6 điều các đại lý bảo hiểm cần biết về an toàn cơ bản của bảo hiểm an ninh mạng

Khoảng gần cuối năm 2013, Cottage Health System, đơn vị quản lý và vận hành một hệ thống các bệnh viện vùng Nam California, đã phát hiện tin tặc đánh cắp hồ sơ của 32,500 bệnh nhân.

Cottage đã bị kiện ra tòa và phải đền bù một khoản tiền 4.1 triệu USD, khoản tiền này sau đó được công ty bảo hiểm Columbia Casualty Co thanh toán theo điều khoản được quy định trong hợp đồng bảo hiểm được ký kết giữa hai công ty.

Tuy nhiên đến thời điểm này Columbia đang tiến hành thủ tục kiện lại Cottage ra tòa về khoản thanh toán này với cáo buộc rằng Cottage và bên thứ ba cung cấp dịch vụ của công ty này, INSYN Computer Solutions Inc. ,đã lưu trữ những hồ sơ y tế trên một hệ thống hoàn toàn có thể dễ dàng truy cập qua Internet, vì họ đã không mã hóa hoặc không áp dụng những biện pháp an ninh được yêu cầu theo các điều khoản của hợp đồng bảo hiểm.

 “Các công ty bảo hiểm từ chối thanh toán cho những công ty không chịu áp dụng dù chỉ là những biện pháp an ninh mạng hiển nhiên nhất. Nhưng nhiều doanh nghiệp lại không suy nghĩ về những lỗ hổng an ninh mạng với phần mềm có mã nguồn mở”, dẫn lời ông Mike Pittenger, phó chủ tịch về chiến lược bán hàng của Black Duck Software, có trụ sở tại Burlington, Massachusette, một công ty chuyên giúp đỡ các doanh nghiệp về bảo vệ và quản lý sử dụng các công cụ nói trên.

Nguồn gốc của sự rắc rối

Phần mềm có mã nguồn mở thường được hiểu rộng rãi là phần mềm “miễn phí” được phát triển bởi nhiều nhà cung cấp như SSL hoặc Mozilla Firefox, ông Pittenger giải thích. Phần mềm này được các doanh nghiệp tin tưởng và thường sử dụng nhiều hệ thống có mã nguồn mở đó để thực hiện những chức năng cơ bản cần thiết trong một ứng dụng. Và tiếp theo là doanh nghiệp sẽ đưa ra mã logic của mình để thiết kế ứng dụng đó làm việc theo ý đồ của bên phát triển ứng dụng. Ngay cả những ông lớn chuyên về phát triển phần mềm như Microsoft  cũng có thể kết hợp một công nghệ mã nguồn mở nào đó khi tung ra những sản phẩm của họ.

Vấn đề bắt đầu nảy sinh khi một phần mềm có mã nguồn mở được nâng cấp hoặc chỉnh sửa, ông cho biết – nhưng doanh nghiệp lại không biết rằng mã logic đã được lưu lại trong phần mềm thương mại mà họ đang sử dụng và sẽ làm gia tăng độ rủi ro đối với dữ liệu lưu trữ. Vì vậy cá doanh nghiệp phải thuê Black Duck Software và các bên thứ ba tương tự như nó để thông báo cho doanh nghiệp khi phát hiện ra những lỗ hổng bảo mật mới, và giúp đỡ doanh nghiệp chỉnh sửa hoặc nâng cấp phần mềm này.

Ông Pittenger cũng đưa ra sáu lời khuyên dưới đây đối với các đại lý bảo hiểm để hỗ trợ các khách hàng của mình giảm thiểu những lỗ hổng của phần mềm mà khách hàng đang sử dụng.

1. Tuân thủ chặt chẽ các quy định của tiểu bang và liên bang.

Tùy theo loại hình kinh doanh mà khách hàng của bạn đang tiến hành, khách hàng cũng có thể phải chịu trách nhiệm trước các điều luật của tiểu bang và liên bang, ông chỉ ra. Bên cạnh việc bị bệnh nhân khiếu kiện, Cottage Health System còn đang phải đối mặt với một cuộc điều tra của Văn phòng Chưởng lý bang California. Cuộc điều tra này sẽ quyết định xem liệu Cottage đã tuân thủ chặt chẽ các quy định bắt buộc của HIPAA và các điều luật phù hợp khác của liên bang và tiểu bang hay chưa. Dựa trên kết quả điều tra, Cottage có thể phải đối mặt với các hình thức như chịu nộp một khoản lệ phí, một án phạt hoặc một hình phạt nào đó.

Những đại lý nào có khách hàng hoạt động trong lĩnh vực nha khoa hay y tế, các hiệu thuốc, hoặc những nhà cung cấp về chăm sóc sức khỏe thì nên thường xuyên lưu ý họ về vấn đề phải có sự kiểm tra kiểm soát tại chỗ để tuân thủ chặt chẽ những quy định của HIPAA và những quy định khác liên quan đến pháp luật như Đạo luật về Công nghệ Thông tin Chăm sóc sức khỏe đối với Khám chữa bệnh và Kinh tế (HITECH).

2. Bảo đảm an toàn cho mọi thiết bị, kể cả điện thoại thông minh và máy tính bảng.

“Hãy nhắc nhở khách hàng của bạn phải lưu tâm đến các thiết bị cầm tay”, ông Pittenger nói, và bạn phải hiểu khách hàng sẽ kết nối với các hệ thống mạng ra sao, và những dữ liệu nào được lưu trữ trong các thiết bị này.

Các thiết bị này không chỉ thuộc về khách hàng của bạn: Nhiều chuyên gia bảo hiểm sử dụng các thiết bị cầm tay trong khi làm việc từ xa, nhưng những thiết bị này không có cùng cấp độ an toàn như các máy tính xách tay và máy tính bàn.

 

3. Cần biết nơi lưu trữ dữ liệu của bạn

“Những doanh nghiệp bán lẻ quy mô nhỏ hoặc tương tự như vậy thường thuê dịch vụ bên ngoài cho những ứng dụng về PCI (thẻ thanh toán)”, theo quan sát của ông Pittenger. “khi bên làm thủ tục thanh toán quét thẻ của bạn, thông tin thường được lưu vào bộ xử lý của bên thứ ba”. Nhữn doanh nghiệp quy mô nhỏ khác có thể sử dụng dịch vụ của bên thứ ba như Square hoặc PayPal.

Các đại lý cần thường xuyên chỉ dẫn cho khách hàng thấy được trách nhiệm cơ bản họ cần phải có đối với vấn đề về dữ liệu, thậm chí cho dù một thỏa thuận thuê dịch vụ bên ngoài có thể bao gồm cả yêu cầu đối với bên thứ ba cung cấp dịch vụ phải đáp ứng được những tiêu chuẩn an ninh về PCI. “Hãy tư vấn cho khách hàng của bạn để họ chắc chắn rằng họ không lưu trữ mã thẻ tín dụng trong bất kỳ một thiết bị điện tử nào hay trong một máy tính nội bộ”, ông Pittenger nói. Các dữ liệu khi thuê dịch vụ bên ngoài sẽ được chuyển lên đám mây, và chúng cần phải được mã hóa trong quá trình luân chuyển hoặc khi lưu lại.

Doanh nghiệp cũng cần tìm hiểu về độ an toàn vật lý tại trung tâm lưu trữ dữ liệu cũng như về an toàn thông tin, ông nói thêm. Ví dụ, nhiều trung tâm lưu trữ dữ liệu sẽ yêu cầu một dấu vân tay để truy cập hoặc chỉ cho phép một người tại một thời điểm nhất định mới có thể được chấp nhận truy cập.

 

4. Liên tục giám sát

Khi một khách hàng mua bảo hiểm an ninh mạng, hợp đồng bảo hiểm này phải đáp ứng được những tiêu chí đặt ra ở mức tối thiểu. Hãy huấn luyện khách hàng của bạn làm sao để cuối cùng họ phải chịu trách nhiệm đáp ứng được những tiêu chí này – thậm chí cả khi họ đã thuê bên thứ ba quản lý dữ liệu, ông Pittenger nói. Ký hợp đồng không thôi chưa đủ, như những gì đã xảy ra trong bài học của Cottage. Bên thứ ba cung cấp dịch vụ của công ty này là quá nhỏ để có thể đền bù cho Columbia chi phí khắc phục sự cố, và Cottage sẽ có thể phải hoàn trả lại khoản tiền 4.1 triệu USD trong trường hợp công ty này thua kiện.

Hãy đào tạo khách hàng mua bảo hiểm an ninh mạng về những quy định bắt buộc đối với họ trong việc đáp ứng những yêu cầu tối thiểu trong hợp đồng bảo hiểm để họ nhận biết được rằng bảo hiểm là một vấn đề hết sức quan trọng, ông Pittenger cho biết. Nhưng trước khi bên công ty bảo hiểm có thể quản lý được rủi ro của khách hàng, khách hàng cần có sự kiểm tra tại chỗ - và khách hàng của bạn phải nhận biết được những lỗ hổng trong hệ thống mạng của mình.

Việc giám sát thường xuyên chính là yếu tố mấu chốt và không đơn thuần chỉ là những hoạt động kiểm tra mang tính kỹ thuật mỗi năm một lần, ông Pittenger chỉ rõ. Bên đại lý nên chỉ ra cho khách hàng biết rằng công ty bảo hiểm luôn gần như chắc chắn sẽ có sự kiểm tra – một cách bất thình lình đối với hệ thống đảm bảo an toàn của doanh nghiệp – trước khi thực hiện công tác chi trả bảo hiểm, và khách hàng phải có trách nhiệm giám sát.

Đại lý cũng nên nhận thức được rằng với khách hàng là các doanh nghiệp nhỏ, họ rất dễ bị tấn công. “Các doanh nghiệp nhỏ hơn thường sử dụng phần mềm trọn gói, và họ thuê dịch vụ bên ngoài để quản lý công nghệ internet của mình”, ông Pittenger lưu ý, “bởi vậy họ không có một trung tâm an ninh để thực hiện bất kỳ một hoạt động giám sát nào – hoặc họ cũng chẳng suy nghĩ về điều này”.

 

5. Tăng cường nhiều hơn nữa các biện pháp bảo vệ an ninh mạng

Ông Pittenger lưu ý rằng những yêu cầu tối thiểu về an ninh mạng của phía Columbia mà theo ông khắc họa thì chỉ là “biện pháp dọn dẹp vệ sinh đơn giản”. Ví dụ, Cottage đã được yêu cầu thay đổi mật khẩu đang sử dụng cùng với tường lửa của hệ thống mạng của công ty này. Nếu phần mềm Cottage đang sử dụng phát hành một bản  chỉnh sửa hoặc nâng cấp, Cottage phải cài đặt chỉnh sửa này trong vòng 60 ngày. Thậm chí là, Cottage cũng như nhiều tổ chức khác, để vận hành công nghệ của mình, đã thuê một bên thứ ba mà bên này lại không tuân theo những yêu cầu tối thiểu được quy định trong hợp đồng bảo hiểm. Thêm vào đó, Cottage không có những kiểm tra kiểm soát tại chỗ để đảm bảo rằng những yêu cầu này đã được thực thi, và hậu quả là công ty dính đòn tấn công của tin tặc.

 “Bảo hiểm không gian mạng đòi hỏi sự siêng năng đúng đắn của bên được bảo hiểm”, ông Pittenger chỉ ra, “và đại lý nên hỏi khách hàng của mình về việc họ đang quản lý nguy cơ xâm phạm dữ liệu tới mức độ nào”. Ít nhất là trong hầu hết các hợp đồng bảo hiểm đều có yêu cầu tiến hành cài đặt nâng cấp các bản sửa nếu được phát hành từ các công ty phần mềm. Việc không thực hiện cài đặt các bản sửa có thể dẫn đến việc khoản bồi thường bảo hiểm bị từ chối thanh toán, giống như trường hợp của Cottage đã cho thấy.

 

6. Hiểu phần mềm bạn đang sử dụng.

Các khách hàng là doanh nghiệp phải “Hiểu phần mềm (mà họ) đang sử dụng, những biện pháp an ninh và những lỗ hổng của nó”, ông cho biết. Bước đầu tiên, hãy khuyên khách hàng phải biết những thông tin gì mà họ đang có, chúng được lưu trữ ở đâu suốt thời gian, và có thể áp đụng những ứng dụng gì để kiểm tra được chúng. Điều này sẽ khiến khách hàng phải dành ưu tiên cho những cố gắng về ứng dụng an ninh mạng.

Bước tiếp theo, hãy lưu ý khách hàng của bạn phải có những chính sách và quy trình thủ tục để nâng cấp phần mềm bất kỳ lúc nào những bản nâng cấp này được phát hành – và đảm bảo rằng những chính sách và quy trình thủ tục đó phải được thực hiện chính xác và nhanh chóng. Nếu khách hàng của bạn sử dụng bên thứ ba để quản lý công nghệ, hãy yêu cầu họ đưa ra quy định rằng bên thứ ba cũng phải xây dựng các chính sách và quy trình thủ tục này. “Bạn có thể thuê dịch vụ bên ngoài để thực hiện hoạt động, nhưng không thể chuyển giao cho họ trách nhiệm về an ninh mạng”, ông khẳng định.

Quốc Đạt (theo Business Insurance)

 

Các khách hàng là doanh nghiệp phải “Hiểu phần mềm (mà họ) đang sử dụng, những biện pháp an ninh và những lỗ hổng của nó.
Chia sẻ bài viết này