Các cuộc tấn công mạng như phishing và ransomware đang ngày càng trở nên phổ biến, tinh vi và tốn kém hơn theo từng ngày, dẫn đến phí bảo hiểm an ninh mạng cao hơn cùng các yêu cầu thẩm định bảo hiểm (underwriting) nghiêm ngặt hơn. Việc đủ điều kiện tham gia bảo hiểm an ninh mạng hiện là một chiến lược quản trị rủi ro thiết yếu mà doanh nghiệp không thể xem nhẹ.
Các tiêu chuẩn mới
Việc triển khai các chiến lược nhằm ngăn chặn tấn công mạng trước khi chúng xảy ra là điều bắt buộc. Chính vì vậy, các nhà cung cấp bảo hiểm an ninh mạng ngày càng yêu cầu doanh nghiệp phải triển khai xác thực đa yếu tố (MFA) trước khi phát hành hợp đồng bảo hiểm mới.
Bối cảnh bảo hiểm an ninh mạng đang thay đổi nhanh chóng
Sự gia tăng đột biến của các vụ vi phạm bảo mật do phishing và ransomware gây ra đã dẫn đến những khoản bồi thường khổng lồ cho các tác nhân độc hại. Thông tin xác thực bị đánh cắp là nguyên nhân gốc rễ của 80% các vụ vi phạm bảo mật. Các tổ chức muốn đủ điều kiện tham gia bảo hiểm an ninh mạng không chỉ cần triển khai MFA thông thường, mà phải áp dụng MFA chống phishing để ngăn chặn hành vi chiếm đoạt tài khoản và ransomware ngay từ đầu.
MFA chống phishing là “kim chỉ nam” giúp bạn điều hướng trong bối cảnh bảo hiểm an ninh mạng hiện nay
Bảo hiểm an ninh mạng không phải là “tấm vé vàng” mang lại sự an tâm tuyệt đối, và cũng không nên là tuyến phòng thủ chủ động duy nhất của bạn. Theo Văn phòng Kiểm toán Chính phủ Hoa Kỳ (U.S. Government Accountability Office), bảo hiểm an ninh mạng có khả năng hạn chế trong việc bù đắp các tổn thất mang tính thảm họa do các cuộc tấn công mạng trên diện rộng gây ra. Do đó, doanh nghiệp cần có chiến lược ngăn chặn tấn công mạng trước khi chúng xảy ra. Đây cũng là lý do các nhà cung cấp bảo hiểm ngày càng yêu cầu triển khai xác thực đa yếu tố (MFA) trước khi cấp hợp đồng bảo hiểm mới.
Không phải mọi giải pháp MFA đều giống nhau
Phần lớn các phương thức MFA truyền thống đều không đủ an toàn. Các hình thức MFA thế hệ cũ như SMS, mật khẩu dùng một lần (OTP), hay thậm chí các ứng dụng xác thực đẩy (mobile push authenticator) đều dễ bị tấn công chiếm đoạt tài khoản thông qua phishing và các cuộc tấn công man-in-the-middle (MitM). Các tổ chức cần triển khai MFA hiện đại dựa trên Smart Card/PIV hoặc xác thực FIDO hiện đại. Các khóa bảo mật phần cứng (hardware khoá bảo mật) như YubiKey dựa trên các phương thức này có khả năng ngăn chặn hiệu quả hành vi chiếm đoạt tài khoản, đồng thời phòng chống ransomware và nhiều hình thức đe dọa hiện đại khác.



