Các công ty bảo hiểm an ninh mạng yêu cầu gì?

Hầu hết các công ty bảo hiểm mạng sẽ hỏi liệu doanh nghiệp của bạn đã có một vài biện pháp bảo vệ cốt lõi trước khi họ cung cấp bảo hiểm hoặc gia hạn chính sách. Ví dụ phổ biến bao gồm xác thực đa yếu tố, thường gọi là MFA, cho email và các tài khoản quan trọng; phần mềm diệt vi-rút hoặc hệ thống phát hiện và phản hồi trên thiết bị, gọi là EDR; cập nhật vá phần mềm định kỳ; sao lưu; và đào tạo nhân viên.

Họ cũng thường hỏi cách bạn xử lý truy cập từ xa, ai có quyền quản trị, liệu bạn có kiểm tra khôi phục từ bản sao lưu hay không, và liệu bạn có kế hoạch xử lý các sự cố như gian lận, mã độc tống tiền (ransomware) hoặc thiết bị bị đánh cắp. Một số hãng bảo hiểm hỏi rất chi tiết trong đơn đăng ký. Những hãng khác có thể yêu cầu cung cấp bằng chứng sau.

Điểm quan trọng cần biết là điều này. Các công ty bảo hiểm không tìm kiếm sự hoàn hảo. Thông thường họ muốn thấy rằng bạn có các biện pháp kiểm soát ở mức hợp lý, bạn biết rõ mình đang có gì, và có một người chịu trách nhiệm duy trì các hạng mục cơ bản đó luôn ở trạng thái sẵn sàng.

Bảo hiểm mạng có thể giúp chi trả chi phí sau một số sự cố nhất định, nhưng phạm vi bảo hiểm phụ thuộc vào các câu trả lời trong đơn đăng ký và các điều khoản trong hợp đồng. Nếu doanh nghiệp của bạn khai rằng một biện pháp kiểm soát đã được triển khai nhưng thực tế thì không, điều đó có thể gây ra rắc rối trong quá trình yêu cầu bồi thường. Đây là một lý do khiến chủ doanh nghiệp nên chậm lại một chút và đảm bảo các câu trả lời là chính xác.

Với doanh nghiệp nhỏ, vấn đề không chỉ là bảo hiểm. Những hạng mục mà công ty bảo hiểm hỏi thường cũng chính là các “cơ bản” mà một nhà cung cấp IT quản trị tốt, thường gọi là MSP, sẽ khuyến nghị theo bất kể có bảo hiểm hay không. Đây là các bước thực tế giúp giảm thiểu những rủi ro có thể tránh được và giúp việc khôi phục dễ hơn khi có sự cố xảy ra.

Yêu cầu cũng khác nhau theo ngành và theo tiểu bang. Một phòng khám y tế có thể có các câu hỏi liên quan đến HIPAA, Đạo luật về Khả năng Chuyển đổi và Trách nhiệm Giải trình Bảo hiểm Y tế (Health Insurance Portability and Accountability Act). Một doanh nghiệp xử lý thẻ thanh toán có thể được hỏi về PCI, Chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (Payment Card Industry Data Security Standard). Một công ty bán hàng cho các tổ chức lớn hơn cũng có thể nghe nhắc đến SOC 2, một khung mà nhiều khách hàng dùng để đánh giá các biện pháp kiểm soát an ninh.

Bảo mật email là một trong những mảng đầu tiên mà các công ty bảo hiểm nhìn vào. Họ thường muốn bật MFA trên Microsoft 365, Google Workspace và mọi ứng dụng đám mây có thông tin nhạy cảm. MFA có nghĩa là người dùng cần một bước xác thực thứ hai khi đăng nhập, chẳng hạn mã từ ứng dụng hoặc khóa phần cứng, chứ không chỉ bằng mật khẩu.

Họ cũng hỏi về bảo vệ thiết bị đầu cuối (endpoint protection). Endpoint là một thiết bị như laptop, máy tính để bàn hoặc máy chủ. EDR, endpoint detection and response, là một công cụ nâng cao hơn so với phần mềm diệt vi-rút cơ bản. Nó giúp phát hiện hoạt động đáng ngờ trên các thiết bị và cung cấp cho nhà cung cấp IT một cách thức để điều tra và phản hồi.

Một chủ đề phổ biến khác là cập nhật vá (patching). Patching nghĩa là cài đặt các bản cập nhật bảo mật và cải thiện độ ổn định cho hệ điều hành, trình duyệt, phần mềm doanh nghiệp, tường lửa (firewall) và các công cụ khác. Công ty bảo hiểm có thể hỏi bạn áp dụng các bản cập nhật quan trọng nhanh đến mức nào và liệu các hệ thống không còn được hỗ trợ có còn đang được sử dụng hay không.

Sao lưu cũng là trọng tâm lớn. Nhiều hãng bảo hiểm muốn có bản sao lưu được tách khỏi các hệ thống hoạt động hằng ngày và được kiểm tra định kỳ. Bạn có thể nghe đến thuật ngữ sao lưu 3-2-1 (3-2-1 backup). Điều đó có nghĩa là giữ 3 bản dữ liệu, trên 2 loại phương tiện khác nhau, với 1 bản được lưu ngoài cơ sở hoặc được tách biệt theo cách khác. Không có nhà cung cấp nào trung thực hứa hẹn “không downtime”, một mạng không thể bị tấn công, hoặc đảm bảo khôi phục thành công, nhưng các công ty bảo hiểm vẫn muốn thấy rằng kế hoạch khôi phục là thực sự tồn tại.

Kiểm soát truy cập cũng rất quan trọng. Các công ty bảo hiểm thường hỏi ai có quyền quản trị, liệu nhân viên cũ có được gỡ quyền nhanh chóng hay không, và truy cập từ xa có được giới hạn cũng như bảo vệ hay không. Họ cũng có thể hỏi liệu nhà cung cấp (vendor) hoặc nhà thầu (contractor) có thể truy cập vào hệ thống của bạn hay không, và cách thức việc truy cập đó được kiểm soát.