Tôi có cần bảo hiểm an ninh mạng không?

Nhiều doanh nghiệp nhỏ nên ít nhất cân nhắc bảo hiểm an ninh mạng, đặc biệt nếu bạn lưu trữ thông tin khách hàng, chấp nhận thanh toán bằng thẻ, phụ thuộc vào email, hoặc sẽ gặp khó khăn trong việc vận hành trở lại sau khi xảy ra sự cố ngừng hoạt động hệ thống hoặc gian lận.

Tuy vậy, bảo hiểm an ninh mạng không phải lúc nào cũng là yêu cầu bắt buộc đối với mọi doanh nghiệp. Một số chủ doanh nghiệp mua vì hợp đồng với khách hàng yêu cầu. Những người khác mua vì họ xử lý thông tin nhạy cảm, hoạt động trong ngành được quản lý chặt chẽ, hoặc muốn có sự hỗ trợ để chi trả một số chi phí khắc phục nhất định nếu có điều gì đó xảy ra.

Bảo hiểm chỉ là một phần của bức tranh tổng thể. Một hợp sách có thể giúp trang trải một số khoản chi sau sự cố, nhưng không thay thế cho việc quản trị CNTT tốt mỗi ngày, đào tạo nhân sự, sao lưu, và các nguyên tắc bảo mật cơ bản. Không có nhà cung cấp uy tín nào hứa hẹn tình trạng không gián đoạn hoàn toàn hay một mạng không thể bị xâm nhập.

Nếu bạn vẫn đang sắp xếp các lựa chọn của mình, hãy bắt đầu bằng việc tìm hiểu theo ngôn ngữ dễ hiểu và xây dựng một kế hoạch CNTT thực tế. Bạn có thể xem thêm các câu hỏi phổ biến của chủ doanh nghiệp trong phần answers.

Một sự kiện an ninh mạng có thể tạo ra các chi phí vượt xa việc chỉ sửa một máy tính. Bạn có thể gặp chi phí gián đoạn kinh doanh, các khoản phí pháp lý hoặc điều tra số từ bên ngoài, chi phí thông báo cho khách hàng, tổn thất do gian lận thanh toán, tranh chấp với nhà cung cấp, hoặc áp lực từ một khách hàng có công việc bị trì hoãn.

Với một số doanh nghiệp, rủi ro lớn nhất không phải là một vụ tấn công “hoành tráng”. Đó có thể là vấn đề hằng ngày như bị chiếm quyền tài khoản email, gian lận hóa đơn giả mạo, làm thất lạc laptop, mã độc tống tiền (ransomware), hoặc bản sao lưu không khôi phục được “sạch” như mong muốn. Thậm chí chỉ một gián đoạn ngắn cũng có thể ảnh hưởng đến lương, lịch làm việc, tồn kho và niềm tin của khách hàng.

Bảo hiểm có thể quan trọng vì các doanh nghiệp nhỏ thường không có “dự phòng tiền mặt” sâu để xử lý một sự kiện bất ngờ. Một hợp đồng có thể giúp chi trả một số khoản nằm trong phạm vi bảo hiểm, nhưng mức độ chi trả thay đổi rất nhiều. Những gì được chi trả, những gì bị loại trừ và công ty bảo hiểm kỳ vọng bạn thực hiện những biện pháp bảo mật nào đều phụ thuộc vào chính hợp đồng đó.

Các yêu cầu cũng có thể đến từ bên ngoài doanh nghiệp của bạn. Một số khách hàng, chủ nhà, ngân hàng cho vay và đối tác trong ngành yêu cầu có bảo hiểm an ninh mạng. Yêu cầu và kỳ vọng sẽ khác nhau tùy theo ngành và từng tiểu bang.

Bạn nên cân nhắc mạnh bảo hiểm an ninh mạng nếu doanh nghiệp của bạn phụ thuộc vào máy tính, phần mềm trên nền tảng đám mây (cloud), email, ngân hàng trực tuyến (online banking) hoặc các hồ sơ kỹ thuật số để vận hành. Điều này bao gồm nhiều văn phòng, cửa hàng bán lẻ, công ty dịch vụ chuyên nghiệp, phòng khám, nhà thầu và các doanh nghiệp gia đình đang tăng trưởng.

Đặc biệt đáng xem xét kỹ hơn nếu bạn lưu thông tin cá nhân của khách hàng hoặc nhân viên, xử lý thẻ thanh toán, sử dụng công cụ làm việc từ xa, hoặc có nhà cung cấp (vendor) được kết nối với hệ thống của bạn. Bạn có càng nhiều “mảnh ghép” số thì khả năng một sự cố tạo ra chi phí trực tiếp càng cao.

Bạn cũng có thể cần đến bảo hiểm nếu hợp đồng yêu cầu hoặc nếu ngành của bạn có các kỳ vọng nghiêm ngặt về quyền riêng tư và tài liệu. Ví dụ, HIPAA (Health Insurance Portability and Accountability Act - Đạo luật về Khả năng Chuyển đổi và Trách nhiệm trong Bảo hiểm Y tế) áp dụng cho một số tổ chức liên quan đến y tế và các “business associate” (đối tác kinh doanh). PCI (Payment Card Industry - các yêu cầu về bảo mật dữ liệu ngành thẻ thanh toán) ảnh hưởng đến các doanh nghiệp xử lý dữ liệu thẻ thanh toán. SOC 2 (một khung kiểm toán phổ biến cho tổ chức cung cấp dịch vụ) có thể trở nên quan trọng nếu khách hàng hỏi hệ thống và quy trình của bạn được kiểm soát như thế nào.

Nếu các thuật ngữ đó còn xa lạ, thì điều đó là bình thường. Mục tiêu không phải là trở thành chuyên gia CNTT. Mục tiêu là hiểu rủi ro của bạn, sau đó làm việc với một nhà cung cấp độc lập và chuyên viên bảo hiểm phù hợp.

Mua bảo hiểm an ninh mạng hiệu quả bắt đầu từ việc nắm rõ bức tranh doanh nghiệp của bạn. Hãy biết bạn có bao nhiêu người, bạn sử dụng những thiết bị nào, hệ thống nào là trọng yếu, bạn lưu trữ các loại dữ liệu gì và nếu email, file hoặc hoạt động lập hóa đơn bị gián đoạn trong một ngày hoặc một tuần thì điều gì sẽ xảy ra.

Bạn cũng nên hiểu hiện trạng hệ thống CNTT của mình. Nếu bạn đang làm việc với một MSP (MSP - managed services provider, nhà cung cấp dịch vụ quản trị CNTT), hãy yêu cầu một bản tóm tắt theo ngôn ngữ dễ hiểu về các biện pháp bảo vệ của bạn. Phần này có thể bao gồm MFA (multi-factor authentication - xác thực đa yếu tố), tức là thêm một bước đăng nhập thứ hai; endpoint protection (bảo vệ điểm cuối), nghĩa là phần mềm giúp bảo vệ từng máy tính và thiết bị; patching (vá/ cập nhật), tức là cài đặt các bản cập nhật bảo mật và phần mềm; quy trình sao lưu, và ai là người phản hồi khi có sự cố xảy ra.

Một số công ty bảo hiểm cũng hỏi về EDR (endpoint detection and response - phát hiện và phản hồi tại điểm cuối), là công cụ theo dõi thiết bị để phát hiện hoạt động đáng ngờ; và RMM (remote monitoring and management - giám sát và quản trị từ xa), là phần mềm mà nhiều nhà cung cấp IT được quản lý sử dụng để theo dõi tình trạng thiết bị và xử lý các công việc bảo trì định kỳ. “Endpoint” đơn giản là một thiết bị như laptop, máy tính để bàn hoặc điện thoại được kết nối với các hệ thống doanh nghiệp của bạn.

Một thiết lập tốt không đảm bảo yêu cầu bồi thường (claim) sẽ được chi trả, và một thiết lập chưa tốt không phải lúc nào cũng có nghĩa bạn không thể mua bảo hiểm. Tuy nhiên, tài liệu tốt hơn và kiểm soát tốt hơn thường giúp cuộc trao đổi về bảo hiểm dễ dàng hơn.

Đừng chỉ tập trung vào phí bảo hiểm (premium). Hãy hỏi những sự kiện nào được bảo hiểm, khoản khấu trừ (deductible) là bao nhiêu, những khoản loại trừ (exclusions) gồm gì, và những điều kiện nào phải được đáp ứng để phạm vi bảo hiểm có hiệu lực. Một số hợp đồng phạm vi rộng. Một số hợp đồng phạm vi hẹp. Chi tiết quan trọng.

Hãy hỏi chính sách bảo hiểm xử lý chi phí liên quan đến ransomware (mã độc tống tiền) như thế nào, gián đoạn kinh doanh, gian lận liên quan đến email hoặc thanh toán, hỗ trợ pháp lý, điều tra số, khôi phục dữ liệu và các yêu cầu bồi thường của bên thứ ba từ khách hàng hoặc đối tác. Đồng thời hỏi liệu các sự cố liên quan đến nhà cung cấp (vendors), ứng dụng cloud (cloud apps) hoặc sai sót của nhân viên có được xử lý khác đi hay không.

Việc hỏi về các biện pháp bảo mật mà công ty bảo hiểm kỳ vọng bạn duy trì là điều hợp lý. Ví dụ thường gặp gồm MFA cho email và tài khoản quản trị, sao lưu đã được kiểm thử, bảo mật thiết bị, cơ chế kiểm soát quyền truy cập của người dùng và các quy trình bằng văn bản. Nếu bạn nói rằng mình có các kiểm soát đó, hãy đảm bảo điều đó là đúng.

Nếu bạn cần hỗ trợ sắp xếp phần CNTT của mình trước khi đi mua, hãy xem phần tổng quan của chúng tôi về services hoặc get matched với một nhà cung cấp IT được quản lý độc lập. NodeBridge IT là một dịch vụ ghép nối miễn phí. Chúng tôi không bán bảo hiểm, không quản trị hệ thống, và không truy cập vào mạng của bạn.