Bởi Imran Ahmad
Đối tác, Miller Thomson LLP
Đầu mùa hè này, khi Đại học Calgary là nạn nhân của một cuộc tấn công ransomware, nó công khai nói rằng bảo hiểm mạng mà nó đã mua chứng tỏ vô giá trong việc đối phó với hậu quả của cuộc tấn công. Không nghi ngờ gì nữa, các tổ chức đang ngày càng xem xét việc mua bảo hiểm có thể giúp họ trong trường hợp xảy ra sự cố mạng. Theo PwC gần đây báo cáo, thị trường bảo hiểm mạng sẽ tăng gấp ba lần lên 7,5 tỷ đô la vào năm 2020.
Với nền tảng đó, tổ chức của bạn có nên mua bảo hiểm mạng không? Nếu vậy, bạn nên đưa ra trường hợp kinh doanh như thế nào và nên thực hiện những bước nào để đảm bảo rằng tổ chức của bạn có được chính sách phù hợp nhất với nhu cầu của tổ chức?
Trước khi mua bảo hiểm mạng, tối thiểu các tổ chức phải thực hiện các bước sau để đảm bảo rằng họ đang nhận được sản phẩm phù hợp dựa trên nhu cầu thực tế của mình. Đánh giá này nên bao gồm các bước sau:
Đánh giá các chính sách và giao thức nội bộ liên quan đến con người, vật lý và an ninh mạng, quyền riêng tư và sự chuẩn bị sẵn sàng cho sự cố mạng.
Xác định khả năng tiếp xúc. Điều này có thể được thực hiện theo nhiều cách khác nhau, bao gồm, ví dụ, lưu giữ một thẻ điểm rủi ro của các bộ phận / phòng ban của doanh nghiệp, tiến hành phân tích lỗ hổng của các chính sách và giao thức ứng phó sự cố mạng của doanh nghiệp, đồng thời phát triển bản đồ rủi ro xác định và khóa đánh giá rủi ro về quyền riêng tư và bảo mật thông tin.
Xem xét các tình huống sự cố mạng khác nhau (từ “nhẹ” đến “thảm khốc”) và chuẩn chi phí liên quan đến từng tình huống dựa trên các kết quả so sánh trong ngành.
Xem lại các chính sách bảo hiểm hiện tại của doanh nghiệp để xác định những gì được bảo hiểm và những gì không.
Dựa trên đánh giá này, doanh nghiệp sẽ có vị trí tốt để xác định các loại rủi ro mạng mà họ sẵn sàng tìm kiếm bảo hiểm (ví dụ:quyền riêng tư và an ninh mạng, trách nhiệm pháp lý, quản lý khủng hoảng, gián đoạn mạng, phạm vi bảo hiểm tài sản thông tin, tống tiền, v.v. ). Ngoài ra, các bước này sẽ chứng minh cho công ty bảo hiểm rằng tổ chức đã thực hiện các bước để hiểu hồ sơ mạng của mình và cũng có thể giúp giảm phí bảo hiểm liên quan đến bất kỳ chính sách mạng nào.
Theo nguyên tắc chung, bảo hiểm mạng sẽ cung cấp bảo hiểm cho tổn thất của bên thứ nhất và trách nhiệm của bên thứ ba. Bảo hiểm tổn thất của bên thứ nhất sẽ bao gồm những điều sau:
Điều này bao gồm chi phí điều tra sự cố mạng, thông báo cho các cơ quan quản lý, khách hàng bị ảnh hưởng và cung cấp giám sát tín dụng.
Phạm vi đáp ứng nhu cầu tiền của tin tặc để đổi lấy việc mở khóa hoặc không làm hỏng dữ liệu hoặc mạng của công ty. Ví dụ phổ biến nhất là cuộc tấn công ransomware - đã gia tăng đáng kể vào năm 2016.
Phạm vi bảo hiểm cho các chuyên gia để khôi phục hoặc khôi phục dữ liệu bị mất sau một sự cố.
Hoàn trả thu nhập hoặc chi phí bị mất liên quan đến việc khôi phục hoạt động khi doanh nghiệp của bạn đi xuống. Về mặt trách nhiệm pháp lý của bên thứ ba , bảo hiểm mạng thường sẽ cung cấp các loại hình bảo hiểm sau:
Phạm vi bảo vệ và bồi thường cho các vụ kiện do sơ suất liên quan đến sự cố mạng.
Bảo vệ và bồi thường các vụ kiện của các bên tuyên bố vi phạm quyền riêng tư do vi phạm dữ liệu.
Phạm vi bảo hiểm cho các vụ kiện của một bên vì làm hỏng mạng của họ do sự cố mạng.
Phạm vi bảo hiểm cho các hành động quản lý phát sinh do sự cố mạng.
Quy mô của một tổ chức, ngành mà tổ chức đó hoạt động, loại dữ liệu mà tổ chức đó nắm giữ, rủi ro tiềm ẩn và các cân nhắc khác sẽ ảnh hưởng đến phạm vi phạm vi trách nhiệm pháp lý trên mạng mà họ tìm kiếm. Sự hiểu biết rõ ràng về vị trí của nó trên phổ rủi ro mạng sẽ rất quan trọng trong việc đảm bảo rằng một doanh nghiệp có được phạm vi trách nhiệm pháp lý trên mạng phù hợp. Bài tập này sẽ thông báo cho các tổ chức khi thương lượng phí bảo hiểm và các dịch vụ cần có trong chính sách mạng.
Mặc dù trách nhiệm pháp lý chung thương mại tiêu chuẩn (CGL), lỗi &thiếu sót (E&O) và chính sách giám đốc &cán bộ (D&O) có thể đã đưa ra một số biện pháp bảo vệ này, nhưng nếu một tổ chức không cẩn thận, có thể có những loại trừ vi phạm mạng trong các chính sách đó có thể hạn chế loại hỗ trợ cần thiết để đối phó hiệu quả với sự cố mạng.
Bảo hiểm mạng phải là một phần của chiến lược giảm thiểu rủi ro của bất kỳ tổ chức nào. Điều đó nói lên rằng, không phải tất cả các chính sách mạng đều bình đẳng và một tổ chức trước tiên nên đánh giá nhu cầu cụ thể, mức độ rủi ro và sau đó đàm phán về phạm vi bảo hiểm mạng tốt nhất.
* Imran Ahmad là Đối tác tại công ty luật Miller Thomson LLP ở Toronto và chuyên về lĩnh vực luật an ninh mạng. Có thể liên hệ với anh ấy tại iahmad @ millerthomson. Com.