Sự cố nghiêm trọng
“Hệ thống PTI bị tấn công từ 10h sáng Chủ nhật ngày 24/3/2024”, đây là một trong những nội dung thông báo PTI phát đi trên website chính thức của mình.
Ngay sau khi bị hacker tấn công, cùng với sự hỗ trợ tối đa từ các đối tác như FPT, Viettel, BKAV..., nhà bảo hiểm này đã huy động tất cả nguồn lực công nghệ để có thể đưa hệ thống vận hành trở lại bình thường. Tuy nhiên, theo PTI, quá trình hồi phục sẽ mất nhiều thời gian.
Sự cố hacker tấn công PTI được nhìn nhận là sự việc nghiêm trọng nhất trong hoạt động của các doanh nghiệp bảo hiểm tại Việt Nam từ trước tới nay. Trao đổi với Báo Đầu tư Chứng khoán, một chuyên gia trong ngành cho biết, việc bị hacker tấn công không phải hiếm với các công ty bảo hiểm. Tại Việt Nam, ngoài vụ việc vừa xảy ra với PTI, trước đó từng có công ty bảo hiểm bị tấn công vào hệ thống bảo hiểm trực tuyến làm gián đoạn việc giao dịch, nhưng sự cố này nhanh chóng được khắc phục trong ngày.
“Khi bị hacker tấn công, dù việc việc cấp bảo hiểm/bồi thường vẫn có thể làm giấy trong thời gian dựng lại hệ thống, nhưng thực tế hoạt động kết nối của công ty bảo hiểm gặp rất nhiều khó khăn. Ngoài ra, an ninh về dữ liệu khách hàng cũng có thể bị ảnh hưởng ít nhiều”, vị chuyên gia trên nói.
Sau sự việc “rúng động” này, công tác an toàn an ninh mạng càng trở nên cấp thiết hơn bao giờ hết đối với các ngành nghề, đặc biệt là ngành tài chính - ngân hàng - bảo hiểm. Theo tổng hợp của Công ty Công nghệ an ninh mạng quốc gia Việt Nam (NCS), năm 2023 ghi nhận 13.900 vụ tấn công mạng vào các tổ chức tại Việt Nam, tức là trung bình mỗi tháng xảy ra 1.160 vụ, tăng 9,5% so với năm 2022. Các mục tiêu chịu nhiều cuộc tấn công nhất trong năm qua là các cơ quan chính phủ, hệ thống ngân hàng, tổ chức tài chính, hệ thống công nghiệp và các hệ thống trọng yếu khác. Theo dự báo của NCS, các hình thức tấn công mạng, tấn công có chủ đích (APT) vào các hệ thống trọng yếu, tấn công mã hóa dữ liệu… sẽ còn diễn ra và ngày một tinh vi hơn.
Chia sẻ với Báo Đầu tư chứng khoán xung quanh vấn đề này, đại diện một doanh nghiệp bảo hiểm nhân thọ nằm trong nhóm Top 10 doanh nghiệp có thị phần doanh thu lớn nhất cho hay, tại Việt Nam, các công ty bảo hiểm nhân thọ đa số đều là doanh nghiệp có vốn đầu tư nước ngoài nên đều có sự bảo đảm chắc chắn hơn về an ninh mạng từ tập đoàn mẹ.
Theo vị này, về cơ bản, hệ thống IT toàn tập đoàn kết nối liên thông với nhau toàn cầu nên chỉ cần rò rỉ từ một đầu mối nhỏ (thậm chí chỉ là sơ suất của một user/cá nhân) là hacker có thể thực hiện tấn công hệ thống toàn cầu nên luôn được các tập đoàn quan tâm. Trên thực tế, tại Việt Nam, thị trường bảo hiểm nhân thọ cũng chưa ghi nhận sự cố nghiêm trọng liên quan tới an ninh mạng.
Dữ liệu khách hàng được bảo vệ ra sao?
Theo tổng hợp của Công ty Công nghệ an ninh mạng quốc gia Việt Nam (NCS), năm 2023 ghi nhận 13.900 vụ tấn công mạng vào các tổ chức tại Việt Nam. Các mục tiêu chịu nhiều cuộc tấn công nhất trong năm qua là các cơ quan chính phủ, hệ thống ngân hàng, tổ chức tài chính…
Trước sự việc nghiêm trọng chưa từng xảy ra đối với ngành bảo hiểm mà PTI đang phải đối mặt, câu hỏi được đặt ra là dữ liệu của khách hàng được bảo vệ như nào trong tình huống này? Trường hợp dữ liệu của khách hàng bị đánh cắp, công ty bảo hiểm có phải bồi thường cho khách hàng không? Trả lời câu hỏi này, CEO một doanh nghiệp bảo hiểm cho biết sẽ thực hiện theo quy định pháp luật.
Theo Luật Kinh doanh bảo hiểm năm 2022, tại Điều 11 - Cơ sở dữ liệu về hoạt động kinh doanh bảo hiểm nêu rõ: Việc thu thập, sử dụng, lưu giữ và cung cấp thông tin cơ sở dữ liệu về hoạt động kinh doanh bảo hiểm phải bảo đảm bảo mật, an toàn thông tin, tuân thủ các quy định của pháp luật về bảo vệ đời sống riêng tư, bí mật cá nhân, bí mật gia đình, bí mật kinh doanh. Cơ quan nhà nước, tổ chức khác và các cá nhân phải sử dụng thông tin được cung cấp đúng mục đích và không được cung cấp cho bên thứ ba mà không có sự chấp thuận của bên mua bảo hiểm, người được bảo hiểm, trừ trường hợp cung cấp theo quy định của pháp luật.
Ngoài ra, Điều 20 - Quyền và nghĩa vụ của doanh nghiệp bảo hiểm, chi nhánh doanh nghiệp bảo hiểm phi nhân thọ nước ngoài cũng quy định: Doanh nghiệp bảo hiểm, chi nhánh doanh nghiệp bảo hiểm phi nhân thọ nước ngoài có nghĩa vụ phải bảo mật thông tin do bên mua bảo hiểm, người được bảo hiểm cung cấp, trừ trường hợp theo yêu cầu của cơ quan nhà nước có thẩm quyền hoặc được sự đồng ý của bên mua bảo hiểm, người được bảo hiểm…
Quay lại sự việc PTI bị hacker tấn công, hiện hãng bảo hiểm này đang nỗ lực khắc phục sự cố để đưa hệ thống vận hành bình thường trở lại nên chưa thể đánh giá được hết mức độ thiệt hại.
“Các tổ chức tài chính nói chung luôn là mục tiêu tấn công của hacker”, lãnh đạo cấp cao một công ty bảo hiểm nhân thọ nhấn mạnh và cho biết thêm, chính vì thế, việc đầu tư vào hệ thống công nghệ và bảo mật luôn được các tập đoàn bảo hiểm chú trọng và thường rất tốn kém.
Theo báo cáo mới đây của MarketsandMarkets, quy mô thị trường bảo hiểm an ninh mạng toàn cầu được dự báo đạt 11,9 tỷ USD trong năm 2022 và sẽ tăng lên 29,2 tỷ USD vào năm 2027. Các doanh nghiệp vừa và nhỏ (SME) thường là đối tượng của các cuộc tấn công mạng do hệ thống bảo mật máy chủ kém an toàn hơn so với các doanh nghiệp lớn. Công ty Bảo hiểm Beazley cho biết, 60% các cuộc tấn công mã độc tống tiền (ransomware) là nhằm vào nhóm SME.
Một thông tin được đăng tải từ Công ty Tái bảo hiểm Vinare cũng cho thấy, trong những rủi ro đối với ngành bảo hiểm/tái bảo hiểm châu Á, an ninh mạng là rủi ro dễ gặp phải nhất xuất phát từ tốc độ số hóa nhanh chóng. Thống kê cho thấy, khu vực châu Á - Thái Bình Dương chiếm 31% trong tổng số sự cố mạng trên toàn cầu vào năm 2022, do đó nhu cầu thị trường bảo hiểm an ninh mạng ở khu vực này dự kiến sẽ tăng gấp ba vào năm 2025.
Tại một hội nghị trực tuyến triển khai công tác bảo đảm an toàn thông tin mạng năm 2024 diễn ra mới đây, lãnh đạo Bảo hiểm xã hội Việt Nam thông tin, hiện nay, toàn bộ các hệ thống phần mềm quản lý, phần mềm nghiệp vụ và các giao dịch với tổ chức, cá nhân đều được thực hiện trên môi trường mạng. Bởi vậy, đảm bảo an toàn cho toàn bộ hệ thống thông tin của ngành trước nguy cơ tấn công mạng ngày càng tinh vi của tội phạm công nghệ cao như hiện nay là một thách thức rất lớn.
“Dù ngành bảo hiểm đã đầu tư và trang bị khá nhiều giải pháp, thiết bị an toàn thông tin, giúp ngăn chặn các cuộc tấn công, bảo vệ hệ thống, chống lại các mối đe dọa từ bên ngoài, thế nhưng trong lĩnh vực an toàn thông tin, vấn đề rủi ro tác động đến hệ thống và tài sản thông tin, dữ liệu… lại được khai thác từ chính những điểm yếu bên trong hệ thống”, vị lãnh đạo trên nói.
