Silent Cyber (hay rủi ro mạng không được xác nhận rõ ràng) xảy ra khi điều khoản hợp đồng không nêu rõ việc tổn thất do sự cố mạng có được bảo hiểm hay không. Khi đó, việc chi trả sẽ phụ thuộc vào cách diễn giải của giám định viên, công ty bảo hiểm hoặc thậm chí là tòa án – một rủi ro khó lường với bất kỳ người quản lý nào.

Nguồn gốc của rủi ro “ẩn” này

Các sản phẩm bảo hiểm truyền thống vốn được thiết kế để bảo vệ trước rủi ro vật chất – như cháy nổ, trộm cắp, thiên tai – chứ không phải tấn công mạng. Khi internet trở thành nền tảng của hoạt động kinh doanh, nhiều điều khoản không được cập nhật kịp thời, dẫn đến những tranh chấp lớn như:

• Mondelez vs. Zurich (2017): cuộc tấn công NotPetya gây thiệt hại 100 triệu USD, bị từ chối bồi thường với lý do “chiến tranh mạng”.
• Merck & Co. (2023): công ty được phán quyết bồi thường hơn 1,4 tỷ USD sau khi bị từ chối vì lý do tương tự.

Những vụ việc này cho thấy sự mơ hồ trong điều khoản có thể dẫn đến hậu quả nghiêm trọng.

Phản ứng của thị trường bảo hiểm quốc tế

Năm 2020, Lloyd’s of London yêu cầu tất cả hợp đồng bảo hiểm phải xác định rõ có hoặc không bao gồm rủi ro mạng.

Các thị bảo hiểm trường lớn tại châu Âu và châu Á nhanh chóng áp dụng tương tự, nhằm:

• Xóa bỏ sự mập mờ trong phạm vi bảo hiểm;
• Ngăn ngừa rủi ro cộng dồn không mong muốn;
• Khuyến khích doanh nghiệp mua bảo hiểm mạng chuyên biệt khi có nhu cầu thực tế.

Đây là bước chuyển quan trọng giúp thị trường minh bạch và chuyên nghiệp hơn.

Tình hình tại Việt Nam

Trong khi các công ty bảo hiểm quốc tế đã cập nhật điều khoản để xác định rõ phạm vi rủi ro mạng, thì nhiều doanh nghiệp tại Việt Nam vẫn đang sử dụng hợp đồng cũ được soạn thảo trước khi các thay đổi này được áp dụng.

Dưới đây là một số tình huống thực tế phổ biến, cho thấy rủi ro Silent Cyber có thể phát sinh như thế nào trong các hợp đồng bảo hiểm truyền thống.

• Gián đoạn hoạt động sản xuất – kinh doanh

Một cuộc tấn công ransomware khiến hệ thống điều khiển dây chuyền sản xuất bị khóa, doanh nghiệp buộc phải ngừng vận hành trong nhiều ngày. Không có tổn thất vật chất nào xảy ra, nhưng thiệt hại tài chính là rất lớn. Câu hỏi đặt ra: bảo hiểm tài sản có chi trả trong trường hợp này không?

• Rò rỉ dữ liệu và trách nhiệm pháp lý:

Một nhân viên vô tình mở tệp chứa mã độc, dẫn đến lộ thông tin khách hàng. Doanh nghiệp phải thông báo vi phạm dữ liệu và bồi thường cho bên thứ ba. Tuy nhiên, hợp đồng trách nhiệm dân sự lại loại trừ “dữ liệu điện tử”, khiến phạm vi bồi thường trở nên mập mờ.

• Vận tải – chuỗi cung ứng:

Hệ thống định vị GPS của tàu hoặc xe hàng bị tấn công, khiến hàng hóa giao sai địa điểm, chậm tiến độ, phát sinh chi phí lưu kho. Hợp đồng bảo hiểm hàng hải hoặc vận tải lại chưa từng đề cập đến rủi ro tấn công mạng – liệu có được xem là tổn thất được bảo hiểm?

Vì sao doanh nghiệp cần quan tâm

Silent Cyber không chỉ là vấn đề kỹ thuật, mà còn là rủi ro quản trị. Nó có thể dẫn đến:

• Khoảng trống bảo hiểm – khi tổn thất mạng không nằm trong phạm vi bồi thường;
• Tranh chấp yêu cầu bồi thường – do cách hiểu khác nhau về điều khoản;
• Rủi ro tuân thủ – khi luật an ninh mạng và bảo vệ dữ liệu ngày càng chặt chẽ.(vd Nghị định 13/2023/NĐ-CP)

Hiểu rõ cách từng hợp đồng phản ứng với rủi ro mạng là bước đầu tiên để kiểm soát rủi ro toàn diện.

Nhìn về phía trước

Thị trường bảo hiểm đang tiến dần tới sự minh bạch. Khi quá trình chuyển đổi số tại Việt Nam ngày càng mạnh mẽ, câu hỏi quan trọng không còn là “Doanh nghiệp đã mua bảo hiểm mạng chưa?” mà là “Các hợp đồng khác của doanh nghiệp sẽ phản ứng thế nào nếu xảy ra sự cố mạng?” Vì trong quản trị rủi ro, những gì “im lặng” đôi khi lại là thứ gây tổn thất lớn nhất.