Buzz
Sau vụ vi phạm dữ liệu của Equifax năm ngoái, khiến thông tin cá nhân của hơn 145 triệu người bị tiết lộ, công ty phân tích Property Claim Services ước tính rằng bảo hiểm mạng sẽ chi trả khoảng 125 triệu đô la cho các thiệt hại của Equifax từ sự kiện đó. Không chắc chắn liệu Equifax sẽ nhận được số tiền đó hay không; các yêu cầu bảo hiểm có thể mất rất nhiều thời gian để điều tra, xử lý và thanh toán. Nhưng đó là một lời nhắc nhở về vai trò ngày càng quan trọng của bảo hiểm trong an ninh mạng—và những thách thức trong việc thực hiện đúng chính xác.
Năm 2016, thị trường bảo hiểm mạng mang về khoảng 3,5 tỷ đô la Mỹ về phí bảo hiểm trên toàn cầu, trong đó có 3 tỷ đô la từ các công ty có trụ sở tại Mỹ, theo Tổ chức Hợp tác và Phát triển Kinh tế. Đó không phải là một số tiền lớn so với các thị trường bảo hiểm khác; phí bảo hiểm xe cộ tại Mỹ, ví dụ, đạt hơn 200 tỷ đô la mỗi năm. Nhưng phí bảo hiểm mạng đã tăng ổn định với tỷ lệ khoảng 30% mỗi năm trong năm năm qua, trong một ngành công nghiệp không quen với những biến động như vậy.
Với Nghị định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu sẽ có hiệu lực vào ngày 25 tháng 5, và các công ty mọi quy mô trong mọi lĩnh vực đều lo lắng về những mối đe dọa trực tuyến mới nổi, các công ty bảo hiểm thấy có nhiều cơ hội. Nhưng khi thị trường bảo hiểm mạng phát triển và các công ty bảo hiểm đóng góp trách nhiệm cho nhiều rủi ro dựa trên máy tính hơn, việc mô hình hóa rủi ro đó và dự đoán kết quả của nó trở nên ngày càng quan trọng, một nhiệm vụ khó khăn trong lĩnh vực đang tiến triển và không thể đoán trước của những mối đe dọa trực tuyến.
Các công ty như các nhà bán lẻ, ngân hàng và các nhà cung cấp dịch vụ chăm sóc sức khỏe bắt đầu tìm kiếm bảo hiểm mạng vào đầu những năm 2000, khi các tiểu bang đầu tiên thông qua luật thông báo vi phạm dữ liệu. Nhưng ngay cả với 20 năm kinh nghiệm và dữ liệu yêu cầu trong lĩnh vực bảo hiểm mạng, các nhà bảo hiểm vẫn gặp khó khăn trong việc mô hình hóa và định lượng một loại rủi ro đặc biệt.
“Thường trong bảo hiểm, chúng ta sử dụng quá khứ như dự đoán cho tương lai, và trong lĩnh vực mạng thì điều đó rất khó để thực hiện vì không có hai sự cố nào giống nhau,” nói Lori Bailey, giám đốc toàn cầu về rủi ro mạng của Tập đoàn Bảo hiểm Zurich. Hai mươi năm trước, các chính sách chủ yếu đối mặt với việc vi phạm dữ liệu và bảo hiểm trách nhiệm bên thứ ba, như các chi phí liên quan đến các vụ kiện tụng tập thể do vi phạm hoặc các thỏa thuận. Nhưng các chính sách gần đây hơn thường thiết lập bảo hiểm trách nhiệm bên thứ nhất, bao gồm các chi phí như thanh toán tống tiền trực tuyến, thuê cơ sở tạm thời trong cuộc tấn công, và doanh thu bị mất do sự cố hệ thống, sự cố mất điện của nhà cung cấp dịch vụ đám mây hoặc web, hoặc thậm chí là lỗi cấu hình IT.
Đa dạng hóa
Phong cảnh đe dọa thay đổi không ngừng không phải là thách thức duy nhất mà các nhà bảo hiểm mạng đối mặt. Vì nhiều công ty không có bảo hiểm mạng, nhiều vụ việc không được báo cáo mỗi năm, làm cho việc ước tính tần suất hoặc chi phí của những sự kiện như vậy trở nên khó khăn hơn.
“Nếu bạn viết chính sách cho bảo hiểm xe ô tô cá nhân hoặc bảo hiểm nhà ở cá nhân, bạn chắc chắn có rất nhiều dữ liệu rất tốt. Dữ liệu tồi nhất có lẽ là ở bảo hiểm mạng,” nói Nick Economidis, một nhà đánh giá rủi ro mạng tại Beazley PLC.
Trong các lĩnh vực bảo hiểm khác, như bảo hiểm động đất hoặc lũ lụt, các nhà vận chuyển cũng đảm bảo đa dạng hóa khách hàng của họ, ví dụ như phân bố khách hàng ra nhiều địa điểm địa lý khác nhau để tránh bị quá tải bởi các yêu cầu bồi thường đồng thời. Ngành công nghiệp bảo hiểm mạng đã cố gắng đa dạng hóa bằng cách thêm khách hàng có kích thước và ngành nghề khác nhau. Nhưng vụ tấn công ransomware NotPetya mùa hè năm ngoái không phân biệt dựa trên ngành hoặc quy mô công ty, gây thiệt hại tổng cộng hơn một tỷ đô la trong lĩnh vực giao nhận, dược phẩm và nhiều lĩnh vực khác. Vì vậy bây giờ, các nhà vận chuyển cố gắng đa dạng hóa giữa các nhà cung cấp dịch vụ đám mây, các nhà cung cấp dịch vụ web, sự phụ thuộc vào phần mềm và hệ điều hành, Bailey nói.
Điều đó cũng có thể gây khó khăn. Trong khi những lỗ hổng như Heartbleed và ransomware như WannaCry—cùng với những lỗi Spectre và Meltdown gần đây trong chip Intel—dường như không dẫn đến các khoản thanh toán bảo hiểm mạng lớn, chúng chỉ cho thấy vấn đề an ninh mạng có thể lan rộng như thế nào và rủi ro tích hợp từ các yêu cầu đồng thời từ nhiều khách hàng của nhà vận chuyển.
Hợp Tác
Trong khi họ đang cố gắng xây dựng một danh mục rủi ro đa dạng, nhiều nhà vận chuyển cũng đã hợp tác với các công ty bảo mật để cung cấp cho khách hàng của họ một bộ công nghệ chuẩn hơn và, họ hy vọng, mạnh mẽ hơn để bảo vệ tài sản kỹ thuật số của họ. Allianz gần đây đã thông báo hợp tác với Aon, Apple và Cisco, thông qua đó khách hàng có thể nhận được các chính sách bảo hiểm mạng 'nâng cao' từ Allianz—bao gồm các mức khấu trừ thấp hơn và bảo hiểm chi phí thay thế phần cứng—nếu họ cũng sử dụng các công cụ đánh giá, công nghệ bảo mật và dịch vụ phản ứng khi xảy ra vi phạm được cung cấp bởi ba đối tác khác. Điều này tương tự như một công ty bảo hiểm y tế cung cấp giảm giá cho các nhà cung cấp trong mạng lưới.
Các hợp tác của Allianz là duy nhất khi cung cấp các mức khấu trừ thấp hơn và bảo hiểm bổ sung cho khách hàng sử dụng các đối tác công nghệ cụ thể, nhưng các nhà vận chuyển và công ty bảo mật thường hợp tác để cung cấp các dịch vụ bảo mật giảm giá hoặc miễn phí cho người được bảo hiểm. Ví dụ, một chính sách bảo hiểm mạng của Chubb có thể đi kèm với tỷ lệ ưu đãi từ CrowdStrike và FireEye, trong khi XL Catlin hợp tác với Clarium, Venable và NetDiligence, cùng với những đối tác khác. Zurich cung cấp khách hàng quyền truy cập vào dịch vụ tư vấn an ninh mạng của Deloitte.
Những hợp tác đó không chỉ là giá trị bổ sung cho khách hàng; chúng còn giúp giảm bớt gánh nặng kỹ thuật của các nhà vận chuyển khi kiểm tra an ninh công nghệ thông tin của một công ty để quyết định có bảo hiểm cho họ hay không.
“Chúng tôi thực sự không có thời gian để đánh giá công nghệ của mọi người, cũng như chúng tôi không chắc rằng chúng tôi đủ tư cách để làm điều đó,” Economidis nói. “Có vẻ như điều đó không phù hợp với chuyên môn của chúng tôi và trở thành một sự mất tập trung trong kinh doanh của chúng tôi.” Thay vào đó, hầu hết các nhà vận chuyển dựa vào các câu hỏi được viết trình bày bởi các khách hàng tiềm năng về các phương pháp an ninh và quy trình phản ứng khi xảy ra sự cố, mặc dù thông tin đó thường được lọc qua một người môi giới bảo hiểm và không luôn đáng tin cậy.
Bằng việc hợp tác với Aon, cung cấp dịch vụ đánh giá khả năng chịu đựng mạng riêng, Allianz hy vọng rằng họ sẽ có khả năng đánh giá chi tiết hơn và liên tục hơn các hồ sơ rủi ro mạng của khách hàng của mình. Tương tự, nhà vận chuyển tin rằng việc khuyến khích khách hàng sử dụng thiết bị của Apple và công cụ bảo mật của Cisco sẽ giảm số lượng và quy mô các yêu cầu bồi thường từ các khách hàng của họ, đặc biệt là các doanh nghiệp nhỏ và vừa không có tài nguyên để đầu tư mạnh vào các giải pháp an ninh riêng của họ.
Và tuy nhiên, bằng chứng kinh nghiệm cho sự hiệu quả của các biện pháp kiểm soát an ninh ngăn chặn lại gây khó khăn đáng kể trong thế giới dữ liệu của ngành bảo hiểm.
“Từ góc độ chi phí, việc có một tỷ lệ được thỏa thuận trước với các nhà cung cấp giúp, nhưng về phía ngăn chặn, tôi không nói rằng chúng tôi có dữ liệu để cho thấy số tiền chúng tôi đã tiêu hoặc khách hàng của chúng tôi đã tiêu cho các đối tác ngăn chặn đã cải thiện hiệu suất bảo mật,” John Coletti, giám đốc phụ trách tái bảo hiểm chính XL Catlin nói. “Chúng tôi chưa phát triển thuật toán để tương quan giữa công nghệ mà họ đang sử dụng và phí bảo hiểm của họ.”
Sasha Romanosky, một nhà nghiên cứu tại RAND nghiên cứu về bảo hiểm mạng, cho biết rằng ngay cả khi các nhà vận chuyển không nhất thiết biết công nghệ nào sẽ làm cho khách hàng của họ an toàn nhất, vẫn có những lợi ích từ các đối tác đảm bảo tính nhất quán hơn trên tất cả các khách hàng của họ.
“Các nhà vận chuyển thực sự không biết câu trả lời về những đặc điểm nào làm cho một công ty hoặc một nhóm công ty dễ tổn thương, và những gì các nhà vận chuyển bảo hiểm sẽ làm với điều đó là đa dạng hóa danh mục của họ,” Romanosky nói. “Nhưng mặt khác, nếu mỗi nhà vận chuyển đòi hỏi mọi người đều sử dụng cùng một công ty, điều đó tạo ra tính nhất quán và điều chúng tôi đang muốn làm ngay bây giờ là chuẩn hóa trong việc đánh giá, báo cáo, trình bày và giảm thiểu rủi ro an ninh mạng. Có những lợi ích từ sự đồng nhất.”
Ngay cả khi họ đang cố gắng áp đặt một số thực hành quản lý rủi ro đồng nhất cho khách hàng của họ, các công ty bảo hiểm cũng đang chuyển hướng đến các sản phẩm tiêu chuẩn hơn, nhất quán hơn trên tất cả các công ty—đặc biệt là khi đến kích thước và phạm vi của các chính sách bảo hiểm mạng—nhằm cố gắng theo kịp với các đối thủ của họ. Đồng thời, các nhà bảo hiểm như Allianz, đang thử nghiệm với các đối tác trong ngành với những nỗ lực rủi ro thấp để phân biệt họ với người khác. Những cột mốc và đổi mới lớn trong bảo hiểm mạng cho đến nay đã được đặc trưng bởi sự cẩn trọng đó—những hợp tác với các công ty có tên tuổi lớn đã được xác lập mà không hoặc ít ảnh hưởng đến phí bảo hiểm hoặc phạm vi chính sách của khách hàng.
