LONDON – Chỉ vài ngày sau một cuộc tấn công mạng, hệ thống nhà kho của tập đoàn sản xuất thực phẩm ăn nhẹ Mondelez International đã chìm ngập hàng tồn kho của các sản phẩm như bánh quy Oreo và bánh quy Ritz.
Mondelez, chủ sở hữu của hàng chục thương hiệu thực phẩm nổi tiếng như sô cô la Cadbury và phô mai kem Philadelphia, là một trong hàng trăm công ty bị tấn công bởi cuộc tấn công mạng có tên gọi NotPetya vào năm 2017. Máy tính xách tay bị treo đột ngột khi nhân viên của Mondelez đang làm việc tại bàn của họ. Email không thể nào truy cập được, kể cả quyền truy cập vào các tệp dữ liệu được lưu trữ trên mạng nội bộ của công ty. Phần mềm hậu cần có vai trò điều phối quá trình giao hàng và theo dõi việc xuất hóa đơn cũng bị phá sập hoàn toàn.
Ngay cả khi huy động toàn lực đội ngũ làm việc suốt ngày đêm, cũng phải mất vài tuần trước khi Mondelez có thể khôi phục lại hoạt động bình thường. Sau khi kiểm tra các đơn đặt hàng bị mất và các thiết bị máy tính được thay thế, thiệt hại về tài chính của tập đoàn đã lên tới hơn 100 triệu đô la Mỹ, theo các tài liệu được nộp lên tòa án cho thấy.
Sau khi thoát khỏi cơn khủng hoảng, các giám đốc điều hành của tập đoàn Mondelez đã có một chút an ủi khi biết rằng bảo hiểm sẽ giúp trang trải các chi phí thiệt hại. Đúng là nằm mơ!
Công ty bảo hiểm của Mondelez, tập đoàn bảo hiểm Zurich Thụy Sĩ, cho biết họ sẽ không giải quyết bồi thường. Zurich đã trích dẫn một điều khoản phổ biến, nhưng hiếm khi được sử dụng trong các hợp đồng bảo hiểm: loại trừ sự kiện bảo hiểm “chiến tranh”, có tác dụng bảo vệ các công ty bảo hiểm khỏi bị gánh chịu các chi phí liên quan đến thiệt hại do các cuộc chiến tranh gây ra.
Mondelez được coi là nạn nhân bị thiệt hại trong một cuộc chiến tranh mạng.
Cuộc tấn công mạng năm 2017 là một bước ngoặt chấn động cho toàn bộ ngành bảo hiểm. Kể từ đó, các công ty bảo hiểm đã áp dụng điều khoản loại trừ bảo hiểm cho chiến tranh để tránh các khiếu nại bồi thường liên quan đến các cuộc tấn công bằng kỹ thuật số. Ngoài Mondelez, tập đoàn dược phẩm Merck cũng cho biết các công ty bảo hiểm đã từ chối yêu cầu bồi thường sau khi cuộc tấn công mạng NotPetya phá hủy hầu hết các hoạt động nghiên cứu bán hàng, bán hàng và sản xuất của họ, gây thiệt hại lên tới gần 700 triệu USD.
Khi chính phủ Hoa Kỳ quy trách nhiệm cho chính phủ Nga về cuộc tấn công mạng NotPetya vào năm 2018, các công ty bảo hiểm đã được cung cấp một lời biện minh cho việc từ chối bồi thường các thiệt hại phát sinh. Giống như họ sẽ không phải chịu trách nhiệm nếu một quả bom làm nổ tung tòa nhà của công ty trong một cuộc xung đột vũ trang, nhà bảo hiểm tuyên bố không phải chịu trách nhiệm khi các tin tặc do một chính phủ quốc gia hậu thuẫn mở cuộc tấn công vào các mạng máy tính.
Các tranh chấp đang diễn ra tại tòa án. Trong một cuộc chiến pháp lý được theo dõi chặt chẽ, Mondelez đã khởi kiện tập đoàn bảo hiểm Zurich vào năm ngoái vì vi phạm hợp đồng tại tòa án Illinois, và Merck đã đệ đơn kiện tương tự ở tòa án bang New Jersey vào tháng Tám. Merck đã khởi kiện hơn 20 công ty bảo hiểm do đã từ chối các yêu cầu bồi thường liên quan đến vụ tấn công NotPetya, trong đó có một số nhà bảo hiểm đã viện dẫn điều khoản loại trừ bảo hiểm do chiến tranh. Hai vụ kiện này có thể sẽ kéo dài mất nhiều năm để giải quyết.
Các cuộc đấu tranh pháp lý sẽ tạo tiền lệ về việc ai sẽ trả tiền khi các doanh nghiệp bị tấn công bởi một cuộc tấn công mạng được đổ lỗi cho chính phủ nước ngoài. Các vụ kiện này có ý nghĩa rộng hơn đối với các quan chức chính phủ, những người ngày càng sử dụng giải pháp táo bạo hơn qua việc nêu đích danh và làm nhục các quốc gia tài trợ cho các cuộc tấn công mạng, nhưng giờ đây chính họ lại có nguy cơ bị vướng vào các vụ tranh chấp bởi các công ty bảo hiểm.
“Chúng ta có thể gặp rủi ro rất lớn về việc sản phẩm bảo hiểm an ninh mạng trong tương lai sẽ trở thành vô giá trị,” theo ông Ariel Levite, một thành viên cao cấp tại tổ chức phi chính phủ Carnegie Endowment vì Hòa bình Quốc tế, người đã viết về vụ kiện nói trên. Nhưng ông nói rằng lập trường của ngành bảo hiểm về vụ tấn công NotPetya không hoàn toàn là phù phiếm, bởi vì có sự tin tưởng rộng rãi rằng người Nga đã đứng sau vụ tấn công này.
Mondelez cho biết trong một tuyên bố rằng trong khi hoạt động kinh doanh của họ đã phục hồi nhanh chóng sau vụ tấn công, tập đoàn bảo hiểm Zurich có trách nhiệm tôn trọng một hợp đồng bảo hiểm với phạm vi bảo hiểm đã bao gồm rõ ràng các sự kiện tấn công mạng. Công ty nói thêm họ không tin rằng điều khoản loại trừ chiến tranh là phù hợp với hoàn cảnh này.
Tập đoàn bảo hiểm Zurich, có trụ sở tại Thụy Sĩ, và tập đoàn dược phẩm Merck đã từ chối đưa ra bình luận vì vụ kiện đang được tiến hành. Nhưng các tài liệu tòa án, hồ sơ nộp công khai và các cuộc phỏng vấn với những nguồn tin thân cận với các vụ kiện này đã cung cấp chi tiết về các tranh chấp.
Các cuộc tấn công mạng đã tạo ra một thách thức độc nhất vô nhị cho các công ty bảo hiểm. Các tập quán nghề nghiệp truyền thống, như không cung cấp bảo hiểm cho nhiều tòa nhà trong cùng một khu phố, để tránh rủi ro xảy ra một đám cháy lớn, không áp dụng được cho hoàn cảnh này. Phần mềm độc hại di chuyển rất nhanh và không thể đoán trước, gây ra một loạt các thiệt hại nặng nề cho các nạn nhân.
“Mối đe dọa này liên quan đến mọi loại hình hoạt động kinh doanh,” ông Levite nói. Rủi ro, theo ông, “không còn có thể khống chế được trong thế giới kết nối này.”
NotPetya – đã được lựa chọn với cái tên kỳ lạ này bởi vì các nhà nghiên cứu bảo mật ban đầu nhầm lẫn nó với một phần mềm tống tiền (ransomware) được gọi là Petya – là một ví dụ sinh động. Nó cũng là một cuộc tấn công mạnh mẽ vào các mạng máy tính được tích hợp với một vũ khí trên mạng của Cục An ninh Quốc gia Mỹ, trước đó đã bị đánh cắp.
Các quan chức Mỹ đã truy tìm dấu vết của cuộc tấn công này và kết luận nó có liên quan tới chính phủ Nga và cuộc xung đột với Ukraine. Mục tiêu tấn công ban đầu là một nhà sản xuất phần mềm khai thuế của Ukraine và các khách hàng tại Ukraine. Chỉ trong 24 giờ, NotPetya đã xóa sạch 10% số lượng tất cả các máy tính ở Ukraine, làm tê liệt mạng lưới tại các ngân hàng, trạm xăng, bệnh viện, sân bay, công ty điện lực và gần như mọi cơ quan chính phủ, và làm tắt các máy theo dõi bức xạ tại nhà máy điện hạt nhân cũ ở thành phố Chernobyl.
Cuộc tấn công đã lan đến các khách hàng toàn cầu của công ty sản xuất phần mềm nói trên, và cuối cùng đã tấn công luôn vào cả Mondelez và Merck, cũng như tập đoàn vận tải Đan Mạch Maersk và công ty con của FedEx tại Châu Âu. Nó tấn công ngay cả người khổng lồ dầu mỏ của Nga là tập đoàn dầu khí Rosneft.
Trong một tuyên bố vào năm 2018, Nhà Trắng đã mô tả NotPetya là một phần trong các nỗ lực liên tục của Điện Kremlin nhằm gây bất ổn cho Ukraine và nói rằng “vụ tấn công đã chứng minh rõ ràng hơn về sự tham gia của Nga vào cuộc xung đột đang diễn ra.”
Nhiều công ty bảo hiểm bán sản phẩm bảo hiểm an ninh mạng, nhưng các hợp đồng thường được viết rất cụ thể để phạm vi bảo hiểm chỉ bồi thường cho các chi phí liên quan đến việc mất dữ liệu của khách hàng, chẳng hạn như giúp một công ty kiểm tra điểm số tín dụng, hoặc thanh toán cho các chi phí về pháp lý.
Mondelez, một đơn vị cũ của tập đoàn thực phẩm khổng lồ Kraft của Mỹ, đã lập luận rằng gói sản phẩm bảo hiểm tài sản của mình sẽ bù đắp cho những tổn thất từ cuộc tấn công NotPetya. Trong hồ sơ đệ trình lên tòa án, Mondelez cho biết hợp đồng của họ đã được cập nhật vào năm 2016 để bao gồm cả những tổn thất gây ra bởi hành vi “cài cắm các mã phần mềm độc hại hoặc mã điều khiển máy tính.”
Công ty đã mất tới 1,700 máy chủ và 24,000 máy tính xách tay. Các nhân viên buộc phải giao tiếp thông qua ứng dụng tin nhắn WhatsApp và các giám đốc điều hành phải đăng các tin tức cập nhật trên Yammer, một mạng xã hội được sử dụng bởi các công ty.
Thiệt hại từ vụ tấn công NotPetya lan rộng đến tận thành phố Hobart, bang Tasmania, nơi các máy tính trong nhà máy bánh kẹo Cadbury đã hiển thị cái gọi là tin nhắn tống tiền yêu cầu nộp 300 đô la bằng Bitcoin.
Các tòa án thường phán quyết chống lại các công ty bảo hiểm khi cố gắng áp dụng điều khoản loại trừ chiến tranh. Sau khi những tên không tặc phá hủy một máy bay chở khách Pan Am vào năm 1970, một tòa án Hoa Kỳ đã từ chối các nỗ lực của công ty bảo hiểm Aetna, xác định rằng hành động đó là tội phạm, không phải là một hành động chiến tranh. Năm 1983, một thẩm phán đã ra phán quyết rằng hợp đồng bảo hiểm của Holiday Inn bao gồm cả các thiệt hại phát sinh từ cuộc nội chiến ở Lebanon (Li-Băng).
Trong các vụ kiện của Mondelez và Merck, câu hỏi chính đặt ra là liệu các lời buộc tội của chính phủ Mỹ về vụ tấn công NotPetya là do Nga gây ra có đáp ứng được yêu cầu loại trừ bảo hiểm do chiến tranh hay không.
Các chuyên gia quản lý rủi ro trong ngành cho biết thế nào là một chiến tranh trên mạng vẫn chưa được xác định rõ ràng. Việc quy trách nhiệm có thể khó khăn khi các cuộc tấn công đến từ các nhóm có liên kết không chính thức với một nhà nước của một quốc gia nào đó, và chính phủ bị đổ lỗi lên tiếng phủ nhận sự liên quan của mình.
“Chúng tôi vẫn không có ý tưởng rõ ràng về việc chiến tranh mạng thực sự có dạng như thế nào,” theo ông Jake Olcott, phó chủ tịch của BitSight Technologies, một cố vấn về rủi ro an ninh mạng, cho biết. “Đây là một trong những vấn đề tranh cãi trong vụ kiện này. “Không ai có thể khẳng định đây là một cuộc chiến tranh mạng toàn diện do Nga gây ra.”
Trước đây, các quan chức Mỹ thường ngần ngại không muốn coi các tấn công mạng là chiến tranh mạng, vì sợ thuật ngữ này có thể gây ra sự leo thang đến các hậu quả khác. Chẳng hạn, Tổng thống Barack Obama đã thận trọng khi chỉ nói rằng cuộc tấn công mạng quy mô lớn của Triều Tiên vào Sony Entertainment vào năm 2014, đã phá hủy hơn 70% máy chủ máy tính của Sony, là một hành động phá hoại trên mạng.
Thuật ngữ của Obama khi đó đã bị chỉ trích mạnh mẽ bởi các Thượng nghị sĩ Mỹ như John McCain và Lindsey Graham, những người đã gọi vụ tấn công mạng của Triều Tiên là một “hình thức chiến tranh mới” và “khủng bố”.
Mô tả về vụ tấn công của Sony là có chủ ý, theo ông John Carlin, trợ lý tổng chưởng lý tại Bộ Tư pháp Mỹ lúc đó, cho biết. Trong một cuộc phỏng vấn, ông nói rằng chính quyền Obama đã lo lắng, một phần nào đó, rằng việc sử dụng thuật ngữ “cyberwar”, có thể sẽ kích hoạt các loại trừ trách nhiệm pháp lý về bảo hiểm mà chính tập đoàn Mondelez hiện đang khởi kiện tại tòa án.
Ông Scott Kannry, giám đốc điều hành của công ty đánh giá rủi ro Axio Global, cho biết ngành bảo hiểm đang theo dõi sát sao vụ kiện Mondelez vì nhiều hợp đồng bảo hiểm được phát hành trước khi các cuộc tấn công mạng trở thành một rủi ro mang tính khẩn cấp như vậy.
“Có các công ty bảo hiểm đang quản lý các hợp đồng bảo hiểm không bao giờ được khai thác hoặc được hiểu là có bao gồm bảo hiểm cho rủi ro an ninh mạng,” ông Kanry cho biết. “Zurich không phát hành hợp đồng này với ý tưởng rằng một sự kiện an ninh mạng sẽ gây ra những tổn thất như đã xảy ra với Mondelez. Không có ai đang tiến hành chiến tranh với Mondelez.”
Nhiều công ty bảo hiểm đang xem xét lại phạm vi bảo hiểm của họ. Kể từ khi các vụ kiện được đệ trình, bà Shannan Fort, người chuyên về bảo hiểm an ninh mạng cho Aon, một trong những nhà môi giới bảo hiểm lớn nhất thế giới, đã nhận được các cuộc gọi từ các khách hàng công ty đang gấp rút hành động để đảm bảo họ sẽ được an toàn nếu bị tấn công mạng,” bà nói.
“Tôi không muốn làm mọi người sợ hãi, nhưng nếu một quốc gia hoặc quốc gia tấn công một phân khúc rất cụ thể, như cơ sở hạ tầng quốc gia, đó có phải là một vụ khủng bố an ninh mạng, hay đó là một hành động chiến tranh?” cô Fort cho biết. “Vẫn còn một chút lập lờ về khái niệm.”
Ông Ty Sagalow, cựu giám đốc hoạt động của tập đoàn bảo hiểm khổng lồ A.I.G., là người đã giúp khai phá thị trường bảo hiểm rủi ro an ninh mạng gần hai thập kỷ về trước. Ông nói rằng nhóm của ông đã dự tính về một cuộc tấn công trên mạng có quy mô như vụ “Trân Châu Cảng” không khác gì nhiều so với cuộc tấn công của NotPetya.
“Chiến tranh trên mạng và khủng bố trên mạng luôn là một lĩnh vực phức tạp,” ông Sagalow cho biết. Các công ty bảo hiểm có nguy cơ lạm dụng điều khoản loại trừ chiến tranh bằng cách không thanh toán các yêu cầu bồi thường, đặc biệt là khi một cuộc tấn công “có thể tấn công vào các công ty không phải là mục tiêu bạo lực ban đầu.”
Thiệt hại cho các nạn nhân từ các cuộc tấn công ngoài tầm kiểm soát sẽ ngày càng trở nên phổ biến, ông nói thêm. “Đây là những đặc điểm của không gian mạng ngày hôm nay,” ông Sagalow nói. “Và nếu bạn không thích điều đó, bạn không nên tham gia vào ngành kinh doanh này.”
Tại sao khi tin tặc tấn công, hợp đồng bảo hiểm tài sản có thể không có tác dụng bảo vệ?
Vụ tàu cá ở Quảng Bình: Buộc Bảo Việt bồi thường cho ngư dân hơn 3 tỷ đồng
Gãy xương hàm được bảo hiểm 800 triệu, thanh niên mang hết tiền đi ăn chơi đến chết
Lê Minh
Theo New York Times
