Chuyên mục

Báo cáo thường niên

Xếp hạng tín nhiệm

Cho Thuê Văn Phòng

Thông tin cố phiểu

Tỷ Giá

Tỷ giá   Tỷ giá
  AUD 15801.44
  CAD 17581.29
  CHF 23746.25
  DKK 3499.02
  EUR 26307.74
  GBP 28434.13
  HKD 2980.95
  INR 335.5
  JPY 218.65
  KRW 19.98
  KWD 79091.79
  MYR 5575.48
  NOK 2624.17
  RUB 393.24
  SAR 6413.3
  SEK 2426.22
  SGD 16822.9
  THB 769.95
  USD 23260

Tin tức & Sự kiện » Thông Tin Thị Trường

Zurich sử dụng điều khoản loại trừ rủi ro chiến tranh để từ chối bồi thường bảo hiểm tài sản do rủi ro an ninh mạng gây ra

Thứ Tư, 29/05/2019, 02:00

Sau cuộc tấn công bằng mã độc tống tiền NotPetya năm 2017, có thể vụ tranh chấp bảo hiểm giữa Công ty bảo hiểm Zurich và Nhà sản xuất thực phẩm quốc tế Mondelez là một thử nghiệm quan trọng đối với việc các công ty bảo hiểm áp dụng điều khoản loại trừ rủi ro chiến tranh cho các sự cố bị nghi ngờ là chiến tranh mạng. Động thái này cũng mang lại sự tin cậy hơn nữa đối với nhu cầu về bảo hiểm rủi ro an ninh mạng xác định[1].

Ngày 10/10/2018, Nhà sản xuất thực phẩm Mondelez đã đệ đơn lên Tòa án Hạt Cook của bang Illinois kiện Công ty bảo hiểm Zurich tại Bắc Mỹ sau khi Công ty bảo hiểm này từ chối khiếu nại đòi bồi thường theo đơn bảo hiểm mọi rủi ro tài sản của họ. Mondelez, công ty sở hữu các nhãn hiệu thực phẩm Cadbury, Toblerone và Oreo, cho biết sự cố đã gây thiệt hại cho khoảng 1.700 máy tính chủ và 24.000 máy tính xách tay, làm ngừng trệ sản xuất và làm gián đoạn doanh số bán hàng.

Theo hồ sơ đệ trình lên tòa án, Mondelez cho rằng họ đã bị “thiệt hại tài sản, gián đoạn hoạt động cung cấp và phân phối thương mại, không thực hiện được đơn đặt hàng của khách hàng, lợi nhuận sụt giảm và các tổn thất thuộc phạm vi bảo hiểm khác tổng cộng lên đến hơn 100 triệu USD”.

Nguyên đơn cho rằng đơn bảo hiểm tài sản do Zurich cấp bảo hiểm “tổn thất hoặc thiệt hại vật chất đối với dữ liệu điện tử, chương trình hoặc phần mềm" gây ra bởi “việc đưa mã máy hoặc các lệnh độc hại vào máy tính”. Đơn bảo hiểm này cũng mở rộng phạm vi bảo hiểm để bao gồm cả gián đoạn kinh doanh và các chi phí bổ sung “phát sinh từ hư hỏng thiết bị hoặc phương tiện xử lý dữ liệu điện tử của người được bảo hiểm do thiệt hại của cuộc tấn công mạng độc hại”.

Ban đầu, Zurich đưa ra đề nghị khoản tiền bồi thường tạm trả là 10 triệu USD. Tuy nhiên, sau đó Zurich đã rút lại đề nghị này sau khi phân loại lại cuộc tấn công bằng mã độc tống tiền NotPetya từ “hành động tội phạm” thành “hành động chiến tranh”. Tiếp theo, Zurich đã từ chối trách nhiệm bảo hiểm theo đơn bảo hiểm tài sản vào tháng 6 năm 2018, viện dẫn điều khoản loại trừ trong đơn bảo hiểm bao gồm bất kỳ“hành động thù địch hoặc có tính chất chiến tranh nào trong thời gian hòa bình hay chiến tranh” do chính phủ, lực lượng quân sự hoặc “cơ quan hay nhà chức trách” của chính phủ tiến hành. Trong trường hợp của cuộc tấn công bằng mã độc tống tiền của NotPetya, Anh, Mỹ, Canada và Úc đều đổ lỗi cho Nga về cuộc tấn công này, mặc dù Nga đã phủ nhận mọi dính líu.

Zurich bây giờ phải chứng minh trước tòa rằng điều khoản loại trừ nói trên áp dụng. Tuy nhiên, việc quy kết các cuộc tấn công mạng này có thể rất có vấn đề.

THỜI GIAN THỬ NGHIỆM

Vụ tranh chấp giữa Zurich và Mondelez đặt ra những câu hỏi quan trọng cho cả người mua bảo hiểm và công ty bảo hiểm về cách thức họ có thể tiếp cận vấn đề về xung đột trên không gian mạng.

Những năm gần đây đã chứng kiến sự gia tăng rõ rệt về mối đe dọa từ các quốc gia dân tộc. Chẳng hạn, các chuyên gia an ninh mạng nghi ngờ tin tặc Trung Quốc đứng đằng sau cuộc tấn công mạng gần đây tại tập đoàn khách sạn Marriott, đã làm rò rỉ dữ liệu của khoảng 500 triệu khách hàng. Các quốc gia dân tộc được cho là đứng sau nhiều cuộc tấn công mạng nhằm đánh cắp bí mật thương mại, dữ liệu cá nhân hoặc tiền, cũng như có ý định gây thiệt hại vật chất và làm gián đoạn hoạt động kinh doanh.

Điều khoản loại trừ rủi ro chiến tranh và khủng bố là điều khoản tiêu chuẩn trong cả đơn bảo hiểm tài sản và an ninh mạng, mặc dù nội dung của điều khoản này trong đơn bảo hiểm an ninh mạng chuyên biệt được soạn thảo có liên quan đến các sự kiện tổn thất không gian mạng. Ví dụ, điều khoản loại trừ rủi ro chiến tranh trong đơn bảo hiểm tài sản dùng để loại trừ thiệt hại vật chất do hành động chiến tranh thông thường nhưng không loại trừ gián đoạn kinh doanh do cuộc tấn công mạng.

Tính hiệu lực của điều khoản loại trừ rủi ro chiến tranh và khủng bố trong bối cảnh các cuộc tấn công mạng chưa được kiểm chứng. Trong hồ sơ của mình, Mondelez cho rằng việc áp dụng điều khoản loại trừ rủi chiến tranh để từ chối trách nhiệm bảo hiểm đối với sự cố tấn công mạng độc hại - hoặc đối với bất kỳ sự việc nào khác mà không phải là xung đột vũ trang hoặc hoạt động thù địch thông thường - là chưa từng thấy. Đây cũng là thách thức, vì việc xác định khả năng phạm tội đối với một cuộc tấn công mạng là đầy khó khăn.

Ranh giới giữa các quốc gia dân tộc, tin tặc, tội phạm mạng và các nhóm khủng bố không rõ ràng. Các công cụ và mã khai thác thông tin do các quốc gia dân tộc phát triển cũng có thể dần dần rò rỉ cho tin tặc - ví dụ, mã độc tống tiền WannaCry dựa trên phiên bản của một chương trình có tên Eternal Blue do Cơ quan an ninh quốc gia Mỹ phát triển và đã bị nhóm tin tặc Shadow Brokers đánh cắp. Ngay cả khi một cuộc tấn công mạng có thể truy nguyên được từ một quốc gia dân tộc (Mỹ đổ lỗi cho Bắc Triều Tiên về mã độc tống tiền WannaCry) thì việc xác định xem sự cố là hành động chiến tranh hay một sự việc nào khác - như gián điệp hoặc trộm cắp được nhà nước bảo trợ - lại là một câu chuyện khác.

Vụ tranh chấp Mondelez cũng nêu bật quan điểm trái ngược về rủi ro an ninh mạng giữa thị trường bảo hiểm tài sản và thị trường bảo hiểm an ninh mạng. Thị trường bảo hiểm an ninh mạng không có phản ứng gì với việc viện dẫn điều khoản loại trừ chiến tranh và khủng bố đối với các sự cố tấn công mạng độc hại – trên thực tế thị trường này đã chi trả bồi thường cho một số khiếu nại có liên quan đến mã độc tống tiền NotPetya, đôi khi lên đến hạn mức trách nhiệm đầy đủ của đơn bảo hiểm. Tuy nhiên, thị trường bảo hiểm tài sản, rất có thể không bao giờ có ý định bảo hiểm cho các tổn thất do các sự kiện như mã độc tống tiền NotPetya, lại tỏ ra thận trọng hơn nhiều.

BẢO HIỂM AN NINH MẠNG NGẦM ĐỊNH

Các cuộc tấn công phần mềm độc hại như mã độc tống tiền NotPetya và các tranh chấp bảo hiểm như vụ tranh chấp giữa Mondelez và Zurich sẽ củng cố nhu cầu mua bảo hiểm an ninh mạng đơn lẻ với hạn mức trách nhiệm phù hợp.

Mondelez không phải là công ty duy nhất hứng chịu tổn thất từ cuộc tấn công bằng mã độc tống tiền NotPetya. Tập đoàn vận tải biển Maersk, công ty chuyển phát nhanh FedEx, tập đoàn dược phẩm Merck của Mỹ, công ty vật liệu xây dựng Saint-Gobain của Pháp và tập đoàn hàng tiêu dùng Reckitt Benckiser có trụ sở đóng tại Anh đều đã tiết lộ các tổn thất do cuộc tấn công này. Maersk và FedEx đã thông báo mỗi công ty bị tổn thất khoảng 300 triệu USD.

Công ty phân tích bồi thường PCS cho biết các công ty bảo hiểm phải đối mặt với số tiền bồi thường lên tới 3,3 tỷ USD cho cuộc tấn công bằng mã độc tống tiền NotPetya, nhưng tới 90% thuộc về bảo hiểm an ninh mạng không xác định. Chẳng hạn Merck đang tìm cách đòi bồi thường 2 tỷ USD từ các công ty bảo hiểm của mình, trong đó 250 triệu USD đã được chi trả theo đơn bảo hiểm an ninh mạng xác định của tập đoàn. Số tiền 1,75 tỷ USD còn lại đang được yêu cầu bồi thường theo phạm vi bảo hiểm an ninh mạng không xác định.

Cuộc tấn công bằng mã độc tống tiền NotPetya đã giúp làm cho bảo hiểm an ninh không xác định hay “ngầm định” nổi bật hẳn lên. Tuy nhiên, các công ty bảo hiểm tài sản/ trách nhiệm cũng chịu sức ép của cơ quan quản lý là phải làm rõ phạm vi bảo hiểm an ninh mạng theo đơn bảo hiểm truyền thống. Cơ quan quản lý bảo hiểm của Anh đã ban hành thông báo giám sát vào tháng 7 năm 2017 yêu cầu các công ty bảo hiểm của Anh thực hiện các bước để nhận diện, định lượng và quản lý rủi ro trong khai thác bảo hiểm an ninh mạng. Một số công ty bảo hiểm quốc tế, bao gồm Allianz và AIG, cũng đang tiến tới bảo hiểm an ninh mạng xác định khi cung cấp bảo hiểm tài sản/ trách nhiệm thương mại của họ.

TIỀN LỆ

Vụ tranh chấp giữa Mondelez và Zurich có thể tạo ra một tiền lệ quan trọng, nếu không được giải quyết ngoài tòa án. Nếu Zurich có thể chứng minh rằng điều khoản loại trừ rủi ro chiến tranh có hiệu lực để từ chối các khiếu nại đòi bồi thường phát sinh từ cuộc tấn công mạng do nhà nước bảo trợ thì điều này rất có thể sẽ kích hoạt những thay đổi về nội dung của