Chưa dễ 'luật hóa' bảo hiểm an ninh mạng

Nên bổ sung vào nhóm “bảo hiểm bắt buộc”?

Theo Công ty Công nghệ an ninh mạng quốc gia Việt Nam (NCS), tình hình an ninh mạng tại Việt Nam ở mức báo động khi có khoảng 13.900 vụ tấn công mạng xảy ra năm 2023, tăng 9,5% so với năm 2022. Tính riêng 3 tháng cuối năm 2023, số vụ tấn công mạng tăng gấp rưỡi so với trung bình (1.614 vụ).

Đáng chú ý, mục tiêu của các cuộc tấn công này chủ yếu nhằm vào các cơ quan chính phủ, ngân hàng, tổ chức tài chính, hệ thống thông tin và cơ sở hạ tầng quan trọng của doanh nghiệp, cụ thể có tới 342 trang web giáo dục có tên miền “.edu.vn” và 212 trang web của cơ quan chính phủ có tên miền “.gov.vn” đã bị tấn công theo kiểu này.

Theo thống kê, năm 2023, Bộ Công an đã phải cảnh báo, xử lý hàng chục triệu các vụ việc có liên quan đến xâm phạm cơ sở dữ liệu cá nhân. Các dữ liệu này đã được rao bán giá rẻ trên các diễn đàn, thậm chí rao bán trên cả trên cả các hội nhóm Telegram.

Đầu năm 2024, vụ việc Công ty Chứng khoán VNDirect và 2 công ty liên quan bị tấn công mạng dẫn tới các giao dịch bị gián đoạn, gây thiệt hại cho nhà đầu tư, thông tin cá nhân, thông tin tài khoản bị lộ, lọt…

Các mối đe dọa an ninh mạng ngày càng tăng khiến các tổ chức, doanh nghiệp cũng như cá nhân ngày càng dễ bị xâm phạm an toàn thông tin, dữ liệu, gây thiệt hại cả về kinh tế và uy tín thương hiệu.

Để đảm bảo an toàn trên môi trường mạng, ông Lê Hoài Nam - Phó tổng giám đốc Bảo hiểm Sài Gòn - Hà Nội (BSH) cho rằng, nên luật hóa việc bắt buộc phải mua bảo hiểm an ninh mạng đối với một số đối tượng quản lý lượng lớn cơ sở dữ liệu người dùng như các tổ chức tín dụng, doanh nghiệp viễn thông, công ty chứng khoán, sàn giao dịch thương mại điện tử, hãng hàng không…

“Bảo mật dữ liệu cá nhân, doanh nghiệp không chỉ là vấn đề của riêng ai, mà trở thành vấn đề xã hội. Ngoài các biện pháp phòng và chống bị tấn công trên môi trường mạng, nên có những biện pháp chuyển giao rủi ro.

Do đó, bảo hiểm rủi ro trên môi trường mạng nên được nằm trong nhóm bảo hiểm bắt buộc phải trang bị theo quy định của Nhà nước. Đây sẽ là giải pháp thiết thực góp phần giảm thiểu thiệt hại trên môi trường mạng”, ông Nam đề xuất và cho biết thêm, nhiều quốc gia trên thế giới cũng khuyến khích, ưu tiên áp dụng sản phẩm bảo hiểm bắt buộc an ninh mạng như Mỹ, Trung Quốc…

Cũng theo lãnh đạo BSH, dự báo mới nhất từ Trung tâm Nghiên cứu tội phạm máy tính Mỹ (CCRC) cho biết, thiệt hại do tội phạm mạng sẽ đạt 12.000 tỷ USD vào năm 2025, hoạt động tống tiền và tấn công mạng tiếp tục tăng khoảng 30-50% hàng năm.

Tại Việt Nam, NCS đưa ra dự báo rằng, các hình thức tấn công mạng, tấn công có chủ đích vào các hệ thống trọng yếu, tấn công mã hóa dữ liệu sẽ còn diễn ra trong năm 2024. Các doanh nghiệp cần chuẩn bị sẵn sàng để phòng thủ và ứng phó một cách hiệu quả với mối đe dọa an ninh mạng ngày càng phức tạp như hiện nay.

Cần có đầy đủ căn cứ

Không chỉ BSH, “luật hóa” bảo hiểm rủi ro an toàn mạng cũng là mong muốn của các doanh nghiệp phi nhân thọ khác đã và đang thúc đẩy dòng sản phẩm có liên quan đến rủi ro trên môi trường mạng.

Tuy nhiên, theo một số chuyên gia trong ngành, muốn một sản phẩm như bảo hiểm an ninh mạng trở thành sản phẩm bắt buộc phải mua thì phải có cơ sở, căn cứ rõ ràng, chứ không phải “thích là được”. Chưa kể, việc bồi thường, đánh giá tổn thất do rủi ro này thực sự khó khăn, việc truy tìm người gây thiệt hại, gây lỗi trong vụ việc cũng không dễ dàng.

Chuyên gia kinh tế Trần Nguyên Đán cho hay, thông thường, cần phải xác định rủi ro ở mức hiểm họa thì mới có căn cứ đưa sản phẩm bảo hiểm cho rủi ro đó vào diện bắt buộc phải mua.

Chẳng hạn, bảo hiểm trách nhiệm nhân sự của chủ xe cơ giới hay bảo hiểm cháy nổ đều thuộc diện bắt buộc phải mua là bởi tai nạn giao thông ở Việt Nam được xem là một loại hiểm họa, bên cạnh đó hiểm họa cháy nổ cũng thường xuyên xảy ra. Cả tai nạn giao thông lẫn cháy nổ đều ảnh hưởng đến sinh mạng con người, tài sản, an sinh xã hội… nên được coi là hiểm họa, do đó được đưa vào danh sách bảo hiểm bắt buộc.

“Với bảo hiểm an ninh mạng, muốn được đưa vào diện bắt buộc thì cần chứng minh được là tấn công không gian mạng là hiểm họa, tức là cần phải có dữ liệu thống kê chi tiết, đầy đủ, chẳng hạn trong 1 năm có bao nhiêu vụ tấn công mạng, báo cáo thiệt hại chính xác là bao nhiêu, mức độ ảnh hưởng ra sao… và điều quan trọng ở đây không phải chỉ đơn thuần là bảo vệ các tổ chức, doanh nghiệp bị tấn công mạng, mà còn là bảo vệ những khách hàng cá nhân bị ảnh hưởng.

Chẳng hạn, khi VNDirect bị tấn công mạng thì khách hàng bị ảnh hưởng, hay trường hợp ngân hàng bị tấn công mạng, khách hàng không giao dịch được dẫn đến bị trả lại đơn hàng, không trả tiền thanh toán tiền hàng được dẫn đến bị phạt hợp đồng…”, ông Đán nói.

Dưới góc độ pháp luật, các quy định cũng đã có những trường hợp bổ sung hoặc loại bỏ bớt các loại hình bảo hiểm bắt buộc để phù hợp tình hình mới.

Cụ thể, Luật Kinh doanh bảo hiểm 2022 đã bổ sung quy định bảo hiểm bắt buộc trong hoạt động đầu tư xây dựng đối với các công trình xây dựng có ảnh hưởng đến an toàn cộng đồng, môi trường, công trình có yêu cầu kỹ thuật đặc thù, điều kiện thi công xây dựng phức tạp…, bởi Điều 9 - Luật Xây dựng cũng quy định bảo hiểm bắt buộc trong hoạt động đầu tư xây dựng đối với các đối tượng trên.

Ngoài ra, Luật Kinh doanh bảo hiểm 2022 cũng loại bỏ loại hình bảo hiểm bắt buộc đối với bảo hiểm trách nhiệm nghề nghiệp trong hoạt động tư vấn pháp luật và bảo hiểm trách nhiệm nghề nghiệp của doanh nghiệp môi giới bảo hiểm do xét thấy rủi ro này không ảnh hưởng đến an toàn cộng đồng và an toàn xã hội.

Các bên có thể tự thỏa thuận mức trách nhiệm tùy theo năng lực tài chính, nên Chính phủ không quy định điều kiện bảo hiểm, mức phí bảo hiểm, số tiền bảo hiểm đối với những loại hình bảo hiểm này.

Có thể thấy, không dễ trả lời câu hỏi có nên bắt buộc mua bảo hiểm rủi ro an toàn mạng hay không, nhưng lãnh đạo một doanh nghiệp phi nhân thọ lớn cho rằng, khách hàng nên được bảo vệ trong mọi trường hợp. Do đó, dù là bắt buộc hay tự nguyện cũng cần truyền thông sâu rộng hơn để khách hàng hiểu hơn, lan tỏa mạnh mẽ sản phẩm này đến thị trường.

Kim Lan