S&P Global Credit bổ sung an ninh mạng vào danh sách các yếu tố rủi ro trong đánh giá điểm tín dụng
Nhìn ra thế giới - Ngày đăng : 10:15, 16/04/2022
|
Khi các cuộc tấn công mạng và vi phạm dữ liệu ngày càng lớn và thường xuyên hơn, các công ty không xây dựng hệ thống phòng thủ an ninh mạng vững chắc có thể bị ảnh hưởng tài chính trực tiếp ngay cả trước khi tin tặc xuất hiện. S&P Global Ratings trích dẫn Check Point Research cho thấy các cuộc tấn công mạng trung bình hàng tuần vào mỗi tổ chức đã tăng 53% vào năm 2021 so với năm 2020, với con số thậm chí còn nhiều hơn đối với các lĩnh vực giàu dữ liệu. Cơ quan này lưu ý, "các hành động đánh giá tiêu cực do tác động của một cuộc tấn công mạng đã tăng hơn gấp đôi cho năm 2020 và 2021, so với giai đoạn hai năm trước đó."
Các nhà phân tích của S&P khuyến nghị, các công ty nên “đưa an ninh mạng vào các chiến lược giảm thiểu rủi ro của mình để giảm bớt tính dễ bị tổn thương”. Nếu cơ quan tín dụng quyết định rằng các chiến lược giảm thiểu rủi ro mạng của một công ty không đủ mạnh, điều này có thể dẫn đến xếp hạng thấp hơn so với các công ty có vị trí tương tự.
Người phát ngôn của Hiệp hội Kiểm toán nội bộ Hoa Kỳ (The Institute of Internal Auditors) cho biết rủi ro liên quan đến không gian mạng là rủi ro có mức độ nghiêm trọng cao trong tất cả các ngành và lĩnh vực và xếp hạng tín dụng dựa trên rủi ro mà tổ chức nhận thức được.
“Tất cả các công ty phải có khả năng chứng minh rằng họ có các biện pháp kiểm soát nội bộ hiệu quả để giảm thiểu, phản ứng, ứng phó và phục hồi sau các sự cố an ninh mạng”, vị đại diện này nói. “Quản lý về an ninh mạng sẽ hiệu quả hơn khi đảm bảo tính khách quan nhờ thực hiện chức năng kiểm toán nội bộ mạnh mẽ, hoạt động độc lập với ban điều hành”.
S&P Global dự kiến các cuộc tấn công sẽ tiếp tục gia tăng do xu hướng di chuyển sang đám mây và sự phân cấp của lực lượng lao động. Cả hai xu hướng này đều mở rộng bề mặt tấn công và mở ra các lỗ hổng nền tảng mới.
Purandar Das, Giám đốc điều hành và người sáng lập tại công ty bảo mật Sotero, cho biết xếp hạng tín dụng bị ảnh hưởng bởi sự chuẩn bị sẵn sàng và các khiếu nại trong quá khứ liên quan đến vi phạm là một cách tuyệt vời để bắt đầu hành động có ý nghĩa. “Xếp hạng tín dụng ảnh hưởng đến cả doanh thu và lợi nhuận của một doanh nghiệp”, ông nói. “Doanh nghiệp chắc chắn sẽ chú ý đến việc tình hình bảo mật của họ như thế nào so với các đối thủ và những tác động xấu đến tài chính của họ như thế nào.”
Mặc dù hầu hết các hành động xếp hạng tín nhiệm cho đến nay đều phát sinh sau một cuộc tấn công mạng, báo cáo của S&P cho thấy rằng “mức độ sẵn sàng ứng phó với rủi ro mạng có thể không đồng đều giữa các tổ chức và các lĩnh vực và sẽ ngày càng trở nên quan trọng trong phân tích của chúng tôi về quản lý và điều hành của các tổ chức”.
Theo Das, cho đến gần đây, các tổ chức vẫn có thể bỏ qua tác động của việc vi phạm hoặc mất dữ liệu, nhưng sự “xa xỉ” đó sẽ biến mất do các vụ kiện của người tiêu dùng và các quy định mới về quyền riêng tư. Ông nói: “Nếu không có các hình phạt nặng về tài chính hoặc pháp lý, các công ty không có động lực hoặc động lực để thực sự coi việc mất dữ liệu một cách nghiêm túc”.
Báo cáo của S&P lưu ý rằng phí bảo hiểm mạng đang tăng lên và các công ty có chiến lược an ninh mạng linh hoạt hơn sẽ nhận được tỷ lệ cao hơn, có thể khuyến khích “vệ sinh” mạng tốt hơn. Theo lời Das: “Họ đã dựa vào các công ty bảo hiểm để giúp loại bỏ một phần tác động của việc vi phạm hoặc mất mát dữ liệu; rõ ràng, các công ty bảo hiểm đang cảm thấy sức ép của các yêu cầu bồi thường leo thang và sẽ hoặc đã bắt đầu thu hẹp phạm vi trách nhiệm của mình.”
S&P đánh giá sự chuẩn bị cho rủi ro mạng như thế nào?
Công ty xếp hạng tín dụng cho biết sẽ sử dụng các tiêu chuẩn NIST để đo lường an ninh mạng của một công ty. Họ sẽ xem xét cách một công ty giải quyết 5 chức năng khung NIST cốt lõi sau:
(1) Xác định rủi ro không gian mạng: tổ chức hiểu rõ môi trường bên ngoài của mình và đã đưa ra chiến lược an ninh mạng nhằm giải quyết các rủi ro chính và phân bổ các nguồn lực để quản lý và kiểm tra chiến lược như một phần của khuôn khổ quản lý rủi ro doanh nghiệp (ERM) rộng hơn của mình. Tổ chức có hiểu biết về tài sản vật lý và kỹ thuật số của mình, sự phụ thuộc vào bên thứ ba, đã thiết lập khả năng chấp nhận rủi ro và tạo ra trách nhiệm giải trình cho hội đồng quản trị.
(2) Bảo vệ tài sản: Điều này đòi hỏi phải thực hiện các biện pháp đảm bảo an ninh mạng như tường lửa, phần mềm diệt virus và đào tạo nhân viên. Tổ chức thực hiện kiểm tra truy cập hệ thống thường xuyên và có các kiểm soát xung quanh các khoản thanh toán tài chính.
(3) Phát hiện các cuộc tấn công mạng: Thiết lập các công cụ và quy trình để giám sát hệ thống và phát hiện các mối đe dọa tiềm ẩn.
(4) Ứng phó và hạn chế thiệt hại: Có một kế hoạch ứng phó sự cố xác định thường xuyên được kiểm tra để ngăn chặn và giảm thiểu tác động của các cuộc tấn công mạng, trao đổi với các bên liên quan và phân tích sự cố để rút ra bài học kinh nghiệm.
(5) Khôi phục: Khôi phục dữ liệu từ các bản sao lưu, cấu hình lại hệ thống hoặc sử dụng các phương tiện khác để lấy lại quyền truy cập hệ thống, giao tiếp với các bên liên quan và kết hợp các bài học kinh nghiệm vào các chính sách và thực tiễn quản lý rủi ro.
Nếu một công ty bị tấn công mạng, các nhà phân tích của S&P sẽ xem xét tác động của cuộc tấn công đối với các yếu tố sau:
-
(1) Vị thế cạnh tranh: một sự cố mạng có thể làm tổn hại đến vị thế cạnh tranh của công ty do tổn hại danh tiếng, tổn thất của khách hàng, gián đoạn kinh doanh hoặc tăng chi phí, ảnh hưởng đến lợi nhuận.
-
(2) Tính thanh khoản: Vị thế thanh khoản của một công ty có thể bị ảnh hưởng tiêu cực do tổn thất tài chính do ransomware, các khoản đầu tư bảo mật và các khoản thanh toán cho các nhà tư vấn bên thứ ba, kiện tụng, bồi thường cho khách hàng,...
-
(3) Dòng tiền/đòn bẩy: Chi phí hoạt động cao hơn hoặc các khoản đầu tư để giải quyết các khiếm khuyết trên mạng có thể có tác động tiêu cực đến dòng tiền, làm giảm khả năng sinh lời và tăng tỷ lệ đòn bẩy.
-
(4) Quản lý và quản trị: Một sự cố mạng có thể bộc lộ những khiếm khuyết nghiêm trọng về tính toàn diện của các tiêu chuẩn và khả năng quản lý rủi ro toàn doanh nghiệp, hiệu quả của hội đồng quản trị hoặc các yếu tố quản trị khác dẫn đến việc sửa đổi tiêu cực đánh giá về quản lý và quản trị và/hoặc đánh giá chỉ số ESG (Môi trường, xã hội và quản trị công ty).
Tổn thất do các cuộc tấn công mạng tăng lên
Các nhà phân tích của S&P Global cũng cho rằng thiệt hại về tài chính của những cuộc tấn công mạng cũng sẽ trở nên tồi tệ hơn, lưu ý rằng “xu hướng tăng này là tự nhiên khi số hóa hồ sơ và nội dung của khách hàng ngày càng tăng”. Các tác giả cũng lưu ý rằng các lĩnh vực có dữ liệu nhạy cảm nhất – ví dụ như chăm sóc sức khỏe và tài chính - có tần suất bị tấn công mạng lớn nhất. Các vấn đề kinh doanh thường do gặp phải do cuộc tấn công mạng, chẳng hạn như tổn thất tài chính, nợ tiềm tàng và gián đoạn kinh doanh cũng làm cho rủi ro đối với xếp hạng tín dụng của tổ chức cao hơn.
Các công ty chăm sóc sức khỏe phải đối mặt với sự gia tăng lớn nhất của tổng chi phí trung bình của một vụ vi phạm dữ liệu, với mức thiệt hại tài chính vượt quá 9 triệu đô la vào năm 2021, so với 7 triệu đô la vào năm 2020. Các công ty khách sạn và bán lẻ cũng chứng kiến sự gia tăng đáng kể trong tổng chi phí trung bình của một vụ vi phạm dữ liệu: lên tới hơn 3 triệu đô la cho mỗi sự cố. Các tác giả báo cáo cũng lưu ý sự gia tăng các cuộc tấn công vào các nhà cung cấp dịch vụ phần mềm, điều này làm tăng rủi ro hệ thống và nhấn mạnh sự cần thiết của các nhà cung cấp đó để cải thiện chiến lược của riêng họ và chi tiêu liên quan tới an ninh mạng.
(theo TechRepublic)