Các công ty bảo hiểm trước thách thức an toàn, an ninh mạng

Thách thức an toàn, an ninh mạng

Tại phiên hội thảo chuyên đề trong khuôn khổ Diễn đàn và triển lãm quốc gia Bảo hiểm Việt Nam 2024 - Vietnam Insurance Summit 2024 diễn ra mới đây, các chuyên gia đã chia sẻ góc nhìn toàn diện về bài toán “nóng” trong chuyển đổi số (CĐS) lĩnh vực bảo hiểm, đó là vấn đề an toàn, an ninh mạng.

Ông Lê Hoàng Đương, Giám đốc Trung tâm an toàn và bảo mật thông tin, FPT IS đã đưa ra các con số đáng chú ý theo Báo cáo chi phí xâm phạm dữ liệu năm 2024 của IBM, trong đó hơn 604 tổ chức bị vi phạm dữ liệu, thiệt hại trung bình đối với một vụ xâm phạm dữ liệu vào khoảng 4,88 triệu USD, tăng 10% so với năm 2023.

Những vụ xâm phạm “đắt giá” nhất xảy ra trong lĩnh vực chăm sóc sức khoẻ (9,77% triệu USD), tài chính (6,08 triệu USD), sản xuất công nghiệp (5,56 triệu USD) và công nghệ (5,45 triệu USD). Báo cáo của IBM dựa trên nghiên cứu từ tháng 3/2023 - 2/2024 với hơn 604 tổ chức bị vị phạm dữ liệu trong 17 lĩnh vực kinh doanh khác nhau tại 16 quốc gia, vùng lãnh thổ trên thế giới và thực hiện hơn 3.556 cuộc phỏng vấn với chuyên gia và lãnh đạo cấp cao (C-Level).

Đại diện FPT IS cũng đã chia sẻ thông tin về các vụ xâm phạm dữ liệu trong lĩnh vực bảo hiểm trên toàn cầu trong năm 2023 - 2024. Điển hình là vụ việc Point32Health, công ty bảo hiểm y tế nổi tiếng có trụ sở tại Massachusetts, đã gặp phải một vụ vi phạm dữ liệu nghiêm trọng vào tháng 4/2023, gây ảnh hưởng đến 2,8 triệu cá nhân. Vi phạm này, được cho là do một cuộc tấn công bằng ransomware, đã nhắm mục tiêu vào các hệ thống liên kết với thương hiệu Harvard Pilgrim Health Care của Point32Health.

Ngay trong tháng 1/2024, công ty Washington National Insurance Company đã nộp thông báo về vi phạm dữ liệu sau khi phát hiện ra rằng một viên chức cấp cao đã bị nhắm mục tiêu trong một cuộc tấn công hoán đổi SIM (SIM swapping). Theo Washington National, sự cố này dẫn đến việc một bên không được phép có thể truy cập vào thông tin nhạy cảm của người tiêu dùng, bao gồm tên, số an sinh xã hội, ngày sinh và số hợp đồng bảo hiểm.

Ông Đương cũng đánh giá, năm 2023 - 2024 được gọi là năm tấn công vũ bão vào các các tổ chức, doanh nghiệp (DN) Việt Nam nói chung và công ty bảo hiểm nói riêng. Trong đó phải kể đến sự cố tin tặc tấn công Tổng công ty cổ phần Bảo hiểm Bưu điện (PTI) hồi tháng 3 vừa qua. Đây được nhìn nhận là sự việc nghiêm trọng nhất trong hoạt động của các DN bảo hiểm tại Việt Nam từ trước tới nay.

Ông Bùi Trung Thành, chuyên gia tư vấn giải pháp, Công ty An ninh mạng Viettel, cho biết: Theo báo cáo của Viettel Threat Intelligence, trong quý 1 năm 2024 đơn vị này đã ghi nhận nhiều chiến dịch tấn công mã độc ransomware có chủ đích nhắm vào các hệ thống của DN, tổ chức tại Việt Nam, tăng 70% so với cùng kỳ năm 2023. Tính riêng trong năm 2024 đến nay, 12.625 tài khoản lộ lọt liên quan đến các công ty bảo hiểm, 19/30 công ty bảo hiểm phi nhân thọ có tài khoản lộ lọt.

Trong lĩnh vực bảo hiểm, dữ liệu quan trọng nhất chính là thông tin khách hàng. Đây cũng là đích ngắm của tin tặc, nhắm tới DN nói chung và lĩnh vực bảo hiểm nói riêng. Các sự việc trên cho thấy công tác đảm bảo an toàn thông tin (ATTT) càng trở nên cấp thiết hơn bao giờ hết đối với các ngành nghề, đặc biệt là ngành tài chính - ngân hàng - bảo hiểm.

Tháo gỡ bài toán “nóng” về ATTT trong lĩnh vực bảo hiểm

Theo ông Bùi Trung Thành, các rủi ro đối với công ty bảo hiểm đến từ 4 yếu tố, đó là: Các hệ thống ứng dụng công khai tới người dùng cuối, đối tác và cộng tác viên (CTV) bán bảo hiểm; đội ngũ nhân sự chưa được đào tạo bài bản về nhận thức ATTT, bao gồm cả các nhân sự CTV; thiếu hụt nhân sự chuyên môn cao về ATTT để phát hiện sớm và ngăn chặn kịp thời các cuộc tấn công có chủ đích (APT); chưa có chiến lược đảm bảo ATTT toàn diện cho tổ chức, DN.

Các mối đe doạ chính đối với các công ty bảo hiểm bao gồm: tấn công ransomware; tấn công DDoS; tấn công phi kỹ thuật (social engineering); xâm phạm dữ liệu và tấn công chuỗi cung ứng.

Khác với thế giới thực, theo ông Thành, trên không gian mạng rất khó thực thi pháp luật do xuyên biên giới, khó truy vết… Vì vậy, cần nâng cao nhận thức ATTT cho các tổ chức. Tuy nhiên, các đơn vị này gặp rất nhiều thách thức: Thiếu hụt nhân sự ATTT; Chi phí, ngân sách lớn; Hiệu quả trong vận hành khi mà một hệ thống ATTT phải đảm bảo 24/7; Khả năng đối phó sự cố, ngăn được tấn công trên diện rộng. Vì vậy, để đối phó với các tội phạm tấn công có tổ chức, cần xoá bỏ sự bất đối xứng về năng lực ATTT, khi mà đối thủ có nguồn lực lớn và chuyên sâu về ATTT, khả năng kiểm soát luật pháp trên không gian mạng không dễ dàng, DN không chuyên sâu về ATTT.

Để giải quyết bài toán này, theo đại diện công ty An ninh mạng Viettel, các tổ chức, DN cần hợp tác và đồng hành với đối tác về ATTT. Cụ thể, tổ chức, DN cần tìm đến các DN cung cấp các giải pháp ATTT có thể đồng hành cùng mình giải quyết các vấn đề, hiểu rõ về tổ chức, DN, giàu tri thức và năng lực, cũng như tính cam kết và chi phí hiệu quả khi triển khai.

Từ đó, ông Thành đã giới thiệu chương trình Cybersecurity Maturity Program của Viettel Security khi có thể: Quản trị đo đạc mức độ trưởng thành và tư vấn; Tích hợp công nghệ bảo mật trên nền tảng chung; Cung cấp sản phẩm và dịch vụ chuyên nghiệp theo chi phí tối ưu; Tuyển dụng và đào tạo: Ứng cứu sự cố heo dõi thông tin tình báo liên quan đến tổ chức. Mục đích của Viettel khi ra mắt chương trình này là giúp các tổ chức cân bằng với các tội phạm có tổ chức. Bởi vì, bên cạnh nỗ lực của bản thân DN, khi có đối tác đồng hành thì sẽ giải quyết được triệt để bài toán về ATTT.

Trong khi đó, với vai trò đối tác công nghệ, đại diện FPT IS kiến nghị lộ trình tiêu chuẩn, các vấn đề trọng tâm cần ưu tiên như vấn đề sao lưu dữ liệu để các DN có thể đặt ra kế hoạch phòng thủ phù hợp.

Ông Đương giới thiệu bộ giải pháp và dịch vụ bảo mật toàn diện mà FPT IS đang cung cấp: Thứ nhất là nhóm giải pháp nâng cao năng lực phòng vệ bằng việc đánh giá mức độ trưởng thành và tư vấn lộ trình giải pháp ATTT theo phân kỳ đầu tư, phù hợp nguồn lực, tài chính, thực trạng ATTT của DN; Thứ hai là nhóm giải pháp giúp chủ động phát hiện và xử lý rủi ro ATTT kịp thời; Thứ ba là nhóm giải pháp đảm bảo tuân thủ rủi ro đạt chuẩn quốc tế; Thứ tư là nhóm giải pháp giúp quản trị trong toàn bộ vòng đời dữ liệu; Cuối cùng là các giải pháp đào tạo và nâng cao nhận thức của con người./.