Thursday 10 June 2021

Gánh nặng bảo hiểm dữ liệu và an ninh mạng (Bài đăng trên KTSG, 11/6/2021)

https://www.thesaigontimes.vn/317160/ganh-nang-bao-hiem-du-lieu-va-an-ninh-mang.html

Trên tờ Financial Times mới đây có bài viết về việc nhiều hãng bảo hiểm thế giới đã chùn tay trong việc bảo hiểm đối với các cuộc tấn công mạng cho các doanh nghiệp (1). Lý do là bởi từ năm ngoái các vụ tấn công mạng đã tăng nhanh, đặc biệt là trong vòng 2 tháng qua với nhiều vụ tấn công gây hậu quả nghiêm trọng. Trong số này phải kể đến các vụ tấn công đòi tiền chuộc gần đây vào hệ thống bảo hiểm y tế ở Ireland, một mạng đường ống dẫn dầu chủ chốt của Mỹ, và mới tuần rồi là nhà cung cấp thịt JBS – là những tổ chức đã phải đóng cửa hoạt động sau khi bị tấn công.

Hãng bảo hiểm khắt khe hơn trước rủi ro lớn hơn

Nếu may mắn thì tổ chức bị tấn công đã mua bảo hiểm dữ liệu và an ninh mạng sẽ được công ty bảo hiểm bồi thường tiền chuộc và các tổn thất khác như phải dừng hoạt động sản xuất, kinh doanh, và các chi phí cho các dịch vụ phát sinh như phục hồi dữ liệu.

Do tính nghiêm trọng và tần suất các cuộc tấn công mạng đều tăng lên nên phí bảo hiểm an ninh mạng cũng vì thế mà tăng. Theo số liệu trên Financial Times, mức tăng này là 27% trong khoảng tháng 4 đến giữa tháng 5 so cùng kỳ năm trước.

Không chỉ có tăng phí bảo hiểm như một phương cách phòng vệ, các hãng bảo hiểm hiện nay còn thận trọng hơn rất nhiều trong việc nhận bảo hiểm trong lĩnh vực này cho các doanh nghiệp. Họ sẽ tìm hiểu và điều tra kỹ càng với doanh nghiệp bằng rất nhiều câu hỏi bổ sung so với trước đây. Nếu doanh nghiệp cho thấy có mức độ kiểm soát quá thấp đối với vấn đề an ninh mạng thì thậm chí sẽ bị từ chối bảo hiểm. Một số hãng khác nếu có chấp nhận bảo hiểm thì sẽ không chỉ tăng phí bảo hiểm mà còn giảm mức độ bồi thường bảo hiểm, thậm chí là một nửa đối với các vụ tấn công đòi tiền chuộc. Hoặc một cách khác là hãng bảo hiểm yêu cầu doanh nghiệp cùng bảo hiểm, tức doanh nghiệp cũng sẽ phải cùng chia sẻ tổn thất với hãng bảo hiểm khi có biến. Nhưng nhìn chung thì, theo báo cáo của Financial Times, hiện nay còn rất ít hãng bảo hiểm đồng ý bồi thường 100% thiệt hại liên quan đến tấn công đòi tiền chuộc.

Ngoài ra, các hãng bảo hiểm cũng bắt đầu trở nên lựa chọn hơn với những ngành mà họ nhận bảo hiểm. Chẳng hạn ở Mỹ, theo một cuộc khảo sát của cơ quan chức năng, các hãng bảo hiểm đã giảm nhận bảo hiểm cho các ngành như y tế và giáo dục.

Ở Việt Nam, lĩnh vực bảo hiểm dữ liệu và an ninh mạng dường như vẫn còn khá mới mẻ, ít được đề cập đến. Bên cạnh một vài hãng bảo hiểm nước ngoài như Chubb và MISG, một số hãng bảo hiểm trong nước như Bảo Việt, BSH, và Bảo Long đã triển khai sản phẩm bảo hiểm này trong năm 2020.

Trước xu hướng gia tăng chi phí bảo hiểm và yêu cầu khắt khe hơn trong việc nhận bảo hiểm trên thế giới như nói trên, có thể dự đoán rằng xu hướng này cũng đã và đang diễn ra ở Việt Nam, tuy không có nhiều chi tiết thực tế được biết đến bởi những người ngoài cuộc.                      

Áp lực lên doanh nghiệp

Một đặc điểm của các cuộc tấn công đòi tiền chuộc là chúng thường không có mục tiêu tấn công từ ban đầu, mà chỉ tìm được con mồi sau khi đã rà quét các doanh nghiệp để tìm ra các lỗ hổng an ninh mạng kiểu như không có xác thực nhiều lớp cho email hay cho việc cập nhật từ xa vào các mạng của doanh nghiệp. Trong khi đó, trên thực tế thì có rất nhiều doanh nghiệp, nhất là các doanh nghiệp vừa và nhỏ, lại không có những biện pháp an ninh tối thiểu như vậy.

Ở Việt Nam, theo Trend Micro, việc chi tiêu cho an ninh internet “vẫn chưa được đẩy ở mức quá cao. Chúng chỉ ở mức hời hợt ở một số doanh nghiệp, nếu Luật an ninh mạng thông qua có thể mọi người sẽ càng thêm có sự không quan tâm về những rủi ro trên internet. Tại Việt Nam, có thể nói rằng họ là một trong những quốc gia chưa đánh giá đúng về tầm quan trọng của việc bảo mật dữ liệu”(2).

Mức độ quan tâm thấp như vậy nên dễ hiểu là tại sao Việt Nam lại là quốc gia đứng thứ 3 khu vực châu Á - Thái Bình Dương về tỷ lệ máy tính của hệ thống điều khiển công nghiệp bị tấn công bằng mã độc đòi tiền chuộc, chỉ sau Trung Quốc và Indonesia, theo công bố của hãng an ninh mạng Kaspersky hồi tháng 11/2020 (3).

Lý do có thể chủ yếu là chuyện chi phí. Đã là doanh nghiệp vừa và nhỏ thì nhiều người sẽ coi là chuyện xa xỉ khi phải đầu tư một khoản đáng kể vào các giải pháp và cơ sở hạ tầng an ninh mạng cho nội bộ doanh nghiệp. Hơn nữa, cũng với lý do là doanh nghiệp vừa và nhỏ, nhiều người cũng cho rằng họ không đáng để bọn tin tặc tấn công đòi tiền chuộc. Nhưng cả hai luồng suy nghĩ này đều là sai lầm, bởi bọn tin tặc sẽ không chừa một ai, kể cả đó là cá nhân mà chúng không hề biết đến ngoài đời, mà chỉ là qua các dấu vết để lại trên mạng và bị chúng phát hiện ra rồi tìm cách tống tiền.

Như vậy, doanh nghiệp sẽ vừa phải đầu tư trang bị vào giải pháp và cơ sở hạ tầng an ninh mạng, dù là cơ bản, trước những rủi ro lớn hơn, vừa phải quan tâm đến chuyện mua bảo hiểm an ninh mạng để giảm thiểu tổn thất khi bị tấn công, nhất là khi việc bảo vệ an ninh mạng của họ chỉ là cơ bản, không đủ phức tạp, có thể bảo vệ họ ở mức độ cần thiết.

Nhưng việc mua bảo hiểm an ninh mạng cũng sẽ gặp trắc trở do sẽ bị các hãng bảo hiểm đòi hỏi phí bảo hiểm cao hơn và nhiều điều kiện hơn. Do đó, các doanh nghiệp Việt Nam, đặc biệt là các doanh nghiệp vừa và nhỏ, sẽ còn tiếp tục mắc kẹt trong tình thế nan giải này, và buộc phải mạo hiểm với may rủi, hy vọng các vụ tấn công mạng sẽ “chừa” mình ra.

Trong bối cảnh này, Việt Nam có thể xem xét đến giải pháp khắc phục mà Financial Times đề cập. Đó là Chính phủ cung cấp thêm các dịch vụ an ninh và thậm chí là hỗ trợ tài chính liên quan đến an ninh mạng. Sự trợ giúp của Chính phủ trong lĩnh vực này có thể thông qua các dàn xếp dưới dạng công tư kết hợp với mục đích tối thượng là để giảm thiểu rủi ro đã trở nên lớn quá mức có thể hấp thụ nổi bởi cả doanh nghiệp lẫn ngành bảo hiểm.

--------

(1) https://www.ft.com/content/4f91c4e7-973b-4c1a-91c2-7742c3aa9922

(2) https://trendmicro.ctydtp.vn/an-ninh-mang-tai-viet-nam-va-nhung-anh-huong-de-doa-tu-noi-bo-doanh-nghiep.html

(3)  https://thoibaonganhang.vn/co-hoi-phat-trien-bao-hiem-khong-gian-mang-109803.html

Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Một số nghiên cứu bằng tiếng Anh của tớ

(Một số bài không download được. Bạn đọc có nhu cầu thì bảo tớ nhé)

19. Yang, Chih-Hai, Ramstetter, Eric D., Tsaur, Jen-Ruey, and Phan Minh Ngoc, 2015, "Openness, Ownership, and Regional Economic Growth in Vietnam", Emerging Markets Finance and Trade, Vol. 51, Supplement 1, 2015 (Mar).
http://www.tandfonline.com/doi/abs/10.1080/1540496X.2014.998886#.Ve7he3kVjIU

18. Ramstetter, Eric D. and Phan Minh Ngoc, 2013, 'Productivity, Ownership, and Producer Concentration in Transition: Further Evidence from Vietnamese Manufacturing', Journal of Asian Economics, Vol. 25, Apr 2013,
http://www.sciencedirect.com/science/article/pii/S1049007812001170.

17. Ramstetter, Eric D. and Phan Minh Ngoc, 2011, 'Productivity, Ownership, and Producer Concentration in Transition: Further Evidence from Vietnamese Manufacturing', ESRI Discussion Paper Series No.278, Economic and Social Research Institute, Cabinet Office, Tokyo, Japan. (http://www.esri.go.jp/en/archive/e_dis/abstract/e_dis278-e.html)

16. Phan, Minh Ngoc and Eric D. Ramstetter, 2009, ‘Foreign Ownership and Exports in Vietnamese Manufacturing’, Singapore Economic Review, Vol. 54, Issue 04.
(http://econpapers.repec.org/article/wsiserxxx/v_3a54_3ay_3a2009_3ai_3a04_3ap_3a569-588.htm)

15. Phan, Minh Ngoc, 2008. ‘The Roles of Capital and Technological Progress in Vietnam’s Economic Growth’, Journal of Economic Studies, Vol. 32, No. 2.
(http://www.emeraldinsight.com/journals.htm?articleid=1724281)

14. Phan, Minh Ngoc, 2008. ‘Sources of Vietnam’s Economic Growth’, Progress in Development Studies, Vol. 8, No. 3.
(http://pdj.sagepub.com/content/8/3.toc)

13. Ramstetter, Eric D. and Phan Minh Ngoc, 2008. 'Productivity, Ownership, and Producer Concentration in Transition: Evidence from Vietnamese Manufacturing’, Working Paper 2008-04, Kitakyushu: International Centre for the Study of East Asian Development.
(http://www.icsead.or.jp/7publication/wp2008a_e.html#04)

12. Ramstetter, Eric D. and Phan Minh Ngoc, 2007. ‘Employee Compensation, Ownership, and Producer Concentration in Vietnam’s Manufacturing Industries’, Working Paper 2007-07, Kitakyushu: International Centre for the Study of East Asian Development.
(www.icsead.or.jp/7publication/wp2007a_e.html)

11. Ramstetter, Eric D. and Phan Minh Ngoc, 2007. ‘Changes in Ownership and Producer Concentration after the Implementation of Vietnam’s Enterprise Law’, Working Paper 2007-06, Kitakyushu: International Centre for the Study of East Asian Development.
(http://www.icsead.or.jp/7publication/wp2007a_e.html#06)

10. Phan, Minh Ngoc and Eric D. Ramstetter, 2006. ‘Economic Growth, Trade, and Multinational Presence in Vietnam's Provinces’, Working Paper 2006-18, Kitakyushu: International Centre for the Study of East Asian Development. Also presented in the 10th Convention of the East Asian Economic Association, Nov. 18-19, 2006, Beijing.
(http://www.icsead.or.jp/7publication/wp2006a_e.html#18)

9. Phan, Minh Ngoc, Nguyen Thi Phuong Anh, Phan Thuy Nga, and Shigeru Uchida, 2005. ‘Effects of Cyclical Movements of Foreign Currencies’ Interest Rates and Exchange Rates on the Vietnamese Currency’s Interest and Exchange Rates’. Asian Business & Management, Vol. 4, No.3.
(http://www.palgrave-journals.com/abm/journal/v4/n3/abs/9200134a.html)

8. Phan, Minh Ngoc and Eric D. Ramstetter, 2004. ‘Foreign Multinationals and Local Firms in Vietnam's Economic Transition’. Asian Economic Journal, Vol.18, No.4.
(http://ideas.repec.org/a/bla/asiaec/v18y2004i4p371-404.html)

7. Phan, Minh Ngoc and Eric D. Ramstetter, 2004. ‘Foreign Ownership Shares and Exports of Multinational Firms in Vietnamese Manufacturing’, Working Paper 2004-32, Kitakyushu: International Centre for the Study of East Asian Development. An earlier version of this paper was presented in the 9th Convention of the East Asian Economic Association, 13-14 November 2004, Hong Kong.
(www.icsead.or.jp/7publication/workingpp/wp2004/2004-32.pdf)

6. Phan, Minh Ngoc, Nguyen Thi Phuong Anh, and Phan Thuy Nga, 2003. ‘Exports and Long-Run Growth in Vietnam, 1976-2001’, ASEAN Economic Bulletin, Vol.20, No.3.
(http://findarticles.com/p/articles/mi_hb020/is_3_20/ai_n29057943/)

5. Phan, Minh Ngoc and Eric D. Ramstetter, 2003. ‘Comparing Foreign Multinationals and Local Firms in Vietnam’, Working Paper 2003-43, Kitakyushu: International Centre for the Study of East Asian Development.
(http://www.icsead.or.jp/7publication/workingpp/wp2003/2003-43.pdf)

4. Phan, Minh Ngoc and Shigeru Uchida, 2003. ‘Stabilization Policy Issues in Vietnam’s Economic Transition’. Annual Review of Southeast Asian Studies, Research Institute of Southeast Asia, Faculty of Economics, Nagasaki University, Vol. 44 (March).

3. Phan, Minh Ngoc and Eric D. Ramstetter, 2002. ‘Foreign Multinationals, State-Owned Enterprises, and Other Firms in Vietnam’, Working Paper 2002-23, Kitakyushu: International Centre for the Study of East Asian Development. This paper was also presented in the 8th Convention of the East Asian Economic Association, 4-5 November 2002, Kuala Lumpur.
(http://www.icsead.or.jp/7publication/workingpp/wp2003/2003-43.pdf)

2. Phan, Minh Ngoc and Shigeru Uchida, 2002. ‘Capital Controls to Reduce Volatility of Capital Flows; Case Studies in Chile, Malaysia, and Vietnam in 1990s’. Annual Review of Southeast Asian Studies, Research Institute of Southeast Asia, Faculty of Economics, Nagasaki University, Vol. 43 (March).

1. Phan, Minh Ngoc, 2002. ‘Comparisons of Foreign Invested Enterprises and State-Owned Enterprises in Vietnam in the 1990s’. Kyushu Keizai Nenpo (the Annual Report of Economic Science, Kyushu Association of Economic Science), No.40 (December). An earlier version of this paper was presented in the 40th Conference of the Kyushu Keizai Gakkai (Kyushu Association of Economic Science).