Zurich từ chối thanh toán yêu cầu bảo hiểm cho khách hàng bị tấn công mạng

09:07 | 19/02/2019

Công ty bảo hiểm Zurich đã từ chối thanh toán yêu cầu bảo hiểm an toàn mạng cho công ty Mondelez bị mã độc tống tiền NotPetya tấn công. Đây là cú sốc đối với thị trường bảo hiểm an toàn mạng.

Công ty thực phẩm đồ ăn nhẹ Mondelez (Mỹ) đã khởi kiện công ty bảo hiểm Zurich (Mỹ) 100 triệu USD sau khi yêu cầu bồi thường cho sự cố lây nhiễm mã độc tống tiền NotPetya bị từ chối. Nguyên nhân Zurich từ chối bồi thường do công ty này xác định sự cố là “hành động chiến tranh” và do đó không nằm trong chính sách bảo hiểm. Mặc dù, trong tuyên bố Zurich có nội dung bảo hiểm “mọi rủi ro về tổn thất hoặc thiệt hại vật chất” cũng như “tổn thất hoặc thiệt hại vật chất đối với dữ liệu điện tử, chương trình hoặc phần mềm, bao gồm mất mát hoặc thiệt hại do mã máy độc hại”.

NotPetya là mã độc tống tiền trên Windows, có thể mã hóa hệ thống tệp tin của ổ cứng và ngăn hệ thống khởi động. Sau khi mã hóa được hệ thống, mã độc này yêu cầu thanh toán bằng Bitcoin để lấy lại quyền truy cập. Theo Mondelez, họ đã thiệt hại 1.700 máy chủ và 24.000 máy tính xách tay do mã độc này. Các chuyên gia bảo mật và chính phủ Anh đã cáo buộc tin tặc Nga sử dụng NotPetya nhằm gây thiệt hại cho chính phủ Ukraine, nhưng chính phủ Nga đã chính thức từ chối mọi trách nhiệm.

Một cuộc khảo sát của công ty nền tảng phân tích mối đe dọa an toàn mạng Cyence (Mỹ) đã đưa ra cảnh báo rằng, các công ty bảo hiểm có thể sẽ phải trả hơn 80 tỷ USD do các vụ tấn công mã độc tống tiền gây ra – lớn hơn cả thiệt hại của bão Sandy năm 2012. Công ty vận chuyển Maersk (có trụ sở chính tại Đan Mạch) cho biết, họ đã mất 300 triệu USD do mã độc tống tiền; công ty vận chuyển FedEx (Mỹ) cũng cho biết họ thiệt hại tương đương với con số đó.

Sau khi xem xét yêu cầu bồi thường 100 triệu USD của Mondelez, Zurich đã thực hiện các biện pháp nghiệp vụ và điều tra thêm để giảm khoản tiền bồi thường. Mặc dù đã đề nghị mức bồi thường ban đầu là 10 triệu USD, nhưng sau đó công ty đã từ chối hoàn toàn yêu cầu bồi thường và tuyên bố rằng trường hợp này bị loại trừ vì cho rằng đây là “hành động thù địch hoặc chiến tranh trong thời gian hòa bình hoặc chiến tranh” bởi một “chính quyền hoặc quốc gia có chủ quyền”. Do đó, họ lập luận rằng những tổn thất đã xảy ra là do hành vi thù địch của chính phủ Nga - một hành động chiến tranh.

Mondelez cho rằng điều này là rất bất thường và “chưa từng có”, vì công ty bảo hiểm sẽ phải có nghĩa vụ chứng minh việc chính phủ Nga đã thực hiện vụ tấn công như một hành động thù địch là đúng. Thực sự là rất khó để cáo buộc tấn công mạng với một nhóm, chính phủ hoặc tổ chức cụ thể. Nếu Zurich thành công trong cuộc tranh tụng tại tòa án và thắng, thì sẽ có tác động ngay lập tức khiến tất cả các công ty lớn phải xem xét lại chính sách của họ và rất có thể thay đổi thị trường bảo hiểm tấn công mạng gần như chỉ sau một đêm. Vụ việc này đang được xét xử ở tòa án Illinois với định danh 2018-L-011008 và thu hút sự theo dõi của dư luận.

Đáng chú ý, theo ý kiến ​​của công ty Marsh LLC (trụ sở tại Mỹ) – một công ty bảo hiểm thuộc hãng Marsh & McLennan có cùng quy mô và nghiệp vụ với Zurich, thì đây không phải là cuộc chiến tranh mạng. Theo một ý kiến trên trang điện tử The Register so sánh bảo hiểm an toàn mạng với bảo hiểm hỏa hoạn, thì bảo hiểm thiệt hại do hỏa hoạn (ở một quốc gia ổn định, công nghiệp hóa) sẽ có các cách thức được chỉ định rõ ràng, cụ thể cho người được bảo hiểm, nên có thể theo đó và chứng minh rằng họ đã tuân thủ các quy tắc để được bảo hiểm một cách dễ dàng.

Trong khi đó, với bảo hiểm an toàn mạng, có rất ít hay thậm chí không có quy định nào, các điều khoản thay đổi tùy theo diễn giải của công ty bảo hiểm. Không có các kiểm tra độc lập tiêu chuẩn và không có thỏa thuận về những gì sẽ cần kiểm tra. Những khách hàng bảo hiểm tiềm năng cần biết rằng họ khó có thể chứng minh được việc không có sơ suất trong vấn đề bảo đảm an toàn mạng. Vì vậy, nếu các công ty bảo hiểm từ chối các yêu cầu bồi thường bảo hiểm, thì thị trường sẽ giảm giá trị của bảo hiểm an toàn mạng đến mức nó không còn là một sản phẩm có khả năng tồn tại nữa.

Có ý kiến cho rằng thị trường bảo hiểm an toàn mạng đang quá hỗn độn. Các chính sách không được xác định rõ ràng, các yêu cầu bồi thường khó được chứng minh và xét duyệt (hỏa hoạn để lại nhiều bằng chứng trong khi các vụ tấn công mạng thì khó có bằng chứng), dữ liệu để phân tích định giá bảo hiểm rất ít, thị trường chưa trưởng thành (vì vậy nhóm rủi ro thường nhỏ và khó tái bảo hiểm hơn), các quy định pháp lý và tiền lệ tại tòa án cũng quá ít để xác định khả năng thắng kiện.

Ý kiến khác nêu lên rằng công ty Mondelez đã không chú ý khi chọn mua bảo hiểm. Họ đã không nhờ luật sư rà soát kỹ các điều khoản của hợp đồng khi hợp đồng với công ty bảo hiểm Zurich là một hợp đồng bảo hiểm tài sản chứ không phải hợp đồng bảo hiểm an toàn mạng. Các hợp đồng bảo hiểm tài sản thường đem lại mức bảo hiểm rất hạn chế đối với các vụ tấn công mạng.

Mặc dù chưa rõ công ty Mondelez mua nhầm bảo hiểm hay công ty bảo hiểm Zurich lợi dụng cuộc mâu thuẫn giữa các nước phương Tây với Nga trong lĩnh vực an toàn mạng để trốn tránh trách nhiệm bồi thường hay tòa án sẽ phán xử thế nào, nhưng vụ kiện này thực sự là một hồi chuông cảnh tỉnh các doanh nghiệp về an toàn mạng và bảo hiểm an toàn mạng.