Mondelez, tập đoàn thực phẩm khổng lồ của Mỹ sở hữu các thương hiệu nổi tiếng như bánh bích quy Oreo và kẹo sô cô la Cadbury, đang kiện công ty bảo hiểm của mình, Zurich Insurance, vì đã từ chối trả khoản bồi thường 100 triệu đô la Mỹ cho các thiệt hại gây ra bởi cuộc tấn công mạng NotPetya.
Vụ kiện này sẽ là tranh chấp pháp lý nghiêm trọng đầu tiên về cách thức mà các khách hàng doanh nghiệp có thể bù đắp được các chi phí khắc phục hậu quả của một cuộc tấn công mạng, trong khi các doanh nghiệp bảo hiểm lại đang tìm cách xác định một cách chặt chẽ phạm vi bảo hiểm thuộc trách nhiệm của mình.
“Đây là một vụ kiện lớn. Tôi chưa bao giờ thấy một công ty bảo hiểm nào lại đưa ra quan điểm và lập trường như thế này,” theo ông Robert Stines, một chuyên gia về luật an ninh mạng tại công ty luật Mỹ Freeborn cho biết. “Vụ này sẽ làm chấn động toàn bộ ngành bảo hiểm. Các khách hàng doanh nghiệp lớn sẽ phải suy nghĩ lại về những trách nhiệm gì đang được bao gồm trong phạm vi hợp đồng bảo hiểm của họ.”
Vào tháng 6 năm 2017, một chương trình phần mềm độc hại có tên ExPetr hoặc NotPetya đã tàn phá tập đoàn vận tải khổng lồ Maersk của Đan Mạch, công ty dược phẩm Merck của Mỹ, hãng dầu khí Rosneft của chính phủ Nga, và một số tập đoàn lớn khác, bao gồm cả tập đoàn Mondelez. NotPetya đã sử dụng một thủ thuật khai thác lỗ hổng gọi là EternalBlue, được tạo bởi Cơ quan An ninh Quốc gia Hoa Kỳ và đã bị rò rỉ vào đầu năm 2017.
Vào tháng 2 năm 2018, Vương quốc Anh đã chính thức đổ lỗi cho Nga về vụ tấn công mạng quy mô lớn và độc hại khác thường này. Hoa Kỳ, Canada và Úc nhanh chóng làm theo Anh, theo một kế hoạch được tiết lộ sau này là một hành động ngoại giao phối hợp. Tuyên bố chính thức từ Nhà Trắng gọi phần mềm độc hại này là một phần của nỗ lực liên tục của nhà cầm quyền Kremlin, nhằm gây bất ổn cho Ukraine, và nói rằng vụ việc này đã chứng minh rõ ràng hơn bao giờ hết việc chính phủ Nga có liên quan đến cuộc xung đột đang diễn ra. Các công ty bảo mật an ninh mạng cho biết cuộc tấn công đã xảy ra đầu tiên ở Ukraine.
Sự quy kết thủ phạm chính thức cho Nga của các chính phủ phương Tây phù hợp với phương thức vạch mặt chỉ tên và bôi nhọ được tăng cường trong những năm gần đây. Họ không cảm thấy buộc phải cung cấp bất kỳ bằng chứng nào: Điều đó không cần thiết, nếu ý tưởng là nói với Nga rằng, “Chúng tôi biết các ngài đang làm gì.” Chính phủ Nga luôn phủ nhận sự liên quan đến vụ việc, vì vậy hậu quả thường được giới hạn trong một vụ đấu khẩu công khai.
Nhưng không phải trong trường hợp này: Vụ tranh chấp Mondelez – Zurich có thể đặt ra một tiền lệ rất tai hại, đặt ra câu hỏi liệu các quy tắc kinh doanh có cần phải thay đổi để phù hợp với một thế giới mới đầy khắc nghiệt của các cuộc tấn công mạng hay không.
Trong các giấy tờ được nộp lên tòa án tại bang Illinois, Mondelez nói rằng đã bị tin tặc NotPetya tấn công hai lần, khiến cho 1,700 máy chủ và 24,000 máy tính xách tay của tập đoàn này đã bị hư hỏng vĩnh viễn.
Mondelez đã đòi bồi thường 100 triệu đô la Mỹ theo hợp đồng bảo hiểm của mình vì họ tin rằng sự hư hỏng hoàn toàn của 1,700 máy chủ và 24,000 máy tính xách tay của họ, do NotPetya gây ra, cộng với việc đánh cắp hàng ngàn thông tin người dùng, tổn thất các đơn đặt hàng của khách hàng chưa được thực hiện và các tổn thất khác, là nằm trong các điều khoản của hợp đồng bảo hiểm của họ, trong đó đã bao gồm bồi thường cho các tổn thất vật lý hoặc thiệt hại đối với dữ liệu điện tử, chương trình hoặc phần mềm gây ra bởi hành vi cài cắm mã độc hoặc các tập lệnh máy tính nhằm mục đích phá hoại. Vào tháng 6 năm 2018, Zurich phản bác rằng vụ NotPetya đã bị loại trừ trong hợp đồng bao gồm “các hành vi thù địch hoặc hiếu chiến xảy ra trong thời gian hòa bình hoặc chiến tranh,” có nghĩa là công ty bảo hiểm này không có trách nhiệm đáp ứng yêu cầu bồi thường nói trên.
Mondelez đã kiện ra tòa, khẳng định rằng việc Zurich áp dụng điều khoản loại trừ bảo hiểm đối với một cuộc tấn công mạng hoặc, đối với bất cứ điều gì trừ sự kiện chiến tranh thông thường, là chưa từng có tiền lệ. Gánh nặng chứng minh trong trường hợp như thế này thuộc về phía công ty bảo hiểm. Các cuộc tấn công mạng nổi tiếng là rất khó để quy kết trách nhiệm, và thậm chí các bằng chứng được thu thập bởi các công ty an ninh mạng có thể sẽ không thuyết phục được tòa án.
Tuy nhiên, trong trường hợp cụ thể này, Zurich có thể dẫn chiếu đến một số tuyên bố chính thức của các chính phủ phương Tây mô tả NotPetya là một phần trong hành động thù địch của Nga chống lại Ukraine. Tuy nhiên, như thường lệ đối với các tiết lộ từ các cơ quan tình báo, không có bất kỳ bằng chứng nào được đưa ra để làm cơ sở cho các lời buộc tội này. Vụ kiện đặt ra câu hỏi liệu các lời buộc tội từ các nguồn chính thức của chính phủ có nên được chấp nhận làm bằng chứng tại tòa hay không, ngay cả khi chúng không được chứng minh.
Theo các tài liệu Mondelez nộp cho tòa, Zurich ban đầu đã làm việc để điều chỉnh yêu cầu bồi thường của Mondelez theo cách thông thường, và thậm chí có lúc đã hứa sẽ thực hiện một khoản thanh toán tạm thời 10 triệu đô la Mỹ. Nhưng sau đó họ đã từ chối trả tiền, dựa vào điều khoản loại trừ trong hợp đồng bảo hiểm đối với một hành động thù địch hoặc hiếu chiến, gây ra bởi một chính phủ hoặc cơ quan quyền lực có chủ quyền, hoặc bởi những người đã hành động nhân danh những thể chế này.
Mondelez mô tả hành động từ chối bồi thường của Zurich là “chưa từng có tiền lệ” và đã yêu cầu phải trả 100 triệu đô la Mỹ tiền bồi thường. Cả hai công ty đều từ chối bình luận về vụ việc.
“Đây là bước đi táo bạo để áp dụng điều khoản loại trừ chiến tranh đối với một vụ xâm phạm của tin tặc do nhà nước tài trợ. Chưa bao giờ có ai áp dụng điều khoản loại trừ này từ trước tới nay,” theo bà Sarah Stephens, một chuyên gia an ninh mạng tại công ty môi giới bảo hiểm JLT, cho biết. “Nhà bảo hiểm sẽ phải chứng minh điều đó và đây là điều rất khó để chứng minh về nguyên nhân gây ra vụ việc.”
Ông Rob Smart, giám đốc kỹ thuật của công ty tư vấn bảo hiểm Mactavish, cho biết các điều khoản loại trừ khủng bố và chiến tranh là “một lĩnh vực không rõ ràng” nhưng ít có khả năng bên công ty bảo hiểm đã chủ tâm loại trừ những cuộc tấn công mạng như vậy khi đưa vào hợp đồng bảo hiểm các điều khoản loại trừ chiến tranh.
Yêu cầu bồi thường này đã trở thành tâm điểm của một trong những nỗi lo lắng lớn nhất của ngành công nghiệp bảo hiểm về các cuộc tấn công mạng. Trong khi đang có một thị trường bùng nổ về các sản phẩm bảo hiểm dành riêng cho an ninh mạng, nhiều khách hàng doanh nghiệp lại đưa ra yêu cầu bồi thường cho các cuộc tấn công mạng dựa trên cơ sở các hợp đồng bảo hiểm không liên quan đến an ninh mạng của họ, như Mondelez đã làm.
Các công ty bảo hiểm lo ngại về mức độ đầy đủ của cái gọi là “rủi ro an ninh mạng thầm lặng” này, và các chuyên gia cho biết Zurich Insurance có thể đang tìm cách thử thách nhận định của tòa án về quan điểm này.
“Đây là một tổn thất lớn đối với một hợp đồng bảo hiểm không liên quan đến an ninh mạng. Đây sẽ là một yêu cầu bồi thường thầm lặng về an ninh mạng, và các công ty bảo hiểm đang cố gắng loại bỏ phạm vi trách nhiệm bảo hiểm đó,” bà Stephens cho biết.
Tuy nhiên, vụ việc có thể có ý nghĩa rộng lớn hơn đối với thị trường bảo hiểm, có khả năng thúc đẩy người mua bảo hiểm mua các sản phẩm bảo hiểm dành riêng cho an ninh mạng, hoặc yêu cầu các điều khoản chặt chẽ hơn cho các hợp đồng bảo hiểm không liên quan đến an ninh mạng của họ.
Vụ kiện của Mondelez, nhà sản xuất sô cô la Oreos và Cadbury, chống lại Tập đoàn bảo hiểm Zurich cho thấy các chính phủ nên cẩn thận hơn trong việc xác định thủ phạm trong các vụ tấn công mạng: Những tuyên bố như vậy có thể gây hậu quả không lường trước được, và đôi khi có thể gây tổn hại không nhỏ cho các khách hàng bảo hiểm doanh nghiệp.
Hoa Kỳ và các chính phủ khác nên suy nghĩ kỹ xem liệu những lợi ích đáng ngờ mà họ nhận được từ các cáo buộc công khai có đáng để phải chịu hậu quả: Nếu tòa án và các luật sư thực sự bắt đầu tin vào các tường thuật về tấn công mạng và sẽ hành động như thể bất kỳ thiệt hại nào gây ra cho các công ty phương Tây sẽ được coi là thiệt hại chiến tranh không thể được bảo hiểm? Liệu ngôn ngữ về chiến tranh có thực sự được coi là sự mô tả đúng đắn đối với các cuộc đối đầu trên không gian mạng hiện nay hay không? Điều gì sẽ xảy ra với sản phẩm bảo hiểm rủi ro an ninh mạng nếu bất kỳ cuộc tấn công nào cũng có khả năng được tuyên bố là một phần của một cuộc chiến tranh?
Nhưng lời buộc tội về tấn công mạng có thể hấp dẫn và mang tính giật gân, nhưng cũng rất vô nghĩa. Có lẽ đây là thời điểm để các bên chính phủ giảm bớt luận điệu đó, hoặc ít nhất phải suy nghĩ hai lần trước khi sử dụng ngôn ngữ mạnh như vậy.
Vụ kiện kỳ lạ trị giá 100 triệu USD này cho thấy các công ty có thể trở thành vật hy sinh khi các chính phủ công khai đổ lỗi cho các quốc gia khác về các vụ tấn công của tin tặc.
Từ xe hơi đến động đất: Các ngân hàng của Ý tấn công vào lĩnh vực bảo hiểm
Lễ kỷ niệm sinh nhật lần thứ 100 của AIG và sự bất mãn của ông già 93 tuổi Hank Greenberg
Lê Minh
Theo Bloomberg/Financial Times
