ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

ประกันภัยไซเบอร์

Trend ของ "Internet of Thing" เข้าสู่ทุกระบบธุรกิจ ไปอยู่ในโลกไซเบอร์ ธุรกิจจึงต้องให้ความสำคัญกับการดูแลข้อมูลส่วนตัวของลูกค้า

หน่วยงานกำกับดูแลอย่างคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย(คปภ.)
มีการศึกษาเรื่องประกันภัยความเสี่ยงทางไซเบอร์(CyberRisks) ดูบทเรียนจากต่างประเทศ พบว่าภาพรวมการคุมคามทางไซเบอร์เพิ่มขึ้นมาก ส่งผลกระทบต่อองค์กรในด้านต่าง ๆ เช่น ถูกโจมตีทางไซเบอร์ เกิดการรั่วไหลของข้อมูล องค์กรต้องเสียค่าใช้จ่ายทั้งในการค้นหาสาเหตุ การแจ้งลูกค้า เยียวยา กระทบต่อชื่อเสียงและความเชื่อมั่นของบริษัท

การประกันภัยด้านไซเบอร์ จึงต้องมีการพัฒนาอย่างรวดเร็ว
สหรัฐที่ปัจจุบันมีบริษัทประมาณ 52% ที่ทำประกันภัยไซเบอร์
เอเชีย ข้อมูลเมื่อปี 2556 ประเทศที่เป็นเป้าหมายการโจมตีทางไซเบอร์มากที่สุดในเอเชีย ได้แก่ เกาหลีใต้ ญี่ปุ่น ฮ่องกง และไทย
ส่วนกิจการที่เป็นกลุ่มเป้าหมายการโจมตี ได้แก่ ธุรกิจการเงิน รัฐบาลกลาง เป็นต้น

คปภ.อนุมัติแบบประกันที่เกี่ยวข้องกับความเสี่ยงทางไซเบอร์ เช่น กรมธรรม์ประกันภัยการป้องกันความเสียหายบนระบบคอมพิวเตอร์ โดยชับบ์ (Cyber Security by Chubb Policy) ให้แก่ บมจ.เอฟพีจี ประกันภัย (ประเทศไทย) หรือเดิมชื่อ บมจ.ชับบ์ประกันภัย (ประเทศไทย) ในเวลา 3 ปี (2556-2559) ซึ่งคุ้มครอง 6 หมวด ได้แก่
1) ค่าเสียหายจากการโจรกรรมทางอิเล็กทรอนิกส์
2) ค่าเสียหายจากการสื่อสารทางอิเล็กทรอนิกส์
3) ค่าเสียหายจากการคุกคามทางอิเล็กทรอนิกส์
4) ค่าเสียหายจากการทำลายทรัพย์สินทางอิเล็กทรอนิกส์
5) ค่าเสียหายจากการหยุดชะงักของธุรกิจทางอิเล็กทรอนิกส์ ค่าใช้จ่ายพิเศษ และ
6) ความรับผิดทางคอมพิวเตอร์

ที่ผ่านมามีบริษัทซื้อประกันชุดนี้ 1 ราย วงเงินความรับผิดจำนวน 39 ล้านบาท เบี้ยประกันภัย 0.42%
ขณะที่ คปภ.กำหนดเงื่อนไขการคิดค่าเบี้ยของประกันภัยชุดนี้อัตรา 0.1-5.0% ของเงินจำกัดความรับผิด หรือรายต่อปีของบริษัท หรือขนาดของทรัพย์สินแล้วแต่กรณี

ในช่วงที่ผ่านมายังไม่มีการเคลม (เรียกร้องค่าสินไหมทดแทน)

"โทมี่ ลัทวา-ดิสโคลา" ประธานกลุ่มเอไอจี ประเทศไทยกล่าวว่า
ตามแผนงานที่วางไว้ล่าสุดบริษัทได้รับอนุญาตให้ออกกรมธรรม์ประกันภัยไซเบอร์จาก คปภ.แล้ว และตั้งเป้าหมายเจาะกลุ่มลูกค้าธุรกิจที่ทำธุรกรรมอิเล็กทรอนิกส์ โดยเฉพาะการเก็บข้อมูลทางการเงิน ข้อมูลส่วนตัวของลูกค้าในกลุ่มธุรกิจโรงพยาบาล โรงแรม โทรคมนาคม ธนาคาร ฯลฯ โดยมีความคุ้มครอง 3 ส่วน ได้แก่ 1) ความคุ้มครองแก่ผู้เอาประกันภัย (First Party Cover) เช่น ค่าใช้จ่ายเพื่อการปกป้องข้อมูล 2) ความคุ้มครองบุคคลภายนอก (Third Party Cover) เช่น คุ้มครองความเสียหายที่ลูกค้าได้รับจากที่ข้อมูลถูกขโมย และ 3) ความคุ้มครองอื่น ๆ เช่น ค่าทนาย กรณีผู้เอาประกัน (บริษัทที่ซื้อประกัน) ถูกลูกค้าฟ้องร้องเรื่องความเสียหายจากข้อมูลถูกขโมยไป

"เบี้ยประกันภัยไซเบอร์ยังเป็นช่วงที่กว้างมากต้องคำนวณเป็นรายลูกค้าเพราะต้องดูจากความเสี่ยงเฉพาะของแต่ละธุรกิจซึ่งแบบประกันเอไอจีขายมาแล้วในต่างประเทศและเรามีความเชี่ยวชาญ" โทมี่กล่าว

ความเสี่ยงทางไซเบอร์เป็นความเสี่ยงภัยระดับสูง เบี้ยประกันภัยจึงสูง และมีผู้ซื้อประกันจำนวนไม่มาก อีกทั้งบริษัทประกันภัยในประเทศไทยยังไม่เชี่ยวชาญ ดังนั้น เมื่อรับประกันภัยมาแล้ว ส่วนใหญ่จึงส่งต่อให้บริษัทรับประกันภัยต่อในต่างประเทศเป็นผู้พิจารณารับประกันภัย

http://upic.me/i/a7/pwc_security_at_a_glance.png

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

ข้อมูลเพิ่มเติม
http://www.thaire.co.th/thaire_backend/upload/ourservices/publict_20151216111050.pdf

ประกันยื่นคปภ.ทำ "คุ้มภัยไซเบอร์" ทิพยฯตั้งทีมรับ-รีอินชัวเรอร์ต่างชาติซื้อลดเสี่ยง

คปภ.เผย บริษัทประกันยื่นขอออก "ประกันภัยไซเบอร์" ลดเสี่ยงเสียหายจากภัยคุกคามกลางอากาศ ฟาก "เอ็ดต้า" ชี้ภัยร้ายทำเอาบางสถาบันการเงินสูญราว 1 แสนดอลลาร์ต่อชั่วโมง ค่าย"ทิพยประกันภัย"ตั้งทีมลุยธุรกิจประกันไซเบอร์ โบรกเกอร์ประกันภัยชี้บริษัทต่างชาติทำประกันไซเบอร์ครอบคลุมถึงธุรกิจในไทย เบี้ยรวมสูงเกิน 100 ล้านบาท

นายสุทธิพล ทวีชัยการ เลขาธิการสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เปิดเผยว่า การผลักดันประเทศไทยเข้าสู่ "เศรษฐกิจดิจิทัล" ทำให้ทั้งภาครัฐและเอกชนต้องปรับระบบงานที่ต้องใช้เทคโนโลยี (IT) มากขึ้น ดังนั้นการป้องกันความเสี่ยงเรื่องการโจมตีทางไซเบอร์ (Cyber Attack Insurance) จึงเป็นสิ่งที่ทุกภาคส่วนจะต้องเตรียมตัวรับ ขณะที่การซื้อกรมธรรม์ประกันภัยไซเบอร์ก็เป็นสินค้าอีกตัวที่สำคัญ และตอนนี้ คปภ.กำลังอยู่ระหว่างการพิจารณากรมธรรม์ประกันภัยไซเบอร์ของบริษัทประกันภัยรายหนึ่ง

"ตอนนี้ต่างประเทศตื่นตัวเรื่องการโจมตีทางไซเบอร์มากเพราะความเสี่ยงเรื่องการขโมยข้อมูลส่วนบุคคลมากขึ้น รวมถึงการก่อกวนทางไซเบอร์ที่ภาครัฐและเอกชนจะต้องเตรียมตัวแก้ไขไว้" นายสุทธิพลกล่าว

นายชัยชนะ มิตรพันธ์ รองผู้อำนวยการสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. (ETDA) กล่าวว่า รูปแบบการโจมตีไซเบอร์ในต่างประเทศมีความหลากหลายมากขึ้น ทั้งการส่งมัลแวร์หรือแฮ็กเข้ามาในเครือข่ายหรือระบบไอที เพื่อขโมยข้อมูลภายใน หรือการคุกคามทางไซเบอร์ ซึ่งสร้างความเสียหาย

"ในต่างประเทศ ภัยทางไซเบอร์มีทั้งการส่งมัลแวร์เข้ามาในระบบเพื่อสร้างรหัสใหม่ขึ้นมา ไม่ให้เจ้าของข้อมูลใช้งานได้ และขู่ให้ส่งเงินเพื่อแลกกับรหัสจะได้กลับมาใช้งานข้อมูลตามปกติ หรือการส่งอีเมล์ขู่เข้ามา และมีการแสดงตัวอย่างการโจมตี เช่น ข่มขู่ว่าจะปิดระบบให้เกิดการขัดข้องในการทำงาน 1-2 ชั่วโมง และถ้าไม่มีการโอนเงินมา ก็จะทำให้ระบบเสียหาย ซึ่งบางสถาบันการเงินก็มีความเสียหายจากที่ถูกโจมตีสูงถึงชั่วโมงละ 100,000 ดอลลาร์สหรัฐ" นายชัยชนะกล่าว

นายสมพร สืบถวิลกุล กรรมการผู้จัดการใหญ่ บมจ.ทิพยประกันภัย กล่าวว่า ประกันภัยไซเบอร์เป็นความเสี่ยงที่เริ่มมีคนตระหนักมากขึ้น โดยเฉพาะในกลุ่มลูกค้าธุรกิจที่ต้องดูแลข้อมูลของลูกค้าจำนวนมาก เช่น โรงแรม ธนาคาร เป็นต้น ทางบริษัทจึงตั้งทีมงานขึ้นมาดูเรื่องประกันภัยไซเบอร์โดยเฉพาะ รวมถึงการพูดคุยกับบริษัทรับประกันภัยต่อในต่างประเทศ เพื่อสร้างผลิตภัณฑ์ที่ตอบโจทย์ลูกค้า โดยมุ่งเน้นใน 2 ทางคือ 1) คุ้มครองผลลัพธ์ที่เกิดจากการโจมตีทางไซเบอร์ เช่น ก่อกวนให้การทำธุรกรรมติดขัดทำให้ธุรกิจเสียหาย 2) คุ้มครองการโจมตีของแฮกเกอร์ที่ขโมยข้อมูลเพื่อไปใช้งานต่อ

"ขณะที่การคิดเบี้ยประกันภัยจะดูจากความเสี่ยงของแต่ละธุรกิจ การรับประกันภัยต่อ ตอนนี้ยังประเมินค่าเบี้ยประกันภัยไซเบอร์ในไทยไม่ได้ แต่ทิศทางการทำตลาด ฝั่งบริษัทประกันภัยก็ต้องดูว่า กรมธรรม์ที่ออกมาจะมีคนรองรับความเสี่ยงให้เราได้ไหม ปีหน้าบริษัทจะมีความคืบหน้าเรื่องกรมธรรม์ประกันภัยไซเบอร์" นายสมพรกล่าว

นางวรรณี คงภักดีพงษ์ กรรมการผู้จัดการ บริษัท ฮาวเด้น อินชัวรันซ์ โบรคเกอร์ส (ประเทศไทย) จำกัด กล่าวว่า ไทยมีความเสี่ยงภัยทางไซเบอร์อยู่อันดับที่ 5 ของโลก แต่ก็ยังไม่เคยมีการเรียกร้องค่าสินไหม (เคลม) เกิดขึ้นเลย ในขณะที่เบี้ยประกันภัยไซเบอร์ในไทยมีมูลค่าเกิน 100 ล้านบาทแล้ว แต่ว่าเป็นการซื้อจากบริษัทประกันภัยในต่างประเทศ ซึ่งจะให้ความคุ้มครองในไทยและต่างประเทศด้วย ส่วนใหญ่กลุ่มที่ซื้อประกันดังกล่าวเป็นบริษัทเครือข่ายต่างชาติที่เข้ามาทำธุรกิจในไทย เช่น โรงแรม ธนาคาร หรือธุรกิจที่มีการเก็บข้อมูลลูกค้าจำนวนมาก

ด้านความเสี่ยงที่บริษัทรับประกันภัยที่พิจารณาคือลูกค้าต้องมีระบบการบริหารระบบไอทีและการเก็บข้อมูลที่ดี ในขณะที่ต้องดูความเสี่ยงในประเทศและธุรกิจ รวมถึงขอบเขตความคุ้มครองอย่างละเอียด เพราะส่งผลต่อการเคลมค่าสินไหมทดแทน ซึ่งใช้เวลามากในการพิสูจน์ความเสียหายทั้งหมดอย่างครอบคลุม บางเคสใช้เวลามากกว่า 1 เดือน

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

ประกันภัยไซเบอร์ ประเด็นร้อนในงาน RSA 2016

ประกันภัยไซเบอร์ก็เช่นเดียวกับประกันทั่วไป นั่นคือ เจ้าของระบบคอมพิวเตอร์จ่ายเบี้ยประกันตามเงื่อนไขที่กำหนด ก็จะได้รับผลตอบแทนเมื่อระบบคอมพิวเตอร์ได้รับความเสียหาย เช่น ระบบล่มไม่สามารถให้บริการได้ ระบบถูกโจมตี ข้อมูลสำคัญขององค์กรถูกขโมยออกไป เป็นต้น ที่สำคัญคือ ธุรกิจประกันแนวใหม่นี้กำลังเป็นประเด็นร้อนในงานสัมมนา RSA 2016 ที่กำลังจะจัดขึ้นที่ซานฟรานซิสโกสัปดาห์หน้านี้

คำนวณความเสียหายและเบี้ยประกันอย่างไร

คำถามคือ ทางบริษัทประกันจะมีวิธีชั่งน้ำหนักค่าเบี้ยประกันและผลตอบแทนอย่างไรให้สมน้ำสมเนื้อ ที่ทั้งบริษัทประกันและลูกค้าต่างได้กำไรด้วยกันทั้งคู่

คำตอบคือ จากตัวอย่างบริษัทประกันบนอินเทอร์เน็ต บริษัทเหล่านี้ยังคงยึดแนวทางเดียวกับประกันทั่วไป นั่นคือ บริษัทประกันจะส่งแบบสอบถามเกี่ยวกับระบบคอมพิวเตอร์มาให้กรอก เพื่อพิจารณาถึงความเสี่ยง ความรุนแรง และผลกระทบเมื่อระบบถูกโจมตี เช่น ระบบป้องกันมัลแวร์ที่ใช้อยู่ การควบคุมรหัสผ่าน นโยบายการใช้งาน ระบบตรวจจับภัยคุกคามที่ใช้ ระบบสำรองข้อมูล และอื่นๆ จากนั้นจะนำข้อมูลไปคำนวณมูลความเสียหายที่อ่านจะเกิดขึ้น และเบี้ยประกันที่เหมาะสมต่อความเสี่ยงนั้นๆ

ที่น่าสนใจคือ มีการสอบถามเกี่ยวกับการโจมตีที่เคยเกิดขึ้นในช่วง 2 – 3 ปีที่ผ่านมา และระยะเวลาที่ตรวจพบการโจมตีเป็นหลักนาทีหรือหลักชั่วโมง ซึ่งอ่านดูแล้วคนที่อยู่สายงานด้าน IT Security คงหัวเราะออกมาดังๆ เนื่องจากโดยเฉลี่ยแล้ว ต้องใช้เวลานานกว่า 200 วันจึงจะรู้ตัวว่าระบบถูกเจาะ

กว่า 59% เริ่มใส่ประกันภัยไซเบอร์ในแผนรับมือการโจมตี

จากการสำรวจของ PWC ระบุว่า หลายบริษัทเริ่มเพิ่มการประกันภัยไซเบอร์เข้าไปในแผนรับมือการโจมตี (ประมาณ 59%) เนื่องจากช่วยให้ได้ค่าชดเชยจากการที่บริษัทถูกเจาะระบบหรือระบบล่ม แทนที่จากเดิมไม่ได้อะไรเลย นอกจากนี้ บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยหลายแห่งยังเริ่มให้บริการตรวจสอบระบบของลูกค้า เพื่อนำผลลัพธ์ไปตกลงกับบริษัทประกันอีกด้วย เสมือนกับการไปตรวจสุขภาพและนำใบรับรองแพทย์ไปทำประกัน

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

คลอด"ประกันไซเบอร์" คุ้มครอง"ขโมย"ข้อมูล!
คปภ.คลอดประกันภัยไซเบอร์ในประเทศไทย 2 ราย ยึดโมเดลสิงคโปร์ คุ้มครอง 6 ปัญหา ทั้งโจรกรรมข้อมูล ธุรกิจหยุดชะงัก เคาะเบี้ย 0.1-5%
อาทิตย์ที่ 3 เมษายน 2559 เวลา 07.00 น

นายสุทธิพล ทวีชัยการ เลขาธิการสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย(คปภ.) เปิดเผยว่าสำนักงาน คปภ.ได้อนุมัติให้บริษัทประกันภัยสามารถรับทำกรมธรรม์ประกันภัยไซเบอร์ในประเทศไทยได้แล้ว 2 รายเพื่อให้ความคุ้มครองกรณีเกี่ยวกับภัยทางอิเล็กทรอนิกส์ในรูปแบบต่างๆจนสร้างความเสียหายแก่ผู้ทำประกันโดยกำหนดให้คิดค่าเบี้ยประกันภัยรายปีที่กำหนดไว้คือ 0.1-5%ของจำนวนเงินจำกัดความรับผิดหรือรายได้ต่อปีหรือขนาดของทรัพย์สินแล้วแต่กรณี

"ประกันภัยไซเบอร์ยังเป็นเรื่องใหม่มากในไทยการพิจารณาของคปภ.จึงยึดโมเดลของต่างประเทศเป็นแนวทางเช่น โมเดลของสิงคโปร์ แต่จะต้องปรับให้เหมาะสมกับไทยเช่นกันหากบริษัทประกันภัยได้พัฒนาออกแบบกรมธรรม์มีเงื่อนไขความคุ้มครองนอกเหนือกรมธรรม์พื้นฐานก็สามารถชี้แจ้งและร่วมมือกันพัฒนาได้เพื่อให้ตอบโจทย์ความต้องการในเมืองไทยให้มากที่สุดอย่างไรก็ดีในช่วงที่ผ่านมามีการทำประกันภัยดังกล่าวเพียง 1 ฉบับมีจำนวนเงินจำกัดความรับผิด 39 ล้านบาท เบี้ยประกันที่ 0.42%และยังไม่มีการเรียกร้องค่าสินไหมทดแทนเกิดขึ้น"

นายสุทธิพลกล่าวว่า การคุ้มครองค่าเสียหายมี 6 ประเภท ได้แก่ค่าเสียหายจากการโจรกรรมทางอิเล็กทรอนิกส์โดยคุ้มครองความเสียหายที่เกิดจากการที่ผู้เอาประกันได้ทำการโอน ชำระหรือส่งมอบเงินทุนหรือทรัพย์สิน อันเนื่องมาจากการโจรกรรมข้อมูลโดยฉ้อฉลถัดมาเป็นค่าเสียหายจากการสื่อสารข้อมูลทางอิเล็กทรอนิกส์โดยคุ้มครองความเสียหายที่เกิดขึ้นจากลูกค้า หรือสำนักหักบัญชีอัตโนมัติหรือผู้เก็บรักษาทรัพย์หรือสถาบันการเงินที่ได้ทำการโอน ชำระหรือส่งมอบเงินทุนหรือทรัพย์สินจากการเชื่อถือการสื่อสารที่ฉ้อฉลซึ่งมีความประสงค์เพื่อให้เสมือนการออกคำสั่งจากผู้เอาประกันภัยได้ออกคำสั่ง

นอกจากนี้ยังมีค่าเสียหายจากการคุกคามทางอิเล็กทรอนิกส์คุ้มครองความเสียหายที่เกิดจากการทำลาย การสูญหาย การยึด หรือการเอาโดยทุจริตอันเกิดจากการขู่เข็ญ กรรโชกระหว่างการยึดถือหรือขนส่งโดยผู้เอาประกันภัยค่าเสียหายจากการทำลายทรัพย์สินทางอิเล็กทรอนิกส์โดยคุ้มครองค่าใช้จ่ายที่ผู้เอาประกันภัยที่ได้รับจากสื่อที่ไม่มีข้อมูลและต้นทุนค่าแรงสำหรับการถ่ายสำเนาอันเป็นผลมาจากการเปลี่ยนแปลงการสร้างความเสียหาย การลบทิ้งหรือการทำลายข้อมูล ซึ่งผู้เอาประกันภัยเป็นเจ้าของ

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

เนื้อหา
1ความหมายของอาชญากรรมด้านไซเบอร์
2ความเสียหายจากอาชญากรรมด้านไซเบอร์ในโลก
3สถานการณ์ความเสี่ยงด้านไซเบอร์ในประเทศไทย
5พัฒนาการของ Cyber Insurance ในต่างประเทศ
7การประกันภัยไซเบอร์ในประเทศไทยและความต้องการ
8บทสรุป
9ภาคผนวก
Cyber Insurance Potential In Thailand
May 2015
ฝ่ ายวิจัยและสถิติ
หน้า | 1
พัฒนาการที่ก้าวหน้าเป็ นอย่างมากของเทคโนโลยีด้านคอมพิวเตอร์และระบบเครือข่ายได้ก่อให้เกิดนวัตกรรมต่างๆ ขึ ้น
มากมาย แต่ในขณะเดียวกัน ก็ได้น าความเสี่ยงมาสู่ผู้ใช้อย่างไม่ทันรู้เนื ้อรู้ตัว รายงานนี ้จึงได้พยายามประเมินสถานการณ์และ
ผลกระทบจากความเสี่ยงด้านไซเบอร์ (Cyber risks) ตลอดจนถึง รูปแบบวิธีการบริหารความเสี่ยงที่มีอยู่ในปัจจุบัน เพื่อเป็ น
ข้อมูลส าหรับการพัฒนาแผนธุรกิจที่นับวันจะทวีความส าคัญมากยิ่งขึ ้น
ความหมายของอาชญากรรมด้านไซเบอร์
Cyber crime หรือ อาชญากรรมด้านไซเบอร์มีความหมายที่หลากหลาย ขึ ้นกับจุดมุ่งหมายและสถานการณ์ที่ใช้แต่โดยทั่วไป
แล้ว จะหมายถึง กิจกรรมที่ผิดกฎหมายใดๆ ที่ใช้หรือรุกรานระบบและเครือข่ายคอมพิวเตอร์ รวมไปถึงอินเตอร์เน็ต
Capgemini 1
ได้จัดอาชญากรรมด้านไซเบอร์เป็ น 3 รูปแบบด้วยกัน คือ 1. การท าให้ธุรกิจหยุดชะงักหรือล่วงละเมิด
(Business disruption and misuse) เช่น การท าให้ระบบคอมพิวเตอร์หยุดการท างานหรือท างานได้ไม่เต็มประสิทธิภาพ
เป็ นต้น 2. การหลอกลวงทางออนไลน์ (Online scam) เช่น การท าให้ผู้ใช้หลงเชื่อเพื่อที่จะเข้าถึงข้อมูลส่วนตัวและข้อมูล
ส าคัญทางการเงิน และการหลอกขายสินค้าออนไลน์ เป็ นต้น และ 3. การลักขโมยและฉ้อฉลฉ้อโกงเพื่อผลประโยชน์(Theft
and fraud) เช่น การขโมยอัตลักษณ์ของผู้ใช้เพื่อใช้ในการเปิ ดบัญชีกับธนาคารการขโมยทรัพย์สินทางปัญญาหรือความลับ
ทางธุรกิจ หรือ การท าให้เกิดความเสียหายกับหน่วยงานภาครัฐ เป็ นต้น
ความเสียหายจากอาชญากรรมด้านไซเบอร์ในโลก
จากการประเมินของ MCAfee2
ที่เผยแพร่ในปี 2557 พบว่า อาชญากรรมด้านไซเบอร์
ก่อให้เกิดความเสียหายทั่วโลกคิดเป็ นมูลค่าระหว่าง US$ 3.75 แสนล้าน จนถึง US$ 5.75
แสนล้านต่อปีโดยในปี 2557 คนอเมริกันราว 40 ล้านคนรายงานว่าข้อมูลส าคัญของตนได้ถูก
ขโมย และเกือบ 54 ล้านคนในประเทศตุรกีก็ต้องเผชิญกับชะตากรรมในลักษณะเดียวกัน ไม่
เพียงเท่านั ้น หลายประเทศในเอเชีย อย่างเช่น เกาหลีและจีน ที่พลเมืองของตนรวมกันราว 40
ล้านคนได้ประสบกับเหตุการณ์ข้อมูลส่วนบุคคล
ถูกขโมยจากช่องทางไซเบอร์ โดยในปีที่แล้ว
คาดว่าเหยื่อจากการโจรกรรมด้านไซเบอร์มีจ านวนสูงถึง 800 ล้านคนและมี
มูลค่าความเสียหายสูงถึง US$ 1.6 แสนล้าน เพิ่มขึ ้นจาก US$1.1 แสนล้านใน
ปี 25563
ผลกระทบที่เกิดขึ ้นกับองค์กรมีความรุนแรงที่น่าเป็ นห่วงเช่นกัน ผล
จากการสัมภาษณ์ 257 บริษัทใน 7 ประเทศของ Ponemon Institute4
ชี ้ว่า
ความเสียหายที่เกิดขึ ้นใน ปี 2557 ของบริษัทที่ท าการส ารวจในประเทศสหรัฐอเมริกามีค่ารวมกันสูงถึง US$ 12.7 ล้าน อันดับ
ที่สองคือบริษัทในประเทศเยอรมันนีที่ได้รับความเสียหาย US$ 8.1 ล้าน สถาบันที่มีความเชี่ยวชาญด้านความปลอดภัยของ

1 Using Insurance to Mitigate Cybercrime Risk: Challenges and recommendations for insurers, 2012, Capgemini
2 Net Losses: Estimating the Global Cost of Cybercrime, June 2014, McAfee
3 2013 Norton Report, Norton
4 2014 Global Report on the Cost of Cyber Crime, October 2014, Ponemon Institute
ความเสียหายเฉลี่ย ทั่วโลกต่อปี US$4 แสนล้าน จานวนผู้ที่ได้รับความเสียหายทั่วโลก ต่อปี 800 ล้านคน
หน้า | 2
ข้อมูลแห่งนี ้ได้กล่าวสรุปไว้อย่างน่าสนใจว่า ความเสียหายขององค์กรอันเกิดจากอาชญากรรมด้านไซเบอร์ยังคงมีแนวโน้มเพิ่ม
มากขึ ้นทุกปี และผลกระทบที่เกิดขึ ้นกับองค์กรขนาดใหญ่ถึงแม้
จะมีมูลค่าความเสียหายโดยรวมที่สูง แต่มูลค่าความเสียหายต่อ
พนักงานจะต ่ากว่าองค์กรที่มีขนาดเล็กหรือมีจ านวนพนักงานที่
น้อยกว่า นอกจากนี ้แล้ว ไม่ว่าจะเป็ นธุรกิจหรืออุตสาหกรรม
ประเภทใด ก็ไม่สามารถที่จะรอดพ้นจากการคุกคามด้านไซเบอร์
ได้ โดยธุรกิจที่เกี่ยวข้องกับพลังงานและสาธารณูปโภค ตลอด
จนถึง ธุรกิจที่ให้บริการทางการเงินมักจะเป็ นเป้ าหมายส าคัญ
ของการโจมตีในแต่ละปีเป็ นที่เชื่อว่าความที่เสียหายที่ประเมิน
เป็ นตัวเลขได้นั ้นน่าจะเป็ นเพียงส่วนหนึ่งของความเสียหาย
ทั ้งหมดเท่านั ้น เนื่องจากหลายองค์กรที่ประสบกับเหตุการณ์ไม่
ต้องการที่จะเปิ ดเผยข้อมูล และอีกหลายกรณีที่องค์กรไม่รู้ตัว
ด้วยซ ้าไปว่าได้ถูกโจมตีแล้ว MCAfee ได้หยิบยกตัวอย่างของประเทศออสเตรเลียที่ว่า มีเพียง 4 จาก 10 บริษัทเท่านั ้น ที่
ยอมรับว่าระบบขององค์กรของตนได้รับการแทรกแซงจากผู้ไม่ประสงค์ดีเช่นเดียวกับ ประสบการณ์ของประเทศเนเธอร์แลนด์
Ponemon Institute ได้ระบุเพิ่มเติมอีกด้วยว่า การโจมตีทางไซเบอร์มากกว่า 55% มีที่มาจาก 3 สาเหตุส าคัญคือ
I. ภัยคุกคามที่เกิดขึ ้นจากคนในหรือจากฝั่งผู้ให้บริการเอง (Malicious insiders) II. ภัยคุกคามบนระบบเครือข่าย อันเป็ นผล
มาจากการได้รับโปรแกรมที่มีจุดประสงค์ท าให้เครื่องคอมพิวเตอร์หรือระบบโครงข่ายหยุดการท างาน (Denial of services)
และIII. การโจมตีบนเว็บ (Web-based attacks) ซึ่งถือได้ว่าเป็ นการโจมตีที่มีอัตราการเติบโตสูงมากในปัจจุบัน โดยใช้การ
ฝังมัลแวร์ (Malware) หรือโปรแกรมที่ไม่พึงประสงค์ผ่านทางช่องโหว่ของ Internet browser โดยจะเข้าไปควบคุมการ
ท างานของโปรแกรม Internet browser ให้เป็ นไปตามความต้องการของผู้ประสงค์ร้าย
ที่มา: White Paper: Web
Based Attacks, February
2009, Symantec
หน้า | 3
เนื่องจากโลกปัจจุบันเสมือนดั่งเป็ นหมู่บ้าน (Global village) ด้วยความเจริญก้าวหน้าทางเทคโนโลยีการสื่อสาร
และโทรคมนาคมจึงท าให้โลกเป็ นสังคมที่ไร้พรมแดนและต้องเผชิญกับความเสี่ยงด้านไซเบอร์อย่างหลีกเลี่ยงไม่ได้ MCAfee
กล่าวว่า ประเทศที่ร ่ารวยหรือองค์กรใหญ่มักจะตกเป็ นเป้ าของการคุกคามด้านไซเบอร์เนื่องจากใช้ระดับความพยายามที่ไม่
แตกต่างกัน แต่ได้รับผลตอบแทนที่สูงกว่า อย่างไรก็ตาม หากประเทศที่มีฐานะทางเศรษฐกิจไม่สู้จะดีนัก ได้หันมาใช้
อินเตอร์เน็ตมากยิ่งขึ ้นในการติดต่อค้าการขาย ภัยคุกคามด้านไซเบอร์และความเสียหายก็น่าจะเพิ่มมากยิ่งขึ ้น ซึ่งในปัจจุบัน
อาชญากรได้มุ่งความสนใจกับอุปกรณ์สื่อสารมือถือที่เป็ นที่นิยมอย่างสูงในประเทศเหล่านี ้ MCAfee ระบุว่า 3 ทวีปที่ได้รับ
ความเสียหายสูงที่สุดในโลก คือ ทวีปอเมริกาเหนือ ทวีปยุโรป และเอเชีย ในขณะที่ ทวีปแอฟริกาได้รับความเสียหายต ่าที่สุด
โดยความเสียหายที่เกิดขึ ้นนั ้นคิดเป็ นร้อยละของรายได้ หรือ GDP ของประเทศ ดังตัวเลขที่ได้แสดงในภาพข้างล่างนี ้
ที่มา: <2>
สถานการณ์ความเสี่ยงด้านไซเบอร์ในประเทศไทย
การติดตามถึงลักษณะของภัยคุมคามด้านไซเบอร์ ตลอดจนถึงมูลค่าความเสียหายที่เกิดขึ ้นในประเทศไทยถึงแม้ยังมิได้มีการ
รวบรวมและประเมินอย่างเป็ นรูปธรรมเท่าใดนักแต่จากสถิติที่ได้รับจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบ
คอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต)
5
แสดงให้เห็นว่า รูปแบบของภัยคุกคามด้านไซเบอร์ที่เกิดขึ ้นในประเทศไทยมีลักษณะที่
คล้ายคลึงกับที่พบในประเทศอื่นๆ ทั่วโลก

5
ไทยเซิร์ต จัดตั ้งขึ ้นในปี พ.ศ. 2543 เป็ นศูนย์เทคโนโลยีอีเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สังกัดส านักงานพัฒนาวิทยาศาสตร์และ
เทคโนโลยีแห่งชาติ กระทรวงวิทยาศาสตร์และเทคโนโลยี อ่านรายละเอียดเพิ่มเติมได้ที่ www.thaicert.or.th
หน้า | 4
ไทยเซิร์ตได้จัดแยกประเภทของภัยคุกคามด้านไซ
เบอร์ออกเป็ น 9 ประเภท คือI. ภัยคุกคามจากการ
ฉ้อฉลฉ้อโกงหรือหลอกลวงเพื่อผลประโยชน์
(Fraud) II. ภัยคุกคามจากโปรแกรมที่ถูกพัฒนาขึ ้น
เพื่อให้เป็ นอันตรายต่อระบบ (Malicious code)
III. ภัยคุกคามจากการบุกรุก(Intrusion) IV. ภัย
คุกคามจากความพยายามบุกรุก (Intrusion
attempts) V. ภัยคุกคามจากการรวบรวมข้อมูล
(Information gathering) VI. ภัยคุกคามที่
เกิดจากการใช้หรือเผยแพร่ข้อมูลที่ไม่เหมาะสม
หรือไม่เป็ นจริง (Abusive content) VII. ภัย
คุกคามต่อการพร้อมใช้ (Availability) VIII.
ความมั่นคงปลอดภัยของข้อมูล (Information security) และIX. ภัยคุกคามประเภทอื่นๆ (Other) โดยในระยะเวลา 4 ปี ที่
ผ่านมา (ตั ้งแต่ ปี 2554 จนถึง 2557) ภัยสามอันดับแรกที่ได้กล่าวมาเบื ้องต้น จัดว่าเป็ นภัยคุกคามที่ได้รับการรายงานมาก
ที่สุด คิดเป็ นสัดส่วนรวมกันสูงถึง 81% ของภัยที่ได้รับการรายงานทั ้งหมด
และจากสถิติล่าสุดของปี 2558 (ตั ้งแต่เดือน ม.ค. ถึง ก.พ.) ชี ้ให้เห็นว่า
ความเสี่ยงจากการโจมตีด้วยโปรแกรมไม่พึงประสงค์ หรือ Malicious code
ได้เพิ่มสูงขึ ้นเป็ นอย่างมากซึ่งภัยดังกล่าวได้รับการรายงานคิดเป็ นสัดส่วนสูง
ถึง 28% ของรูปแบบการโจมตีทางไซเบอร์ทั ้งหมดในไทยในช่วงระยะเวลา 2
เดือนแรกของปีซึ่งก็เป็ นแนวโน้มเดียวกันกับของโลก
ข้อมูลส าคัญที่พอจะบ่งถึงสถานการณ์ความเสี่ยงด้านไซเบอร์ใน
ไทยว่าเป็ นอย่างไรนั ้น พิจารณาได้จากอันดับของประเทศที่มีความเสี่ยงจากการโจมตีด้านไซเบอร์ที่จัดท าขึ ้นโดย Sophos6
ซึ่ง
เป็ นบริษัทที่มีความเชี่ยวชาญด้านความปลอดภัยของระบบคอมพิวเตอร์สัญชาติสหราชอณาจักรจากการค านวณอัตราของ
เครื่องคอมพิวเตอร์ที่ถูกโจมตีด้วยโปรแกรมที่ไม่พึง
ประสงค์ (Threat exposure rate, TER)ของ
Sophos พบว่า ในปี 2555 ประมาณ 1 ใน 5 ของ
คอมพิวเตอร์ในประเทศไทยประสบกับการถูกโจมตี
ของโปรแกมที่ไม่พึงประสงค์ ซึ่งระดับดังกล่าวท าให้
ประเทศไทยถูกจัดเป็ นประเทศที่มีความเสี่ยงต่อภัย
คุกคามด้านไซเบอร์สูงเป็ นอันดับที่ 3 ของโลก โดย
ประเทศที่มีความเสี่ยงสูงที่สุดคือ ประเทศอินโดนิเซีย
รองลงมาคือ ประเทศจีน

6
Security Threat Report 2013, Sophos
Malicious code จัดว่าเป็ นภัยคุกคามที่
พบมากที่สุดในไทยในช่วง 2 เดือนแรก
ของปี 2558 คิดเป็ นสัดส่วนมากถึง
28%
2,5471
(36%)
1,9532
(27%)
1,3553
(19%)
988
(14%)
192 (3%)
101 (1%) 26 (0%) 23 (0%)
6 (0%)
Fraud
Malicious code
Intrusion
Intrusion attempts
Information gathering
Abusive content
Availability
Other
Information security
ที่มา: <5>
ที่มา: <6>
หน้า | 5
นอกจากจะเป็ นเป้ าจากการโจมตีแล้ว การให้ความส าคัญกับความปลอดภัยด้านไซเบอร์ขององค์กรในประเทศไทย
เองก็ยังอยู่ในระดับที่น่าเป็ นห่วงอีกด้วยเช่นกัน IMD7
ซึ่งเป็ นสถาบันการศึกษาชั ้นน าของประเทศสวิตเซอร์แลนด์ได้จัดอันดับ
การให้ความส าคัญกับความปลอดภัยด้านไซเบอร์ขององค์กรไทยอยู่ในอันดับที่ 48 จาก 60 ประเทศ ซึ่งเป็ นอันดับที่ยังห่างชั ้น
กับประเทศชั ้นน าอื่นๆ ในกลุ่ม AEC ด้วยกันอย่างมาก เช่น มาเลเซีย และ สิงคโปร์ ที่ได้รับการจัดอันดับที่ 9 และ 13 ตามล าดับ

พัฒนาการของ Cyber Insurance ในต่างประเทศ
แนวคิดเรื่องประกันภัยไซเบอร์ (Cyber insurance) มีต้นก าเนิดมาตั ้งแต่ปีค.ศ. 1980 ถึงแม้จะผ่านหลายเหตุการณ์ส าคัญๆ
เช่น Y2K และ 9/11 แต่ความสนใจก็ถูกจ ากัดอยู่แต่ในวงของธุรกิจที่มีขนาดเล็กและกลาง รวมไปถึงธนาคารชุมชนขนาดย่อย
เท่านั ้น8
แต่หลังจาก 1990 เป็ นต้นมา แนวคิดเรื่องความปลอดภัยด้านข้อมูลเป็ นที่ยอมรับและได้รับความสนใจมากขึ ้น จึงท า
ให้เครื่องมือถ่ายโอนความเสี่ยงทางการเงินที่เกี่ยวข้องกับระบบเครือข่าย (Network) และคอมพิวเตอร์ไปยังบุคคลที่สามได้รับ
ความนิยม และได้มีการศึกษาถึงวิธีที่การรับประกันภัยด้านไซเบอร์กันอย่างจริงจัง
ผลจากการส ารวจของ PartnerRe ร่วมกับ Advisen9
ชี ้ว่า ขนาดของการประกันภัยไซเบอร์ทั่วโลกในปี 2556 มี
มูลค่ามากกว่า US$ 1.2 พันล้าน โดย 83% เป็ นเบี ้ยประกันภัยที่เกิดขึ ้นในตลาดสหรัฐอเมริกาที่มีผู้รับประกันภัยประเภทนี ้อยู่
มากถึง 35 รายโดยผลิตภัณฑ์ที่ได้รับความสนใจมีทั ้งที่เป็ นภัยหลัก (Stand-alone product) และที่เป็ นภัยเพิ่ม
(Endorsement) เป็ นที่คาดว่าธุรกิจประกันภัยประเภทนี ้จะโตถึง US$ 2 พันล้านในปี 2557
ตลาดยุโรปเป็ นอีกแห่งที่ประกันภัยไซเบอร์ได้รับความนิยม ส านักข่าวรอยเตอร์ (Reuters)10 ได้อ้างถึงการคาดการณ์
ของ Marsh & McLennan ที่ว่า เบี ้ยฯ ในภูมิภาคนี ้มีมูลค่าไม่ต ่ากว่า US$ 150 ล้านในปี 2556 (โดยเบี ้ยประกันภัยของธุรกิจ
การประกันภัยไซเบอร์ในสหราชอาณาจักรมีขนาด 0.01% ของเบี ้ยประกันวินาศภัยทั ้งหมดของประเทศ11)ถึงแม้ธุรกิจการ
ประกันภัยไซเบอร์ในยุโรปยังมีขนาดที่ไม่ใหญ่โตนักเมื่อเทียบกับขนาดของธุรกิจในประเทศสหรัฐอเมริกา แต่ด้วยการตระหนัก
ถึงภัยคุกคามด้านไซเบอร์ที่มากยิ่งขึ ้นของหลายองค์กร พร้อมทั ้งผู้เล่นรายใหญ่ (เช่น Zurich Insurance Group, Lloyd’s of
London, Hiscox, Allianz และ HDI-Gerling เป็ นต้น) ก็พร้อมที่จะให้บริการ จึงเป็ นที่คาดว่าตลาดประกันภัยไซเบอร์ในยุโรป
มีแนวโน้มที่จะเติบโตขึ ้นอย่างแน่นอน ดังจะเห็นได้จาก ในช่วงไม่กี่ปี ที่ผ่านมา ธุรกิจประกันภัยไซเบอร์ในทวีปยุโรปมีอัตราการ
เติบโตที่สูงมากถึง 50%-100% ต่อปีเลยทีเดียว
สาเหตุที่ประกันภัยไซเบอร์ในประเทศสหรัฐอเมริกามีขนาดที่ใหญ่เช่นที่กล่าวมานั ้น เนื่องมาจากคนอเมริกันนิยมใช้
บัตรเครดิตในการจับจ่ายใช้สอยอาชญากรรมด้านไซเบอร์จึงก่อให้เกิดความสูญเสียที่มีมูลค่าสูง ดังเช่นที่เกิดขึ ้นกับ Target
(ในช่วงปลายปี 2556 ที่ข้อมูลส าคัญของบัตรเครดิตและบัตรเดบิตของลูกค้าเกือบ 40 ล้านใบได้ถูกขโมย)และ Home
Depot Inc. (ข้อมูลบัตรเครดิตลูกค้า 56 ล้านคนได้ถูกโจรกรรม) เป็ นต้น นอกจากนี ้แล้ว ตัวบทกฎหมายในเรื่องของการ

7
IMD World Competitiveness Ranking 2013, IMD, www.imd.org
8
Bohme, R. and G. Schwartz, 2010, Modeling Cyber-Insurance: Towards A Unifying Framework, ICSI and UC
Berkeley
9
Cyber Liability Insurance Market Trends: Survey, October 2014, Advisen
10 Insurers struggle to get grip on burgeoning cyber risk market, July 14, 2014, Reuters,
http://www.reuters.com/article/2014/07/14/us-insurance-cybersecurity-idUSKBN0FJ0B820140714
11 Cyber Insurance Demand Said Rising in Europe, Jan 28, 2015, WSJ,
http://blogs.wsj.com/digits/2015/01/28/cyber-insurance-demand-said-rising-in-europe/
หน้า | 6
ปกป้ องข้อมูล รวมไปถึงการบังคับใช้ที่เป็ นไปอย่างเข้มงวด จึงท าให้ประเทศสหรัฐอเมริกาเป็ นตลาดที่ส าคัญของธุรกิจ
ประกันภัยไซเบอร์
รูปแบบความคุ้มครองในปัจจุบันของกรมธรรม์ประกันภัยไซเบอร์ในตลาดต่างประเทศแบ่งออกได้เป็ น 4 ลักษณะคือ
1. ความรับผิดจากการละเมิดข้อมูลส าคัญขององค์กร (Data breach and privacy management) เช่น ค่าใช้จ่ายที่
เกิดขึ ้นจากการกู้ข้อมูลที่ถูกลักขโมยไป รวมไปถึงค่าใช้จ่ายจากการสืบสวนสอบสวน และค่าใช้จ่ายทางกฎหมายที่
จ าเป็ นอื่นๆ เป็ นต้น
2. ความรับผิดจากการละเมิดระบบสื่อสารข้อมูลข่าวสารหลายชนิด โดยผ่านสื่อทางคอมพิวเตอร์(Multimedia
liability coverage) เช่น ความเสียหายอันเกิดจากการเปลี่ยนแปลงข้อมูลหรือตัวเลขบน Website หรือสื่อต่างๆ
ตลอดไปจนถึง การละเมิดสิทธิทางปัญญา (Intellectual property rights) เป็ นต้น
3. ความรับผิดจากการกรรโชกหรือขู่เข็ญ (Extortion liability coverage) เช่น การกระท าให้ระบบคอมพิวเตอร์หรือ
ระบบโครงข่ายหยุดการให้บริการเพื่อเรียกร้องค่าไถ่ เป็ นต้น
4. ความรับผิดจากการเจาะระบบโครงข่าย (Network security liability) เช่น ค่าเสียหายอันมีผลมาจากระบบ
โครงข่ายหยุดการท างาน รวมไปถึง การโจรกรรมข้อมูลของผู้ไม่ประสงค์ดี เป็ นต้น
หากพิจารณาในมุมของรูปแบบของกรมธรรม์แล้ว จะสามารถแบ่งออกได้เป็ น 2 รูปแบบด้วยกันกล่าวคือ 1. การ
ประกันภัยผู้เอาประกันภัย (First-party insurance) และ 2. การประกันภัยความรับผิดต่อบุคคลภายนอก (Third-party or
liability insurance) ซึ่งรูปแบบความคุ้มครองสรุปได้ดังนี ้12
First-Party Ins. Third-Party/Liability Ins.
 คุ้มครองความเสียหายที่เกิดขึ ้นกับข้อมูล รวมไปถึง software
และ ระบบโครงข่ายขององค์กร
 คุ้มครองความเสียหายที่เกิดขึ ้นกับลูกค้า เนื่องจากระบบความ
ปลอดภัยขององค์กรถูกล่วงละเมิด (Security breach)
 คุ้มครองความเสียหายที่เกิดจากธุรกิจหยุดชะงักอันมีสาเหตุมาจาก
software หรือ ระบบโครงข่ายเกิดการขัดข้องจากการคุกคามด้าน
ไซเบอร์
 คุ้มครองความเสียหายอันเกิดจากการจารกรรมข้อมูลของลูกค้า
รวมไปถึงค่าชดใช้แก่ผู้ตกเป็ นเหยื่อและค่าใช้จ่ายในการกู้คืน
ข้อมูล
 คุ้มครองความเสียหายจากการกระท าที่เป็ นการรีดเอาทรัพย์หรือการ
กรรโชกจากอาชญากรรมไซเบอร์ (cyber-extortion
protection) ได้แก่ ค่าไถ่ และ ค่าใช้จ่ายที่เกิดขึ ้นจากการต่อรอง
เป็ นต้น
 คุ้มครองความเสียหายอันเกิดจากระบบโครงข่ายหยุดให้บริการแก่
ลูกค้า หรือความเสียหายอันมีผลมาจากการแพร่ระบาดของ
โปรแกรมที่ไม่พึงประสงค์
 คุ้มครองความเสียหายจากการใช้สื่อออนไลน์ เช่น website,
email, instant messaging, และ chat rooms
 คุ้มครองความเสียหายต่อบุคคลที่สามอันเกิดจากการละเลยหรือ
ขาดความระมัดระวังขององค์กร

12 Using Insurance to Mitigate Cybercrime Risk: Challenges and recommendations for insurers, 2012, Capgemini
หน้า | 7
การประกันภัยไซเบอร์ในประเทศไทยและความต้องการ
จากการส ารวจและสอบถามผู้เชี่ยวชาญในวงการประกันวินาศภัยไทยพบว่า บริษัทประกันภัยในประเทศไทยในปัจจุบันยัง
ไม่ได้มีการน าเสนอกรมธรรม์ประกันภัยไซเบอร์แต่อย่างไร ซึ่งข้ออ้างนี ้ได้รับจากการยืนยันจากสมาคมประกันภัยไทยด้วย
เช่นกัน
ส าหรับความต้องการกรมธรรม์ลักษณะเช่นนี ้ในประเทศไทยนั ้น เป็ นที่คาดกันว่าจะมีอยู่ในระดับที่มากพอสมควร
จากระดับความเสี่ยงที่เผชิญอยู่ในปัจจุบันและแนวโน้มที่ถูกมองว่าก าลังเพิ่มมากยิ่งขึ ้นในอนาคตอันใกล้ดังที่ได้แสดงในหัวข้อ
ข้างต้น กอปรกับการที่หลายๆ ภาคส่วนได้ให้ความส าคัญกับเรื่องความปลอดภัยด้านไซเบอร์ในระดับต้นๆ
ในปัจจุบัน ภาครัฐได้ให้ความส าคัญกับความมั่นคงปลอดภัยด้านไซเบอร์เป็ นอย่างมากจึงได้มีแนวคิดในการก าหนด
ยุทธศาสตร์การวิจัยรายประเด็นด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. 2556-2560) เพื่อเพิ่มขีดความสามารถของ
ประเทศ ซึ่งยุทธศาสตร์ดังกล่าวได้ระบุกลุ่มหน่วยงานที่มีความสุ่มเสี่ยงต่อภัยคุกคามด้านไซเบอร์ไว้อย่างชัดเจน จึงเป็ นที่คาด
ว่ากรมธรรม์ประกันภัยไซเบอร์น่าจะเป็ นที่ต้องการของหน่วยงานต่างๆ เหล่านี ้ซึ่งประกอบด้วย
I. หน่วยงานด้านความมั่นคง และภาคบริการประชาชน เช่น กองทัพ ส านักงานต ารวจแห่งชาติ ศาล กรมสอบสวน
คดีพิเศษ ส านักป้ องกันและปราบปรามการฟอกเงิน (ปปง.) ส านักงานคณะกรรมการป้ องกันและปราบปรามยา
เสพตืด (ป.ป.ส.) เป็ นต้น
II. หน่วยงานการให้บริการด้านสาธารณสุข
III. หน่วยงานด้านการเงิน การธนาคาร และพาณิชย์อิเล็กทรอนิกส์เช่น ธนาคาร บริษัทหลักทรัพย์ ประกันภัย ตลาด
หลักทรัพย์ ผู้ให้บริการด้านเครดิต เป็ นต้น
IV. หน่วยงานด้านสาธารณูปโภคพื ้นฐาน เช่น การไฟฟ้ า การประปา เป็ นต้น
V. หน่วยงานด้านพลังงาน
VI. หน่วยงานด้านการคมนาคม/ขนส่ง เช่น ธุรกิจด้านสายการบิน เป็ นต้น
VII. หน่วยงานด้านสื่อสารและโทรคมนาคม เช่น บริษัทที่ให้บริการอินเตอร์เน็ต ผู้ให้บริการโทรศัพท์มือถือ ดาวเทียม
สถานีโทรทัศน์ เป็ นต้น
ศูนยวิจัยเศรษฐกิจและธุรกิจ บมจ. ธนาคารไทยพาณิชย์หรือ EIC ได้ประเมินไว้ในบทวิเคราะห์ Cyber insurance:
โอกาสทางธุรกิจใหม่ของธุรกิจประกันภัย13 ว่า ตลาดประกันภัยไซเบอร์ในไทยเป็ นที่คาดว่าจะได้รับการตอบรับจากสถาบัน
การเงินและธุรกิจโทรคมนาคม เนื่องจากกลุ่มธุรกิจเหล่านี ้มีจ านวนผู้ใช้บริการมากที่สุด และมีความเกี่ยวข้องกับข้อมูลที่มีความ
อ่อนไหว เช่น ข้อมูลส่วนบุคคล เลขบัตรเครดิต เป็ นต้น จึงมีความเสี่ยงหรือเป็ นเป้ าโจมตีของผู้ไม่ประสงค์ดี โดย EIC ได้กล่าว
เพิ่มอีกว่า เนื่องจากกรมธรรม์ประกันภัยไซเบอร์ยังไม่มีบริษัทประกันภัยไทยรายใดเข้ามาท าตลาด จึงเป็ นโอกาสของวงการ
ประกันภัยไทยในอนาคตอันใกล้

13 www.scbeic.com
หน้า | 8
บทสรุป
เป็ นที่เชื่อมั่นว่าการประกันภัยไซเบอร์มีแนวโน้มที่จะได้รับความนิยมมากขึ ้นเรื่อยๆ ในหลายๆ ประเทศทั่วโลกเนื่องจากภัย
คุกคามด้านไซเบอร์ที่ได้ทวีความรุนแรงและมีความสลับซ้อนจนยากที่จะป้ องกัน ดังนั ้น เครื่องมือที่มีจะมีส่วนช่วยให้องค์กร
บริหารจัดการความเสี่ยงเหล่านี ้ได้อย่างมีประสิทธิผลจึงเป็ นสิ่งจ าเป็ นและเป็ นที่ต้องการอย่างไรก็ตาม ธุรกิจประเภทนี ้ก็
เหมือนดังเช่นธุรกิจอื่นๆ ที่ต้องประสบกับข้อจ ากัดหรือความท้าทายนานับประการ ไม่ว่าจะเป็ นเรื่องความซับซ้อนในการ
ประเมินผลกระทบทางธุรกิจที่จะเกิดขึ ้นต่อองค์กรจากการโจมตีทางไซเบอร์รวมไปถึง ข้อมูลที่อาจจะยังไม่มากเพียงพอในการ
ที่จะน ามาใช้ก าหนดอัตราเบี ้ยประกันภัยได้อย่างเหมาะสม ความท้าทายที่ส าคัญอีกประการคือ ความเสี่ยงด้านไซเบอร์เป็ น
ความเสี่ยงที่มีผลกระทบในวงกว้างและอาจน ามาซึ่งความเสียหายมูลค่ามหาศาล นอกจากนี ้แล้ว ความเสี่ยงด้านไซเบอร์ยังมี
ลักษณะที่มีความเชื่อมโยงหรือสัมพันธ์กันค่อนข้างสูง ดังนั ้น เมื่อระบบหนึ่งขององค์กรถูกโจมตีก็จะเปิ ดโอกาสให้ระบบ
คอมพิวเตอร์อื่นๆ ขององค์กรเดียวกันได้รับผลกระทบด้วยเช่นกัน
ด้วยความเข้าใจในลักษณะความต้องการที่หลากหลาย และเข้าถึงประเด็นความท้าทายที่ได้กล่าวมานี ้จะท าให้การ
ก าหนดผลิตภัณฑ์ประกันภัยไซเบอร์ได้อย่างเหมาะสม ซึ่งเป็ นปัจจัยส าคัญของการด าเนินธุรกิจประกันภัย

หน้า | 9
ภาคผนวก
กรณีตัวอย่าง: ผลิตภัณฑ์ประกันภัยไซเบอร์ของ AIG14
กรมธรรม์ประกันภัยไซเบอร์ที่ AIG จ าหน่ายอยู่ในปัจจุบันเรียกว่า CyberEdge เป็ นผลิตภัณฑ์ที่มุ่งเน้นกลุ่มลูกค้าที่เป็ น
องค์กร โดยให้ความคุ้มครองในลักษณะผสมผสานกันระหว่างการประกันภัยผู้เอาประกันภัย (First-party insurance)
และการประกันภัยความรับผิดต่อบุคคลภายนอก (Third-party liability insurance)ซึ่งความคุ้มครอง
ประกอบด้วย
ความเสียหายต่อบุคคลที่สามอันเนื่องมาจากระบบความปลอดภัยของระบบโครงข่ายขององค์กรเกิด
ความผิดพลาด หรือความบกพร่องในการป้ องกันข้อมูล นอกจากนี ้แล้ว ความคุ้มครองยังรวมไปถึง
ค่าปรับจากการละเลยต่อการแจ้งเหตุการณ์จารกรรมข้อมูลขององค์กรต่อหน่วยงานก ากับ
ค่าใช้จ่ายอันอาจจะเกิดขึ ้นจากการประชาสัมพันธ์ หรือกิจกรรมจ าเป็ นใดๆ ที่เข้ามามีบทบาทในการ
บริหารจัดการสถานการณ์การบุกรุกทางไซเบอร์ขององค์กรไม่ให้ลุกลามและเกิดความเสียหายขึ ้นใน
วงกว้าง หรือแม้กระทั่งค่าใช้จ่ายในเรื่องของการสืบสวนสอบสวน ค่าใช้จ่ายในเรื่องที่เกี่ยวข้องกับ
กฎหมายต่างๆ และการพิสูจน์หาผู้ที่ได้รับความเสียหาย
ค่าเสียหายอันเกิดจาก การสูญเสียรายได้และค่าใช้จ่ายในการด าเนินการจากการที่ธุรกิจต้อง
หยุดชะงัก อันมีเหตุมาจากความบกพร่องของระบบความปลอดภัยของระบบโครงข่ายที่ให้บริการแก่
ลูกค้า
ค่าใช้จ่ายที่เกิดขึ ้นเพื่อยุติการข่มขู่ท าร้ายระบบคอมพิวเตอร์ ระบบโครงข่าย ข้อมูลส าคัญ และ
ความลับทางธุรกิจขององค์กร ตลอดจนถึง ค่าใช้จ่ายในการสืบสวนสอบสวนถึงสาเหตุของการข่มขู่
อีกด้วย
ความเสียหายที่อาจจะเกิดขึ ้นกับองค์กรจากเนื ้อหาที่เผยแพร่บนเว็บไซต์ของบริษัท ซึ่งความ
คุ้มครองได้ครอบคลมุ ถงึการละเมิดลขิสทิธิ์การละเมิดเครื่องหมายทางการค้าการท าให้เสยีชื่อเสยีง
และการล่วงละเมิดความเป็ นส่วนตัว เป็ นต้น

14 CyberEdge: End-to-End Cyber Risk Management Solutions,
http://www.aig.com/chartisint/internet/US/en/files/AIG_CyberEdge0418finalsingle_tcm1247-575268.pdf
หน้า | 10
กรณีตัวอย่าง: ผลิตภัณฑ์ประกันภัยไซเบอร์ของ CNA
บริษัทประกันภัยใหญ่เป็ นอันดับ 8 ของประเทศสหรัฐอเมริกาได้จ าหน่ายกรมธรรม์ประกันภัยไซเบอร์ให้แก่องค์กรที่ค านึงถึง
ความปลอดภัยของข้อมูล โดยตั ้งชื่อกรมธรรม์นี ้ว่า CNA NetProtect15 ซึ่งเป็ นกรมธรรม์ที่ให้ความคุ้มครองแก่ทั ้งผู้เอา
ประกันภัย(First-party insurance) และบุคคลภายนอก (Third-party liability insurance) โดยความคุ้มครองหลักๆ
ครอบคลุมถึง การกรรโชกระบบโครงข่าย (Network extortion) ความเสียหายจากธุรกิจหยุดชะงัก ค่าเสียหายที่เกิดขึ ้นกับ
ระบบโครงข่าย ความเสียหายอันเกิดจากข้อมูลสารสนเทศที่เผยแพร่บนสื่อผ่านระบบคอมพิวเตอร์ (Media liability) ความ
เสียหายอันเกิดจากการละเมิดข้อมูลที่เป็ นความลับหรือข้อมูลส่วนตัว (Privacy liability) ตลอดจนถึง ความเสียหายจากการ
เจาะระบบความปลอดภัยของระบบโครงข่าย

15 www.cna.com

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

ประกันภัย ไซเบอร์บูมสนั่น เบี้ยจ่อ 5 แสนล้าน
ประกันภัย ไซเบอร์บูมสนั่น เบี้ยจ่อ 5 แสนล้าน ทั่วโลกตื่น งัด ก.ม.คุ้มครอง “แฮ็ก” บีบธุรกิจซื้อ

แนวโน้มตลาด ประกันภัย คุ้มครองภัยคุกคามด้านไซเบอร์ “Cyber Insurance” สดใสทีเดียว ถ้าดูจากรายงานฉบับล่าสุดหัวข้อ “ตลาด ไซเบอร์ อินชัวร์รันส์: ประมาณการณ์แนวโน้มอุตสาหกรรมและการวิเคราะห์โอกาสการเติบโตทั่วโลก” ที่ทาง Allied Market Research เพิ่งจัดทำออกมาและนำออกเผยแพร่ชี้ชัดว่า ภายในปี 2565 หรืออีก 6 ปีข้างหน้า ตลาด ไซเบอร์ อินชัวรันส์ ทั่วโลก จะมีเบี้ย ประกันภัย รับรวมถึง 1.4 หมื่นล้านดอลลาร์สหรัฐ หรือประมาณ 4.9 แสนล้านบาท หรือมีอัตราเติบโตเฉลี่ยปีละเกือบ 28%

อาชญากรไซเบอร์พุ่งดันตลาดโต / อเมริกา กุมแชร์ ไซเบอร์ อินชัวรันส์
ภูมิภาคอเมริกาเหนือ ซึ่งเป็นพื้นที่ที่มีส่วนแบ่งตลาดสูงสุดในปี 2558 จะยังคงเติบโตโดดเด่นและครองความเป็นเจ้าตลาดในอุตสาหกรรม ประกันภัย ประเภทนี้ต่อไป ซึ่งปัจจัยเร่งการเจริญเติบโตในตลาด มาจากการบังคับใช้กฎระเบียบในการปกป้องข้อมูลต่างๆ ในประเทศสหรัฐอเมริกา รวมไปถึงการพัฒนาข้อกฎหมายต่างๆ ที่เกี่ยวข้อง และการเพิ่มความรับผิดชอบต่อการละเมิดด้านข้อมูล

รายงานระบุว่า การตระหนักรู้ถึงความเสี่ยงในโลกไซเบอร์ที่เพิ่มขึ้นทุกขณะ เนื่องจากการโจมตีทางไซเบอร์ที่เพิ่มจำนวนมากขึ้นในระยะ 2-3 ปีที่ผ่านมา เป็นปัจจัยสำคัญที่ผลักดันตลาด ประกันภัย ไซเบอร์ขยายตัว แต่อย่างไรก็ดี ความซับซ้อนและความเสี่ยงในโลกไซเบอร์ที่เปลี่ยนแปลงอยู่ตลอดเวลา เป็นปัจจัยที่จำกัดการเติบโตของตลาด ประกันภัย ประเภทนี้เช่นกัน

กระนั้นก็ตาม อัตราการทำ ประกันภัย คุ้มครองภัยคุกคามด้านไซเบอร์ที่ยังคงต่ำอยู่ในประเทศกำลังพัฒนา เปิดโอกาสให้บริษัท ประกันภัย ที่จะขยายธุรกิจ

“เฮลท์แคร์” กุมเบี้ย ประกันภัย 1 ใน 3 / แห่ซื้อ ประกันภัย คุ้ม “บิ๊ก ดาต้า”
ทั้งนี้ ความเสี่ยงของตลาด ประกันภัย ไซเบอร์ จะขึ้นอยู่กับความลึกของอุตสาหกรรม ขนาดของบริษัท และภูมิศาสตร์ โดยกลุ่มลูกค้าจะเป็นกลุ่มธุรกิจที่มีฐานข้อมูลลูกค้าจำนวนมาก อาทิ ด้านการดูแลสุขภาพ, ค้าปลีก, บริหารการเงิน (บีเอฟเอสไอ), เทคโนโลยีสารสนเทศ และการบริการอื่นๆ (สาธารณูปโภค, พลังงาน, การผลิต, การก่อสร้าง และการขนส่ง) โดยกลุ่มธุรกิจบริการทางการเงินและเทคโนโลยี เป็นกลุ่มธุรกิจแรกๆ ที่ทำ ประกันภัย ความรับผิดด้านไซเบอร์ เพื่อปกป้องข้อมูลของพวกเขา

อย่างไรก็ดี ผลจากการศึกษาพบว่า ภาคธุรกิจการดูแลสุขภาพมีสัดส่วนเบี้ย ประกันภัย ไซเบอร์ ถึง 1 ใน 3 เนื่องจากมีฐานข้อมูลบุคคลที่สามขนาดใหญ่ อาทิ ข้อมูลส่วนตัวของผู้บริโภค รายละเอียดการจ้างงาน และการก่ออาชญากรรมทางไซเบอร์ด้วยการนำข้อมูลไปใช้ในทางที่ผิด เพื่อหาเงิน สามารถทำได้อย่างง่ายๆ ยกตัวอย่าง ในสหรัฐอเมริกาประมาณ 78% ของโรงพยาบาลทั้งหมด ทำ ประกันภัย ไซเบอร์ คุ้มครองความเสียหายที่จะเกิดขึ้น หากข้อมูลถูกแฮ็ก

รายงานฉบับดังกล่าวยังให้ข้อมูลถึงเบี้ย ประกันภัย ในตลาดไซเบอร์ว่า ขึ้นอยู่กับขนาดของบริษัท ซึ่งจะแบ่งออกเป็น 3 กลุ่ม คือ กลุ่มที่มีขนาดเล็กมาก มีรายได้ตั้งแต่ 2,500,000-99,000,000 ดอลลาร์สหรัฐ บริษัทขนาดเล็ก มีรายได้ตั้งแต่ 100 ล้านดอลลาร์สหรัฐ - 299 ล้านดอลลาร์สหรัฐ บริษัทขนาดกลาง มีรายได้ 300 ล้านดอลลาร์สหรัฐ - 1 พันล้านดอลลาร์สหรัฐ และบริษัทขนาดใหญ่ ที่มีรายได้ตั้งแต่ 1,000 ล้านดอลลาร์สหรัฐ ขึ้นไป

อย่างไรก็ดี แม้จะมีข้อเท็จจริงว่า การรักษาความปลอดภัยด้านไซเบอร์ และความเสี่ยงด้านไซเบอร์ เป็นภัยคุกคามที่ร้ายแรง แต่บริษัทจำนวนมากไม่ได้ซื้อ ประกันภัย ไซเบอร์ อย่างไรก็ตามตลาดได้เห็นการเปลี่ยนแปลงเกิดขึ้น เมื่อบริษัททุกขนาดมีแนวโน้มที่จะซื้อกรมธรรม์ ประกันภัย ไซเบอร์ เนื่องจากการพัฒนาทางข้อกฎหมายต่างๆ โดยบริษัทขนาดใหญ่มีส่วนร่วมในตลาดอย่างมีนัยสำคัญถึงประมาณ 70% ของตลาด ประกันภัย ไซเบอร์โดยรวมในปี 2558 เพราะความเสียหายที่เกิดขึ้นเนื่องจากข้อมูลมีผลกระทบในทางลบต่อธุรกิจของพวกเขา

สำหรับภูมิภาคอเมริกาเหนือ ซึ่งมีส่วนแบ่งตลาด ประกันภัย ไซเบอร์มากที่สุด ประมาณ 87% ของโลก ซึ่งภายหลังจากหลายรัฐในสหรัฐอเมริกาได้ออกกฎหมายบังคับเกี่ยวกับ การรักษาความปลอดภัยในโลกไซเบอร์ ส่งผลให้อัตราการทำ ประกันภัย ความรับผิดด้านไซเบอร์มีจำนวนเพิ่มขึ้นมาก ซึ่งในสหรัฐอเมริกา อุตสาหกรรม ประกันภัย ไซเบอร์ขยายตัวสูงมาก และคาดว่าการเพิ่มขึ้นของจำนวนกรมธรรม์ ประกันภัย ไซเบอร์น่าจะลดลง ขณะที่ยุโรปมีการทำ ประกันภัย ไซเบอร์น้อยมากเมื่อเทียบกับสหรัฐฯ

จับตา เอเชียโต เหตุ “แฮ็ก” เพียบ / โอกาสค่าย ประกันภัย - รีอินชัวเรอส์
เมื่อเร็วๆ นี้ สภายุโรปเพิ่งผ่านข้อบังคับเกี่ยวกับ การปกป้องและรักษาความปลอดภัยของข้อมูล ซึ่งคาดว่าน่าจะมีผลบังคับใช้ในปี 2561 โดยข้อบังคับดังกล่าว กำหนดให้บริษัทต่างๆ ทำ ประกันภัย ไซเบอร์

สำหรับภูมิภาคเอเชีย-แปซิฟิก แม้ปัจจุบันจะมีส่วนแบ่ง ประกันภัย ไซเบอร์ในตลาดโลกน้อยมาก แต่คาดว่าภูมิภาคนี้จะมีการเติบโตอย่างมีนัยสำคัญในระยะ 6 ปีข้างหน้านี้ เนื่องจากการเพิ่มขึ้นอย่างมากในการโจมตีทางไซเบอร์

“อาชญากรรมทางไซเบอร์ยังคงเป็นภัยคุกคามที่ร้ายแรง และไม่ถือเป็นความเสี่ยงที่อยู่ภายใต้การ ประกันภัย สินค้าทั่วไป โดยองค์กรจากทุกอุตสาหกรรมต้องคุ้มครองความรับผิด และความเสี่ยงของทรัพย์สิน ซึ่งเป็นผลมาจากการโจมตีทางไซเบอร์ นี่คือโอกาสสำหรับบริษัท ประกันภัย และประกันภัยต่อ ในการคิดค้นผลิตภัณฑ์ ประกันภัย ไซเบอร์ ที่จะจัดการกับความเสี่ยงต่างๆ ในรอบด้าน และครอบคลุมค่าใช้จ่ายที่เกี่ยวข้องกับการละเมิดฐานข้อมูล การตรวจสอบเครดิต การสอบสวนทางนิติวิทยาศาสตร์ การกู้ชื่อเสียงภาพลักษณ์ของลูกค้า และการหยุดชะงักของธุรกิจ” นักวิเคราะห์วิจัยจากเอเอ็มอาร์กล่าวสรุป

ที่มา : เส้นทางนักขาย

ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

Re: ประกันไซเบอร์ เพื่อคุ้มครองภัยธุรกิจ

😃 ซื้อผ่านเรา .. เราดูแลคุณ | เมูนูลัด

Cymiz.com Insurance Consult Broker