Câu hỏi này nghe có vẻ đơn giản nhưng lại rất quan trọng.

Vì vậy, thông thường trong kinh doanh, giao tiếp trong nội bộ công ty còn chưa tốt. Các chuyên gia an ninh mạng và CNTT của bạn, cũng như các giám đốc điều hành quản lý và giám sát họ, có thể không biết liệu một chính sách như vậy có tồn tại hay không - ngay cả khi họ gửi đơn khiếu nại.

Thông thường, có giả định rằng một thiệt hại tài sản hiện có hoặc chính sách liên tục kinh doanh sẽ bao gồm một sự cố ngay cả khi chính sách “im lặng” về các vấn đề an ninh mạng. Nếu bạn không biết, các hành vi xâm nhập mạng không được bảo hiểm, bạn có thể phải chịu trách nhiệm thanh  toán toàn bộ cho một vụ vi phạm hoặc tấn công - hoặc phải thanh toán chi phí tham gia vào một cuộc chiến tốn kém của tòa án. Theo Báo cáo về Chi phí vi phạm dữ liệu năm 2020, tại Hoa Kỳ, tổng chi phí trung bình của một vụ vi phạm dữ liệu là 8,6 triệu đô la vào năm 2020, cao hơn gấp đôi so với mức trung bình toàn cầu. Chi phí cho việc vi phạm của hơn 50 triệu hồ sơ đã tăng từ mức trung bình 350 triệu USD vào năm 2018 lên 392 triệu USD vào năm 2020.

Năm 2020, 10 cuộc tấn công ransomware lớn nhất khiến nạn nhân tiêu tốn gần 213 triệu USD để điều tra, xây dựng lại mạng và khôi phục bản sao lưu, trả tiền chuộc và áp dụng các biện pháp phòng ngừa để tránh các sự cố trong tương lai. Tệ hơn nữa, các khoản thanh toán ransomware tổng cộng lên tới 7 hoặc 8 con số hiện đang bị tống tiền nhiều lần với nhiều khoản thanh toán xuất phát từ một cuộc tấn công.

Ai chịu trách nhiệm lựa chọn và mua bảo hiểm trách nhiệm an ninh mạng cho công ty của bạn? CIO? CISO? Người quản lý rủi ro của bạn? Tổng Cố Vấn?

Và trong trường hợp xảy ra một cuộc tấn công mạng, công việc gửi yêu cầu bồi thường và theo dõi trong quá trình xử lý là thuộc về ai? 

Thiết lập trách nhiệm giải trình giúp xác nhận rằng các nhiệm vụ quản lý và giảm thiểu rủi ro mạng được hoàn thành đúng cách và kịp thời. Trước khi bạn có thể xây dựng chiến lược quản lý rủi ro an ninh mạng - rất quan trọng đối với khả năng hoạt động và khả năng phục hồi kỹ thuật số - bạn nên thiết lập các quy trình và sách lược để sẵn sàng cho sự cố.

Các tổ chức cơ sở hạ tầng quan trọng - bao gồm ngân hàng, công ty tiện ích, nhà cung cấp dịch vụ chăm sóc sức khỏe, công ty công nghệ, nhà sản xuất và chính quyền địa phương và nhà nước - là mục tiêu tấn công mạng chính ngày nay và có thể cần phạm vi phủ sóng nhiều hơn các doanh nghiệp như nhà bán lẻ. Thông thường, các mục tiêu ngành này có các yêu cầu về ngành và quy định riêng biệt phải được đáp ứng, điều này thậm chí còn nâng cao hơn nữa.

Nhưng tổ chức của bạn cần bao nhiêu bảo hiểm? Để giúp xác định câu trả lời đúng, bạn cần phải định lượng rủi ro an ninh mạng của mình. Các tổ chức trưởng thành hơn như các tổ chức tài chính đã làm điều này. Nhưng những tổ chức cần nó thường xuyên nhất lại ít phân tích rủi ro của họ nhất. Và các công ty trong các ngành ít được quản lý hơn, bao gồm giáo dục và sản xuất, có xu hướng được bảo hiểm thấp hơn đối với trách nhiệm an ninh mạng.

Đôi khi một sự cố trở thành hồi chuông cảnh tỉnh cho cả một ngành. Sau cuộc tấn công NotPetya làm suy yếu, ngành hàng hải bắt đầu cải thiện an ninh mạng của mình. Việc chia sẻ thông tin về mối đe dọa đã được cải thiện và do đó, các sản phẩm bảo hiểm mạng đã xuất hiện.

Việc định lượng rủi ro ngay bây giờ có thể ngăn ngừa những khó khăn và những tổn thất có thể xảy ra đối với các công ty vừa và nhỏ sau này. 

Các loại trừ trong chính sách của bạn là gì? 

Tìm hiểu điều đó ngay bây giờ! Đừng đợi cho đến khi hệ thống của bạn bị bắt làm con tin, chỉ để phát hiện ra rằng chính sách bảo hiểm mạng của bạn không bao gồm các khoản thanh toán ransomware.

Hầu hết các chính sách sẽ hoàn lại tiền cho bạn về bảo mật mạng, thuê cố vấn pháp lý và trả tiền cho nhà cung cấp pháp y. Thông thường, họ sẽ trả chi phí khôi phục dữ liệu và đưa hoạt động của bạn trở lại trực tuyến.

Còn chi phí điều tra nguyên nhân gốc rễ thì sao? Điều đó có thể không được bảo hiểm.

Và chi phí thông báo vi phạm như thế nào? Nếu bạn đã bị đánh cắp 100.000 số thẻ tín dụng, chi phí thông báo cho chủ thẻ có thể rất cao.

Chính sách của bạn có bao gồm quan hệ công chúng và truyền thông không? Thông điệp phù hợp có thể rất quan trọng trong việc ngăn ngừa tổn thất danh tiếng và khôi phục thiện chí với các bên liên quan.

Bảo hiểm của bạn có thanh toán chi phí cung cấp dịch vụ giám sát tín dụng và khôi phục ID cho những khách hàng có thông tin nhận dạng cá nhân (PII) bị đánh cắp không?

Nếu bạn bị tấn công bởi ransomware, chính sách của bạn có phải trả chi phí thương lượng với kẻ tấn công và trả tiền chuộc không? Chính sách của bạn có bao gồm việc gián đoạn kinh doanh nghiêm trọng, bao gồm tổn thất do hủy chuyến bay hoặc chuyến hàng bị bỏ lỡ hoặc sản xuất bị trì hoãn không? Một số, nhưng không phải tất cả, sẽ bao gồm phạm vi vi phạm dữ liệu, bồi hoàn chi phí gián đoạn kinh doanh, phòng thủ chống tống tiền mạng, hỗ trợ pháp y và hỗ trợ pháp lý.

Nếu Phương thức tấn công mạng có chủ đích (APT) xâm nhập vào hệ thống của bạn trong một cuộc tấn công cấp quốc gia, liệu bảo hiểm của bạn sẽ tài trợ cho việc khôi phục của bạn hay nó sẽ xóa sự cố như một “sự cố chiến tranh”? (Điều này đã được kiểm tra sau cuộc tấn công NotPetya.) Câu hỏi này không còn là giả thuyết với sự gia tăng dự đoán về mức độ tinh vi của APTs.

Và điều gì sẽ xảy ra nếu tổ chức của bạn bị phạt vì vi phạm 

• Quy định bảo vệ dữ liệu chung của Liên minh Châu  Âu (GDPR), 
• Đạo luật Sarbanes – Oxley năm 2002, 
• Quy định về an ninh mạng của NYDFS, 
• Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) 
• hoặc một số quy định về quyền riêng tư hoặc an ninh mạng khác? Công ty bảo hiểm của bạn sẽ trả bao nhiêu, nếu có gì?

Lưu ý: Nếu doanh nghiệp của bạn bị tấn công bởi các tác nhân độc hại vì bảo mật của bạn không đủ mạnh, chính sách bảo hiểm của bạn có thể sẽ không trả tiền để bạn củng cố hệ thống của mình để tránh một cuộc tấn công khác. Nhưng điều đó không có nghĩa là bạn không nên đề phòng điều này.

Các công ty bảo hiểm đã quen với việc ứng phó với thiên tai, bạo loạn ở nước ngoài, vỡ nợ và các rủi ro và mối đe dọa khác. Tuy nhiên, họ có thể không hiểu đầy đủ các mối đe dọa do lừa đảo, kỹ thuật xã hội và phần mềm độc hại gây ra và những mối nguy hiểm mà chúng gây ra cho doanh nghiệp của bạn.

Các nhà cung cấp bảo hiểm có nắm bắt được các yêu cầu về quyền riêng tư và bảo mật mà HIPAA áp đặt đối với ngành chăm sóc sức khỏe, cũng như những lo ngại về quyền riêng tư và bảo mật do quy định thúc đẩy chia sẻ dữ liệu cá nhân không? Họ có hiểu tầm quan trọng của FFIEC (Hội đồng kiểm tra các tổ chức tài chính liên bang) hoặc hướng dẫn của Ngân hàng Anh về khả năng phục hồi hoạt động và kỹ thuật số trong các dịch vụ tài chính không?

Chính sách trách nhiệm pháp lý về an ninh mạng của bạn phải đủ linh hoạt để thích ứng với các chiến thuật của những kẻ xấu. Điều này cũng sẽ cho phép tổ chức của bạn thích nghi và thay đổi khi nhu cầu kinh doanh và công nghệ phát triển mà không cần phải bổ sung chính sách.

Đồng thời, nhóm của bạn nên chủ động xem xét chính sách mạng mỗi khi được gia hạn. Nếu bạn cảm thấy không được trang bị để xác định liệu chính sách của mình có đủ hay không, hãy tìm trợ giúp - từ nhóm nội bộ, cố vấn pháp lý bên ngoài hoặc nhà tư vấn có kinh nghiệm và đủ điều kiện.

Đã có 1.500 vụ vi phạm dữ liệu trong năm 2015. Đã có một số sự cố vi phạm nổi tiếng gần đây và dẫn đến các khiếu nại của Giám đốc và Nhân viên (D&O) trong những năm gần đây. Một điều đáng chú ý nhất là Home Depot đã báo cáo một vụ vi phạm lớn về thông tin thẻ tín dụng bắt nguồn từ một vụ đột nhập được báo cáo vào tháng 4 năm 2014, năm tháng trước khi vụ việc được công khai. Target Corporation và Wyndham Worldwide cũng là một trong những công ty nổi tiếng hơn về các loại vi phạm này.

Có một số nguồn tuyên bố sau sự cố mạng, bao gồm khách hàng, cổ đông, cơ quan quản lý và các bên thứ ba khác như các tổ chức tài chính.

Các khiếu nại của D&O phát sinh từ một sự cố mạng có thể xuất phát từ các cáo buộc bao gồm vi phạm nghĩa vụ ủy thác, lãng phí tài sản của công ty, âm mưu và trợ giúp và tiếp tay. Các bị cáo được nêu tên có thể bao gồm CEO, CIO và các giám đốc khác nhau.

Các tuyên bố phái sinh cũng có thể phát sinh từ một sự cố mạng. Hành động phái sinh là một vụ kiện do một cổ đông của công ty khởi kiện chống lại các giám đốc, cán bộ và ban quản lý của công ty vì sự thất bại của ban lãnh đạo. Các khoản thanh toán này thường không thể bồi thường, tuân theo luật của từng tiểu bang.

Chương trình bảo hiểm D&O có thể cung cấp bảo hiểm cho các Giám đốc và Nhân viên cá nhân và cung cấp bảo hiểm cho công ty. Các chính sách này có thể cung cấp các loại trừ tiền phạt và hình phạt trong Định nghĩa tổn thất cũng như loại trừ Thương tật / Thiệt hại Tài sản và loại trừ Dịch vụ Chuyên nghiệp.

Các công ty bảo hiểm hiện đang ngày càng đặt ra nhiều câu hỏi về an ninh mạng và vi phạm mạng như một phần của quy trình bảo lãnh phát hành của D&O và các công ty bảo hiểm cũng đang bắt đầu đánh giá tổng hợp các giới hạn giữa các chính sách D&O và Cyber.

Các nhà quản lý rủi ro hiện đang đóng vai trò ngày càng tăng trong việc xác định các rủi ro mạng liên quan đến các cân nhắc quan trọng của hội đồng quản trị và đội ngũ quản lý. Họ cần hiểu các chính sách về Cyber và D&O và xác định các điểm trùng lặp chung giữa chúng. Điều quan trọng là phải theo kịp các xu hướng rủi ro mạng và tác động của chúng đối với phạm vi bảo hiểm của D&O.