#BảoHiểmMạng #AnNinhMạng #RủiRoMạng #ChiếnTranhMạng
Bảo hiểm mạng là một phần rất quan trọng trong cả chiến tranh và hòa bình. Tuy nhiên, phát triển của nó đang phải đối mặt với nhiều thách thức mới, nhất là với các cuộc tấn công mạng với quy mô và tầm ảnh hưởng ngày càng lớn. Trong thời gian gần đây, xung đột Nga-Ukraine đã làm gia tăng lo lắng về an ninh mạng. Vì thế, bảo hiểm mạng là một lựa chọn giảm thiểu mức độ thiệt hại cho các công ty trong trường hợp có vi phạm bảo mật kỹ thuật số.
Tuy nhiên, việc phát triển bảo hiểm mạng cũng đang gặp nhiều khó khăn, nhất là trong việc quản lý rủi ro của nó. Một quyết định của tòa án gần đây đã tạo ra nhiều tranh cãi trong các công ty bảo hiểm mạng liên quan đến chi phí thiệt hại trong trường hợp cuộc tấn công bằng phần mềm độc hại NotPetya năm 2017. Các công ty bảo hiểm lớn bây giờ phải thay đổi các điều kiện bảo hiểm chính sách liên quan đến thiệt hại trên mạng càng sớm càng tốt.
Sự phát triển của các cuộc tấn công mạng ngày càng phức tạp và tầm ảnh hưởng của chúng ngày càng lớn. Điều này đòi hỏi sự chú ý của các nhà điều hành và nâng cao nhận thức về mối quan tâm và danh sách kiểm tra về mạng của phòng họp ngày càng mở rộng. Cụ thể, CIO, CFO và cố vấn pháp lý cần phân tích kỹ lưỡng và đánh giá các chính sách bảo hiểm mạng để đảm bảo rằng họ không nhận được bảo hiểm ít hơn đáng kể.
Để chuẩn bị cho các truy vấn bảo hiểm mạng không thể tránh khỏi, CIO nên theo dõi cách các quy trình an ninh mạng, kiểm tra kiểm soát và phản hồi vi phạm tuân thủ các nguyên tắc bên ngoài. Ngoài ra, CIO cần đánh giá mức độ đầy đủ của bảo hiểm và tiến hành các đánh giá định kỳ để theo dõi những thay đổi về phạm vi bảo hiểm, kiểm tra các lựa chọn thay thế và khai thác chuyên môn bên ngoài.
Sự phát triển của bảo hiểm mạng đang đối mặt với nhiều thách thức mới, nhằm đáp ứng yêu cầu của các cuộc tấn công mạng ngày càng phức tạp hơn. Do đó, các công ty bảo hiểm phải nâng cao nhận thức về mối quan tâm và danh sách kiểm tra về mạng của phòng h
Nguồn: https://readwrite.com/cyber-insurance-is-important-in-both-war-and-peace/
Bản in đẹp mới trong bảo hiểm mạng thời chiến đã gây khó khăn cho công việc. Ban giám đốc có hiểu không? KHÔNG!
Bảo hiểm mạng chỉ là một phần của câu đố fintech liên quan đến quản lý rủi ro.
Xung đột Nga-Ukraine làm gia tăng lo lắng về an ninh mạng. Bảo hiểm là một lựa chọn giảm thiểu tiêu chuẩn chống lại các thiệt hại liên quan đến vi phạm khi các công ty tranh chấp nội bộ về mức độ bảo mật kỹ thuật số của họ. Tuy nhiên, nhiều người mua bảo hiểm ngạc nhiên khi biết rằng một quyết định của tòa án gần đây có thể làm suy yếu các đơn kiện chiến tranh mạng.
Merck đã đưa ra phán quyết chống lại một công ty bảo hiểm nổi tiếng, Bảo hiểm Ace, vào tháng 1 năm 2022 liên quan đến cuộc tấn công bằng phần mềm độc hại NotPetya năm 2017. Đó là 1,4 tỷ đô la, đã phá hủy 40.000 hệ thống của công ty. Ace đã bác bỏ tuyên bố của Merck vì các nhà bảo lãnh hiếm khi che đậy phần mềm tống tiền như một loại trừ “hành động chiến tranh”. Tòa án đã quyết định chống lại Ace, khiến các công ty bảo hiểm lớn phải thay đổi các điều kiện bảo hiểm chính sách liên quan đến thiệt hại trên mạng càng sớm càng tốt.
Phạm vi bảo hiểm hạn chế và rủi ro mạng gia tăng làm tăng rủi ro tài chính, điều hiếm khi phù hợp với hội đồng quản trị. BẰNG trách nhiệm pháp lý phát triển, CIO, CFO và cố vấn pháp lý phải phân tích bảo hiểm mạng — hoặc có nguy cơ nhận được bảo hiểm ít hơn đáng kể so với dự kiến.
Thay đổi rủi ro
Phần mềm độc hại, chẳng hạn như NotPetya, thường lan rộng ra ngoài các mục tiêu dự định của nó. Khi các nạn nhân trên mạng tìm kiếm sự bồi thường, đôi khi rất khó để xác định và kiện những kẻ phạm tội. Đây là một động lực quan trọng của nhu cầu và chi phí bảo hiểm mạng.
Theo Reed Smith, trường hợp của Merck sẽ là một lời cảnh báo cho các chủ hợp đồng trên thị trường về bảo hiểm mới hoặc gia hạn trong tương lai. Các công ty bảo hiểm đã phải gánh chịu những tổn thất tài chính đáng kể do hack yêu sách. Các nhà bảo lãnh mong muốn tiếp tục phân tích và xem xét kỹ lưỡng từ ngữ chính sách với sự nhiệt tình mới. Nó không mất nhiều thời gian cả.
Hội đồng Kinh doanh Mạng của Hiệp hội Thị trường Lloyd’s (LMA) đã ban hành bốn điều khoản loại trừ chính sách bảo hiểm mạng giúp mở rộng đáng kể khả năng bảo vệ của các công ty bảo hiểm trước “các hoạt động mạng” do chính phủ hoặc đại lý khởi xướng. Những từ đang phát triển này tương ứng với các tiền lệ pháp lý mới trong bảo hiểm an ninh mạng.
Trường hợp Merck cho thấy những nguy cơ khủng bố/chiến tranh mạng mới thử thách cách hiểu cũ về chiến tranh trong luật pháp như thế nào. Chaim Saiman đã nói như vậy. Ông là giáo sư luật tại Trường Luật Charles Widger thuộc Đại học Villanova. Đồng thời, các công ty bảo hiểm khẳng định rằng chính sách này không bao gồm các hoạt động ‘thù địch hoặc hiếu chiến’. Các loại hoạt động này theo truyền thống là hành động của chính phủ hoặc cơ quan có chủ quyền sử dụng lực lượng quân sự — không phải tấn công mạng.
Luật án lệ bảo hiểm hỗ trợ một khái niệm về chiến tranh lấy từ luật quốc tế. Saiman nhận xét rằng điều đó hơi hẹp hơn so với việc sử dụng thông thường trong các tình huống báo chí và chính trị. Các tòa án loại trừ các cuộc tấn công mạng vì họ dự đoán một cuộc chiến nổ súng. Hơn nữa, các tòa án nhấn mạnh rằng nó chỉ áp dụng cho thiệt hại gây ra trong hoặc xung quanh khu vực giao tranh. Điều này làm cho nó trở thành một trận đấu khó khăn cho chiến tranh mạng.
Do đó, các nhà cung cấp dịch vụ sẽ tiếp tục làm việc để loại trừ hoàn toàn phạm vi bảo hiểm mạng khỏi các chính sách trách nhiệm pháp lý và thương vong do vấn đề tiêu chuẩn. Họ sẽ chuyển những rủi ro này sang các chính sách được thiết kế đặc biệt. Theo Saiman, các chính sách đặc biệt này có giá cả, giới hạn, ngôn ngữ và các loại trừ đối với sự phức tạp do rủi ro mạng gây ra.
Với những nguy cơ địa chính trị gia tăng và sự phụ thuộc vào công nghệ, điều này đòi hỏi sự chú ý của các nhà điều hành.
Theo đó, các mối quan tâm và danh sách kiểm tra về mạng của phòng họp ngày càng mở rộng. Dưới đây là ba bước thực tế mà CIO có thể thực hiện để chuẩn bị cho các truy vấn bảo hiểm mạng không thể tránh khỏi.
Đầu tiên,
CIO, CFO và cố vấn doanh nghiệp nên kiểm tra chính xác các chính sách bảo hiểm mạng một cách kịp thời và định kỳ trong tương lai. Do đó, những đánh giá định kỳ này sẽ ghi lại những thay đổi về phạm vi bảo hiểm. Điều đó có nghĩa là, họ nên đánh giá mức độ đầy đủ của bảo hiểm, kiểm tra các lựa chọn thay thế và khai thác chuyên môn bên ngoài. Thật vậy, tiến hành đánh giá các thay đổi bằng cách sử dụng một khuôn khổ được phát triển với sự hỗ trợ của hội đồng quản trị.
Theo Reed Smith, quyết định của Merck V. Ace sẽ khuyến khích các chủ hợp đồng làm việc với các nhà môi giới đáng tin cậy. Ông nói rằng các chuyên gia quản lý rủi ro và cố vấn bảo hiểm nên đánh giá ngôn ngữ chính sách. Thật vậy, loại trừ ‘hành động chiến tranh’ là một trong nhiều điều khoản thu hút sự xem xét kỹ lưỡng từ ngành bảo hiểm.
Thứ hai,
CIO nên theo dõi cách các quy trình an ninh mạng, kiểm tra kiểm soát và phản hồi vi phạm tuân thủ các nguyên tắc bên ngoài. Ngoài ra, hãy theo dõi các đánh giá mà một nguồn đáng tin cậy xây dựng. Điều đó có nghĩa là, các tổ chức như Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST). Hồ sơ này sẽ giáo dục hội đồng quản trị, hướng dẫn các quy tắc và quy trình của tổ chức CNTT, đồng thời đẩy nhanh các cuộc kiểm toán công nghệ hàng năm.
Đáng chú ý, những hồ sơ như vậy cung cấp cho các công ty bảo hiểm và tòa án bằng chứng về những nỗ lực hợp lý thường được yêu cầu để nhận được bảo hiểm và nộp đơn yêu cầu bồi thường. Ví dụ, Chubb cung cấp cho các chủ hợp đồng thời gian gia hạn 45 ngày để sửa chữa các lỗi bảo mật phần mềm—những lỗi này được công nhận là “các lỗ hổng và nguy cơ phổ biến” trong cơ sở dữ liệu của NIST.
Đáng chú ý, xác nhận khai thác phần mềm bị bỏ quên của Chubb nêu rõ rằng sau thời gian gia hạn 45 ngày, chia sẻ rủi ro sẽ chuyển dần cho bên mua bảo hiểm. Sự thay đổi xảy ra nếu họ không khắc phục lỗ hổng của mình. Uy tín của CIO trong các Vụ kiện sẽ bị xói mòn nếu CNTT không đạt được mức bảo hiểm hợp lý tối thiểu như vậy.
Cuối cùng, Ủy ban Chứng khoán và Giao dịch dần dần yêu cầu cải thiện việc tiết lộ an ninh mạng của công ty. Giám đốc tài chính, ủy ban kiểm toán và cơ quan quản lý sẽ phụ thuộc rất nhiều vào thông tin đầu vào, dữ liệu và ý kiến của CIO về các biện pháp kiểm soát không gian mạng, phương pháp ứng phó vi phạm và khả năng tiếp xúc trong năm tới. Các đánh giá về bảo hiểm mạng chắc chắn sẽ rất quan trọng đối với việc tiết lộ và báo cáo trong tương lai.
Không có mạng lưới an toàn. Chưa.
Tỷ lệ bảo hiểm mạng đang tăng với tốc độ chưa từng thấy — do các mối nguy hiểm kỹ thuật số ngày càng leo thang. Thật không may, khi các biện pháp bảo vệ không gian mạng thất bại, nhiều người được bảo hiểm có thể phát hiện ra rằng họ có phạm vi bảo hiểm yếu và buộc phải tham gia vào các cuộc chiến pháp lý tốn kém và vô ích. Đó là một lỗ hổng an ninh mạng đáng kể mà không hội đồng quản trị nào có thể đáp ứng được. Ai sẽ đọc bản in nhỏ trước khi quá muộn?
Tín dụng hình ảnh nổi bật: Pexels; Cảm ơn!
Brad Anderson
Tổng biên tập tại ReadWrite
Brad là biên tập viên giám sát nội dung đóng góp tại ReadWrite.com. Trước đây anh ấy từng là biên tập viên tại PayPal và Crunchbase. Bạn có thể liên hệ với anh ấy tại brad tại readwrite.com.
