Thông thường, họ sẽ trả chi phí khôi phục dữ liệu và đưa hoạt động của bạn trở lại trực tuyến.
Còn chi phí điều tra nguyên nhân gốc rễ thì sao? Điều đó có thể không được bảo hiểm.
Và chi phí thông báo vi phạm như thế nào? Nếu bạn đã bị đánh cắp 100.000 số thẻ tín dụng, chi phí thông báo cho chủ thẻ có thể rất cao.
Chính sách của bạn có bao gồm quan hệ công chúng và truyền thông không? Thông điệp phù hợp có thể rất quan trọng trong việc ngăn ngừa tổn thất danh tiếng và khôi phục thiện chí với các bên liên quan.
Bảo hiểm của bạn có thanh toán chi phí cung cấp dịch vụ giám sát tín dụng và khôi phục ID cho những khách hàng có thông tin nhận dạng cá nhân (PII) bị đánh cắp không?
Nếu bạn bị tấn công bởi ransomware, chính sách của bạn có phải trả chi phí thương lượng với kẻ tấn công và trả tiền chuộc không? Chính sách của bạn có bao gồm việc gián đoạn kinh doanh nghiêm trọng, bao gồm tổn thất do hủy chuyến bay hoặc chuyến hàng bị bỏ lỡ hoặc sản xuất bị trì hoãn không? Một số, nhưng không phải tất cả, sẽ bao gồm phạm vi vi phạm dữ liệu, bồi hoàn chi phí gián đoạn kinh doanh, phòng thủ chống tống tiền mạng, hỗ trợ pháp y và hỗ trợ pháp lý.
Nếu Phương thức tấn công mạng có chủ đích (APT) xâm nhập vào hệ thống của bạn trong một cuộc tấn công cấp quốc gia, liệu bảo hiểm của bạn sẽ tài trợ cho việc khôi phục của bạn hay nó sẽ xóa sự cố như một “sự cố chiến tranh”? (Điều này đã được kiểm tra sau cuộc tấn công NotPetya.) Câu hỏi này không còn là giả thuyết với sự gia tăng dự đoán về mức độ tinh vi của APTs.
Và điều gì sẽ xảy ra nếu tổ chức của bạn bị phạt vì vi phạm
- Quy định bảo vệ dữ liệu chung của Liên minh Châu Âu (GDPR),
- Đạo luật Sarbanes – Oxley năm 2002,
- Quy định về an ninh mạng của NYDFS,
- Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA)
- hoặc một số quy định về quyền riêng tư hoặc an ninh mạng khác? Công ty bảo hiểm của bạn sẽ trả bao nhiêu, nếu có gì?
Lưu ý: Nếu doanh nghiệp của bạn bị tấn công bởi các tác nhân độc hại vì bảo mật của bạn không đủ mạnh, chính sách bảo hiểm của bạn có thể sẽ không trả tiền để bạn củng cố hệ thống của mình để tránh một cuộc tấn công khác. Nhưng điều đó không có nghĩa là bạn không nên đề phòng điều này.
—————————-
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
