Tấn công mạng gia tăng, các hãng bảo hiểm thay đổi chính sách bảo hiểm ATTTM

Chi phí đền bù bảo hiểm ATTTM tăng vọt

Các nhóm tội phạm phân phối mã độc ransomware là một trong những kẻ giành chiến thắng lớn nhờ đại dịch COVID-19. Loại virus mới đã mang lại cho chúng cơ hội tấn công các công ty và chuỗi cung ứng, một phần không nhỏ do nhân viên mang công việc về nhà mà không có đủ biện pháp bảo vệ số. Đầu tuần này, Trung tâm An ninh mạng Quốc gia của Vương quốc Anh (NCSC) cho biết họ đã ghi nhận và được đề nghị hỗ trợ cho 777 sự cố mạng trong năm nay, tăng từ 723 sự cố vào năm 2020. 

Theo công ty nghiên cứu Cybersecurity Ventures, tổn thất chi phí do tấn công ransomware dự kiến sẽ là 265 tỷ USD vào năm 2031, "cứ sau mỗi 2 giây" lại có một cuộc tấn công mới xảy ra, khi những kẻ phát triển mã độc ransomware tăng khả năng tinh chỉnh khối lượng phần mềm độc hại và các hoạt động tống tiền liên quan. 

Một báo cáo vào tháng 10 của Mỹ cũng cho thấy các cuộc tấn công bằng ransomware đã nhắm vào 64% công ty. Bảo hiểm an ninh mạng cũng là một phần của chương trình nghị sự tại hội nghị thượng đỉnh với sự tham dự của lãnh đạo các công ty công nghệ, ngân  hàng lớn tại Nhà Trắng vào tháng 8.

Theo hãng tin Reuters, các công ty bảo hiểm đang thay đổi giới hạn mức bảo hiểm của hợp đồng bảo hiểm ATTTM với khách hàng và tăng phí bảo hiểm sau hàng loạt sự cố tấn công ransomware. Nhẽ ra các công ty bảo hiểm sẽ “vui mừng” vì bán được nhiều hợp đồng bảo hiểm ATTTM cho các khách hàng doanh nghiệp, song họ lại không hề “vui mừng” vì họ cho rằng các khoản chi trả đã trở nên quá cao.

Hãng bảo hiểm cắt giảm đền bù, tăng phí bảo hiểm ATTTM

Reuters cho biết các công ty bảo hiểm châu Âu và Mỹ có thể tính phí bảo hiểm ATTTM cao hơn để đảm bảo chi phí trả tiền chuộc, sửa chữa mạng bị tấn công, những chi phí thiệt hại do gián đoạn kinh doanh và thậm chí cả chi phí quan hệ công chúng để khắc phục thiệt hại về danh tiếng. Chi phí bảo hiểm cho các sự cố xâm phạm ATTTM đã tăng cao. Song điều đáng nói, để đối phó với sự gia tăng của các cuộc tấn công, các công ty bảo hiểm hiện đang giảm một nửa mức phí đền bù bảo hiểm ATTTM mà họ cung cấp.

“Các công ty bảo hiểm đang thay đổi giới hạn, phạm vi bảo hiểm và phí bảo hiểm”, Caspar Stops, người đứng đầu mảng không gian mạng của công ty bảo hiểm Optio Group, nói với hãng tin Reuters. “Giới hạn gói đền bù bảo hiểm ATTTM đã giảm một nửa - chẳng hạn, trước đó mọi người đưa ra mức giới hạn bảo hiểm là 10 triệu bảng Anh (13,5 triệu USD), nhưng gần như tất cả các công ty đã giảm gói đền bù bảo hiểm ATTTM xuống còn 5 triệu bảng Anh”.

Xu hướng này cũng không phải là mới. Hồi tháng 8, American International Group (AIG) thông báo rằng họ thắt chặt các điều khoản bảo hiểm ATTTM của mình. Những điều chỉnh bao gồm giảm các khoản thanh toán, tăng các điều khoản và điều kiện cao hơn khi yêu cầu bồi thường. Vào thời điểm đó, công ty đã trích dẫn lý do là "xu hướng tấn công mạng ngày càng tăng, mối đe dọa gia tăng liên quan đến ransomware và bản chất rủi ro của hệ thống mạng nói chung”.

Tình hình sau đó trở nên tồi tệ hơn. Reuters, trích dẫn các nguồn tin trong ngành, cũng tuyên bố rằng Lloyd’s of London, bao phủ khoảng 1/5 thị trường bảo hiểm an ninh mạng toàn cầu, không khuyến khích các đơn vị thành viên tham gia vào bất kỳ hoạt động kinh doanh ATTTM mới nào trong năm tới.

Mặc dù bảo hiểm ATTTM đang được những tổ chức như Nhà Trắng khuyến khích, nhưng việc gia tăng bảo hiểm an ninh mạng có thể dẫn đến sự gia tăng của các vụ tấn công ransomware. Người ta tuyên bố rằng các nhóm tội phạm ransomware có thể kiểm tra xem các nạn nhân tiềm năng có tham gia bảo hiểm, khiến họ có nhiều khả năng thanh toán hơn hay không.

Jake Moore, chuyên gia ATTTM tại công ty bảo mật mạng ESET spol s.r.o, nói với TechRadar: “Tội phạm mạng yêu cầu nạn nhân nộp tiền chuộc mới mở khóa dữ liệu, và đôi khi hợp đồng bảo hiểm ATTTM là một trong những yếu tố thúc đẩy tấn công mạng vào các công ty. Khi các khoản tiền chuộc được thực hiện, chu kỳ kinh doanh của ransomware lại tiếp tục và thậm chí còn tăng lên, có nghĩa là nhiều công ty chắc chắn sẽ bị tấn công”.

Tháng trước, phân tích từ mạng lưới chống tội phạm tài chính (Financial Crimes Enforcement Network) của Bộ Tài chính Mỹ ước tính các công ty đã trả khoản tiền chuộc là 580 triệu USD trong 6 tháng đầu năm nay, so với mức 614 triệu USD trong cả năm 2020. 

Lợi nhuận bảo hiểm ATTTM của các hãng bảo hiểm sụt giảm

Lợi nhuận trong mảng bảo hiểm ATTTM của các công ty bảo hiểm Mỹ đã giảm trong năm 2020, theo hãng môi giới bảo hiểm Aon.

David Dickson, người đứng đầu bộ phận doanh nghiệp tại nhà môi giới bảo hiểm Superscript, cho biết: “Trong năm tới, mức giới hạn bảo hiểm đối với sản phẩm ATTTM rất khó duy trì, nếu không, các hãng bảo hiểm sẽ phải trả một số tiền khổng lồ”.

Dickson cho biết một khách hàng công nghệ trước đây đã mua gói bảo hiểm ATTTM với giá 250.000 bảng Anh, và sẽ được bồi thường cao nhất 130 triệu bảng Anh nếu xảy ra sự cố. Tuy nhiên, bây giờ khách hàng chỉ có thể nhận được 55 triệu bảng Anh tiền bảo hiểm và phải trả mức phí là 500.000 bảng.

Một báo cáo của Liên minh châu Âu công bố hồi tháng 10 cho biết đại dịch COVID-19 và sự gia tăng của xu hướng làm việc tại nhà đã khiến tội phạm mạng phát triển mạnh mẽ.

Trong khi đó, công ty an ninh mạng Coveware ví với biên lợi nhuận hơn 90% của các phi vụ tấn công mạng bằng ransomware năm 2021 bằng với lợi nhuận mà các tập đoàn cocaine Colombia thu được vào năm 1992.

Trước đây, các tin tặc sử dụng phương pháp phân tán, như gửi hàng nghìn email lừa đảo, thì giờ đây chúng đã trở nên nhắm mục tiêu hơn, tập trung vào các lĩnh vực cụ thể.

Tom Quy, lãnh đạo phụ trách các vấn đề ATTTM tại công ty môi giới bảo hiểm Acrisure Re, cho biết các cuộc tấn công đang chuyển mục tiêu khỏi các cơ sở chăm sóc sức khỏe - nơi có mức độ kiểm soát CNTT yếu nhưng cũng ít tiền - sang các công ty sản xuất hoặc hậu cần.

Những công ty như vậy có túi tiền lớn và không thể chịu được sự cố gián đoạn kéo dài, vì vậy họ thà trả tiền chuộc, đặc biệt nếu họ có mua bảo hiểm và được chi trả.

DN phải có biện pháp kiểm soát rủi ro cụ thể mới được mua bảo hiểm ATTTM

Scott Sayce, người đứng đầu toàn cầu về an ninh mạng tại Allianz Global Corporate & Specialty, cho biết: “Chúng tôi ủng hộ tất cả mọi người không tiết lộ hợp đồng bảo hiểm của mình vì điều đó rất quan trọng đối với DN của bạn”.

Nhà môi giới bảo hiểm Marsh cho biết, tỷ lệ đền bù bảo hiểm đã tăng gần gấp đôi ở Mỹ và tăng 73% ở Anh do tần suất và mức độ nghiêm trọng của các cuộc tấn công ransomware. 

Michael Shen, người đứng đầu bộ phận mạng và công nghệ tại công ty bảo hiểm Canopius, cho biết khoản tiền chuộc thường chỉ là 600 USD vài năm trước, thì giờ đây chúng đã lên tới 50 triệu USD.

Các nguồn tin trong ngành cho biết Mỹ và Pháp là những quốc gia đặc biệt lo ngại về việc thanh toán tiền chuộc. FBI cho biết họ không hỗ trợ trả tiền chuộc, trong khi một số bang của Mỹ đang xem xét cấm các thành phố thanh toán tiền chuộc ransomware.

Nhưng các công ty bảo hiểm, trong khi không sẵn sàng cung cấp số lượng lớn hợp đồng bảo hiểm ATTTM, nói rằng việc không trả tiền chuộc có thể phản tác dụng.

Adrian Cox, Giám đốc điều hành của công ty bảo hiểm Beazley nói rằng: “Tất nhiên không ai muốn trả tiền cho bọn tội phạm. Nhưng đồng thời, nếu không trả tiền, bạn có thể làm tê liệt rất nhiều mảng kinh doanh vì hệ thống đã bị vô hiệu hóa”.

Theo Govtech, sản phẩm bảo hiểm ATTTM được nhiều công ty bảo hiểm kinh doanh, như Berkshire Hathaway, Hartford, Liberty Mutual, AIG và Lloyd’s of London. Điều quan trọng cần lưu ý là các công ty cung cấp bảo hiểm ATTTM yêu cầu khách hàng mua bảo hiểm phải có các biện pháp kiểm soát rủi ro an ninh mạng cụ thể để đảm bảo khả năng được bảo hiểm.

Việc tuân theo chỉ định về các biện pháp bảo vệ ATTTM mạnh mẽ có thể là con đường tốt nhất để được bồi thường bảo hiểm cho sự cố an ninh mạng, cũng như làm cho tổ chức của bạn an toàn hơn. Đó là một quá trình mang tính chiến lược và liên tục. Nếu thực hiện các phương pháp tốt nhất để đảm bảo dữ liệu luôn an toàn và bảo mật, cùng với một số hình thức bảo hiểm ATTTM, tổ chức, DN có thể chủ động được trước các nguy cơ./.