Vấn đề an ninh mạng đối với các ngân hàng trong thời kỳ kỷ nguyên số là vấn đề nhức nhối đối với mọi quốc gia, những bài học về các hợp đồng bảo hiểm tấn công mạng của các ngân hàng trên thế giới sẽ giúp các ngân hàng phòng ngừa được những rủi ro trong vấn đề này. Dưới đây là những bài học về việc ký kết các hợp đồng bảo hiểm tấn công mạng của các Ngân hàng Mỹ
Tại Mỹ, xung đột giữa một ngân hàng nhỏ và công ty bảo hiểm của họ về việc bồi thường cho một cuộc tấn công mạng đang khiến nhiều ngân hàng xem lại quy định của các hợp đồng bảo hiểm đã mua. National Bankshares, một ngân hàng có tổng tài sản 1,3 tỷ đô la ở Blacksburg (bang Virginia), đã bị tấn công mạng hai lần. Tin tặc lừa nhân viên ngân hàng này mở những bức thư điện tử, từ đó cho phép tin tặc truy cập số thẻ ghi nợ của ngân hàng và dùng những số thẻ đó để rút 2,4 triệu đô la tại hàng trăm ATM trên khắp cả nước. National Bankshares yêu cầu công ty bảo hiểm bồi thường toàn bộ số tiền thiệt hại của khách hàng nhưng bị từ chối. Vì vậy, họ đã đưa vụ việc ra toà.
Allison Bender, một luật sư ở ZwillGen, nơi chuyên tư vấn cho các doanh nghiệp về luật an ninh mạng, nói rằng điều này đáng được các vị lãnh đạo ngân hàng vốn nghĩ rằng họ được bảo hiểm đầy đủ cho những cuộc tấn công mạng xem xét. Không phải tất cả các hợp đồng bảo hiểm đều đem tới mức bảo vệ cần thiết và có nhiều câu hỏi đang được đặt ra về các điều khoản của chúng.
Bender, vị cựu luật sư tại bộ An ninh nội địa Hoa Kỳ, nói rằng, có rất nhiều thay đổi trong việc những thứ gì được bảo hiểm và những thứ gì không được bảo hiểm, luật pháp về lĩnh vực này vẫn đang “tiến hoá”. Thomas Bentz, một luật sư về bảo hiểm tại công ty tư vấn luật Holland & Knight, nói rằng tại Mỹ, bảo hiểm an ninh mạng đã có từ ít nhất 20 năm trước nhưng nó mới được các tổ chức tài chính sử dụng rộng rãi trong thời gian gần đây. Việc số vụ tấn công mạng tăng nhanh đã khiến các ngân hàng và công ty tài chính mua bảo hiểm ngày càng nhiều hơn.
Bảo hiểm chỉ là một trong các khía cạnh thu hút sự quan tâm nhiều hơn của các ngân hàng và các cơ quan quản lý nhà nước. Ủy ban chứng khoán Hoa Kỳ (Securities and Exchange Commission) đã yêu cầu các ngân hàng và các công ty khác công bố thông tin về những vụ tấn công càng sớm càng tốt để bảo vệ các nhà đầu tư. Ngoài ra, các ngân hàng cũng đang tiêu hàng trăm triệu đô la để nâng cấp các hệ thống kỹ thuật phòng chống.
Mâu thuẫn giữa National Bankshares và công ty Everest National Insurance liên quan đến câu hỏi về việc chính sách bảo hiểm nào trong hai hợp đồng bảo hiểm đã mua, một hợp đồng bảo hiểm tội phạm máy tính và một hợp đồng bảo hiểm tội phạm gian lận thẻ ghi nợ, sẽ được áp dụng. National Bankshares cho rằng chính sách bảo hiểm tội phạm máy tính cần được áp dụng vì tin tặc đã truy cập mạng của họ để đánh cắp thông tin; vì thế họ phải được bồi thường toàn bộ thiệt hại. Công ty bảo hiểm Everest từ chối yêu cầu bồi thường của ngân hàng và cho rằng chỉ áp dụng chính sách bảo hiểm gian lận thẻ ghi nợ, do đó hạn mức bảo hiểm chỉ là 50 ngàn đô la.
Trong thông cáo báo chí của mình, ngân hàng National Bankshares nói rằng họ có quyền được nhận số tiền bảo hiểm bằng toàn bộ thiệt hại của vụ việc sau khi trừ đi các khoản giảm trừ được áp dụng và tin tưởng vụ việc sẽ được tòa phán quyết theo hướng có lợi cho họ. Công ty bảo hiểm thì phản hồi rằng họ đã xác định chính xác số tiền cần bồi thường cho ngân hàng.
Một số ngân hàng có thể không nhận thất các hợp đồng bảo hiểm của họ không đủ bù đắp những thiệt hại liên quan đến an ninh mạng. Việc bổ sung các điều khoản vào một hợp đồng bảo hiểm thông thường sẽ không đảm bảo bảo vệ đầy đủ cho người mua. Ông Bentz nói rằng các ngân hàng thường không mua bảo hiểm an ninh mạng hoặc chỉ bổ sung thêm các điều khoản vào một hợp đồng bảo hiểm thông thường.
Hiệp hội Ngân hàng Hoa Kỳ (American Bankers Association) khuyến cáo các thành viên mua hai loại bảo hiểm cho an ninh mạng, tuỳ thuộc vào việc ngân hàng hoạt động ở bang nào. Một là bảo hiểm về an ninh và thông tin khách hàng, dành cho những vụ thất thoát dữ liệu. Loại thứ hai liên quan đến những sự kiện phát sinh từ việc sử dụng hệ thống giao dịch ngân hàng trực tuyến.
Paul Benda, phó chủ tịch cao cấp về chính sách quản lý rủi ro của Hiệp hội Ngân hàng Hoa Kỳ, nói rằng, những người mà tôi từng nói chuyện đều hiểu khá rõ về rủi ro nhưng họ có mua đúng loại bảo hiểm cần thiết không lại là việc khác.
Bảo hiểm an ninh mạng đã trở nên rất hữu ích cho các công ty tài chính. Theo giám đốc tài chính John Gamble, Equifax đã nhận được 95 triệu đô la bồi thường từ phần liên quan đến an ninh mạng của hợp đồng bảo hiểm về các lỗi và sai lầm. Equifax đã được bồi thường tổng cộng 125 triệu đô la cho các sự cố an ninh và chúng tôi tiếp tục hy vọng sẽ được bồi thường thêm để tận dụng tối đa hợp đồng bảo hiểm đã mua». Dù sao thì số tiền bảo hiểm cũng chỉ bù đắp được một phần trong tổng số thiệt hại do sự cố thất thoát dữ liệu của công ty này (314 triệu đô la).
Ông Thomas Bentz cho biết National Bankshares kiện công ty bảo hiểm vì họ không thể kiện các công ty công nghệ. Phần lớn hợp đồng với các công ty công nghệ không cho phép người dùng kiện nhà cung cấp, ngay cả khi lỗi phần mềm là nguyên nhân dẫn đến thiệt hại tài chính. Khi Microsoft hay IBM đến và cung cấp phần mềm, điều khoản trong hợp đồng sẽ không cho phép bạn kiện họ. Bạn chỉ có thể chấp nhận hợp đồng hoặc không ký nó.
Ngoài việc kiện công ty bảo hiểm hay đối tác công nghệ, các giám đốc rủi ro cần rà soát các hợp đồng bảo hiểm mỗi năm và tìm các biện pháp tốt hơn để bảo vệ ngân hàng mình.
Tại Việt Nam, bảo hiểm an ninh mạng vẫn còn là một dịch vụ tương đối mới mẻ và được ít người biết tới. Mới chỉ có một vài công ty bảo hiểm cung cấp loại hình bảo hiểm này (ví dụ như Chubb, ACE, BaoViet Tokio Marine, MIC) và số lượng ngân hàng mua bảo hiểm cũng khó xác định. Trong tình hình tội phạm mạng ngày càng gia tăng và các tổ chức tài chính chưa muốn công khai thông tin về các vụ tấn công mạng thì việc phát triển các dịch vụ bảo hiểm tội phạm công nghệ sẽ gặp nhiều khó khan, các công ty bảo hiểm sẽ ít mặn mà với việc cung cấp dịch vụ. Tuy nhiên, theo khuyến nghị của Basel II, một trong các công cụ bảo hiểm được hầu hết các tổ chức tài chính sử dụng để giảm thiểu mức độ ảnh hưởng của rủi ro hoạt động là bảo hiểm toàn diện ngân hàng và tội phạm công nghệ (BBB&ECC). Bảo hiểm Toàn diện ngân hàng và Tội phạm công nghệ là một gói bảo hiểm kết hợp, bao gồm hai loại hình bảo hiểm: Toàn diện ngân hàng (Banker Blanket Bond - BBB) và Tội phạm công nghệ (Electronic Computer Crimes - ECC). Vì thế, các ngân hàng nên tận dụng khả năng bảo vệ của dịch vụ bảo hiểm, kết hợp với việc hoàn thiện hệ thống an ninh bảo mật để đảm bảo quyền lợi cho khách hàng cũng như chính bản thân ngân hàng. Vì không có nhiều dịch vụ để lựa chọn, các ngân hàng cần lưu ý để bộ phận pháp chế phối hợp tốt với đội ngũ công nghệ thông tin, đảm bảo rằng những người làm công nghệ hiểu rõ những tình huống bị loại trừ trong hợp đồng bảo hiểm và ngược lại, những người chịu trách nhiệm mua bảo hiểm biết những hoạt động nào cần có sự bảo vệ bổ trợ từ bên thứ ba.
Nguyễn Anh Tuấn
Nguồn: TCNH chuyên đề THNH số 2/2019