Ngành bảo hiểm đang đối mặt với những thách thức ngày càng gia tăng về an ninh mạng khi các nhà cung cấp lớn trở thành mục tiêu chính của các tác nhân đe dọa tinh vi. Các sự cố gần đây làm nổi bật tính dễ bị tổn thương của các công ty nắm giữ lượng lớn dữ liệu cá nhân và chăm sóc sức khỏe nhạy cảm, với những tác động tài chính lên tới hàng triệu đô la mỗi vụ rò rỉ.
 |
|---|
| Logo con vịt Aflac được hiển thị nổi bật, tượng trưng cho bản sắc của công ty giữa những thách thức về an ninh mạng |
Cuộc tấn công kỹ thuật xã hội xâm phạm mạng lưới Aflac
Vào ngày 12 tháng 6 năm 2024, Aflac đã trải qua một cuộc tấn công mạng nghiêm trọng có khả năng làm lộ thông tin cá nhân của một số lượng chưa xác định trong khoảng 50 triệu người mua bảo hiểm của công ty. Gã khổng lồ bảo hiểm thuộc Fortune 500 tiết lộ rằng các bên không được phép đã có quyền truy cập vào mạng lưới Hoa Kỳ của họ thông qua các chiến thuật kỹ thuật xã hội tinh vi. Theo các chuyên gia an ninh mạng, những phương pháp này có thể bao gồm việc thao túng nhân viên bộ phận hỗ trợ để đặt lại thông tin đăng nhập và vượt qua các hệ thống xác thực đa yếu tố.
Cuộc tấn công kéo dài vài giờ trước khi các giao thức ứng phó sự cố của Aflac thành công trong việc ngăn chặn sự xâm nhập. Đáng chú ý, vụ rò rỉ không liên quan đến ransomware, phân biệt nó với nhiều cuộc tấn công mạng doanh nghiệp gần đây. Dữ liệu bị xâm phạm có thể bao gồm thông tin khiếu nại, hồ sơ sức khỏe, số An sinh xã hội và các chi tiết cá nhân khác thuộc về khách hàng, người thụ hưởng, đại lý và nhân viên.
Dòng thời gian và tác động của vụ vi phạm Aflac
- Ngày tấn công: 12 tháng 6, 2024
- Thời gian kéo dài: Vài giờ trước khi được ngăn chặn
- Nạn nhân tiềm năng: Số lượng không xác định trong khoảng ~50 triệu người có bảo hiểm
- Phương thức tấn công: Kỹ thuật xã hội (không phải ransomware)
- Dữ liệu bị xâm phạm: Thông tin khiếu nại, hồ sơ sức khỏe, số an sinh xã hội, thông tin cá nhân
- Phản ứng: Cung cấp miễn phí dịch vụ giám sát tín dụng và bảo vệ danh tính trong 24 tháng
Nhóm Scattered Spider nhắm mục tiêu vào lĩnh vực bảo hiểm
Các nhà nghiên cứu an ninh mạng đã quy cho cuộc tấn công này cho Scattered Spider , một nhóm đe dọa có động cơ tài chính được xác định bởi Nhóm Tình báo Đe dọa của Google . Tổ chức tội phạm mạng tinh vi này đã tiến hành một chiến dịch rộng lớn hơn nhắm mục tiêu cụ thể vào ngành bảo hiểm. Chiến thuật của nhóm bao gồm kỹ thuật xã hội dai dẳng và giao tiếp trực tiếp với nạn nhân, khiến họ đặc biệt nguy hiểm đối với các tổ chức có hoạt động dịch vụ khách hàng.
Vụ rò rỉ của Aflac đại diện cho một phần của mô hình đáng lo ngại ảnh hưởng đến nhiều công ty bảo hiểm. Philadelphia Insurance Companies và Erie Indemnity cũng đã trở thành nạn nhân của các cuộc tấn công tương tự, được báo cáo là do cùng một nhóm đe dọa. Lĩnh vực bảo hiểm đã trải qua các vụ rò rỉ lớn bổ sung tại Landmark Admin và Blue Shield of California trong năm qua, cho thấy việc nhắm mục tiêu có hệ thống vào ngành này.
Các cuộc tấn công mạng gần đây trong ngành bảo hiểm
- Aflac: Tháng 6 năm 2024 - Cuộc tấn công kỹ thuật xã hội
- Philadelphia Insurance Companies: 2024 - Được cho là do cùng một nhóm đe dọa thực hiện
- Erie Indemnity: 2024 - Được cho là do cùng một nhóm đe dọa thực hiện
- Landmark Admin: Năm qua - Báo cáo vi phạm lớn
- Blue Shield of California: Năm qua - Báo cáo vi phạm lớn
- Tác nhân đe dọa chung: Nhóm Scattered Spider nhắm mục tiêu vào lĩnh vực bảo hiểm
Tác động tài chính và phản ứng của ngành
Chi phí trung bình của các vụ rò rỉ dữ liệu tại Hoa Kỳ đã đạt 9,36 triệu đô la Mỹ vào năm 2024, đại diện cho mức trung bình cao nhất trong số 16 quốc gia và khu vực được nghiên cứu bởi IBM . Rủi ro tài chính leo thang này đòi hỏi các giám đốc tài chính phải tích hợp các cân nhắc về an ninh mạng vào quá trình lập kế hoạch chiến lược và phân bổ ngân sách của họ. Chi phí tăng cao của các chương trình an ninh mạng đòi hỏi sự hợp tác chặt chẽ hơn giữa lãnh đạo tài chính và các giám đốc an ninh thông tin để đánh giá đúng xác suất rủi ro và mức độ phơi nhiễm.
Đối với các tổ chức bị ảnh hưởng, những tác động tài chính mở rộng vượt ra ngoài chi phí ứng phó tức thì để bao gồm tuân thủ quy định, chi phí thông báo khách hàng và quản lý danh tiếng dài hạn. Các công ty bảo hiểm đối mặt với sự giám sát đặc biệt do tính chất nhạy cảm của dữ liệu chăm sóc sức khỏe và tài chính mà họ duy trì.
Phân tích Chi phí Vi phạm Dữ liệu (2024)
- Chi phí Vi phạm Trung bình tại Mỹ: 9,36 triệu USD (cao nhất toàn cầu)
- Các Quốc gia được Nghiên cứu: 16 quốc gia và khu vực
- Nguồn Nghiên cứu: IBM Security
- Xu hướng: Chi phí gia tăng đòi hỏi CFO tích hợp quản lý rủi ro mạng
- Các Yếu tố Chính: Tuân thủ quy định, thông báo khách hàng, quản lý danh tiếng
Các biện pháp bảo vệ khách hàng
Aflac vẫn chưa xác định được số lượng chính xác khách hàng bị ảnh hưởng, ngăn cản việc thông báo trực tiếp cá nhân vào thời điểm này. Tuy nhiên, công ty chủ động cung cấp các dịch vụ bảo vệ toàn diện cho bất kỳ người mua bảo hiểm nào liên hệ với trung tâm cuộc gọi chuyên dụng của họ. Những dịch vụ này bao gồm 24 tháng giám sát tín dụng miễn phí, bảo vệ chống trộm cắp danh tính và bảo hiểm Medical Shield được thiết kế đặc biệt cho các rủi ro phơi nhiễm dữ liệu chăm sóc sức khỏe.
Trung tâm cuộc gọi của công ty hoạt động từ thứ Hai đến thứ Sáu từ 9 giờ sáng đến 9 giờ tối Giờ phía Đông, thứ Bảy từ 9 giờ sáng đến 5:30 giờ chiều Giờ phía Đông, và Chủ nhật từ 10 giờ sáng đến 4 giờ chiều Giờ phía Đông đến cuối tháng 6 năm 2024. Các cá nhân bị ảnh hưởng có thể liên hệ đường dây chuyên dụng tại 855-361-0305 để truy cập các dịch vụ bảo vệ này.
Những tác động an ninh rộng lớn hơn
Các quan chức liên bang đã đưa ra cảnh báo về các mối đe dọa mạng gia tăng, đặc biệt từ các nhóm tin tặc ủng hộ Iran và các tác nhân được nhà nước tài trợ nhắm mục tiêu vào các mạng lưới dễ bị tổn thương của Hoa Kỳ. Mặc dù sự cố Aflac có vẻ không liên quan đến căng thẳng địa chính trị, bối cảnh đe dọa tổng thể tiếp tục phát triển với nhiều tác nhân đe dọa sử dụng các kỹ thuật ngày càng tinh vi.
Các chuyên gia an ninh mạng khuyến nghị rằng các công ty bảo hiểm nên thực hiện các biện pháp an ninh nâng cao xung quanh trung tâm cuộc gọi và hoạt động dịch vụ khách hàng, vì những điều này đại diện cho các vectơ tấn công chính cho các chiến dịch kỹ thuật xã hội. Sự thành công của chiến thuật của Scattered Spider chống lại nhiều người chơi trong ngành cho thấy rằng đào tạo nhận thức an ninh truyền thống có thể chứng minh là không đủ chống lại các tác nhân đe dọa có kỹ năng cao.