ในยุคที่เทคโนโลยีดิจิทัลเข้ามามีบทบาทสำคัญในชีวิตประจำวันของเรามากขึ้น ไม่ว่าจะเป็นการทำธุรกรรมออนไลน์ การเก็บข้อมูลส่วนบุคคล หรือการดำเนินธุรกิจผ่านทางช่องทางออนไลน์ ความปลอดภัยของข้อมูลและระบบกลายเป็นเรื่องสำคัญที่ไม่สามารถมองข้ามได้อีกต่อไป เนื่องจากสิ่งที่เพิ่มขึ้นมาเป็นตามตัวคือความเสี่ยงจากภัยคุกคามทางไซเบอร์ เช่น การโจมตีรูปแบบต่าง ๆ ที่ทำให้ธุรกิจต้องหยุดชะงัก ภัยคุกคามจากมิจฉาชีพหลากหลายรูปแบบ ตลอดจนการโจมตีด้วยการเรียกค่าไถ่ (Ransomware) ที่พบได้บ่อยมากขึ้นในปัจจุบัน
ประกันภัยไซเบอร์ จึงเป็นหนึ่งในคำตอบของการบริหารความเสี่ยงจากภัยคุกคามไซเบอร์เหล่านั้น ที่ช่วยแบ่งเบาภาระด้านความเสี่ยงให้ธุรกิจและบุคคลทั่วไปที่เป็นเป้าหมายจากภัยคุกคามในด้าน Cyber Security
บทความนี้ InsureThink จะพาไปรู้จักกับ ประกันภัยไซเบอร์ หรือ Cyber Insurance ว่าคืออะไร และให้ความคุ้มครองอย่างไรบ้าง ทั้งประกันภัยไซเบอร์ส่วนบุคคลและประกันภัยไซเบอร์สำหรับธุรกิจ
ประกันภัยไซเบอร์ คืออะไร?
ประกันภัยไซเบอร์ (Cyber Insurance) คือการประกันภัยที่ให้ความคุ้มครองความเสียหายที่เกิดจากการถูกคุกคามและละเมิดความมั่นคงทางไซเบอร์ (Cyber Security) ของผู้เอาประกันภัยด้วยการโจมตีผ่านช่องทางออนไลน์ในรูปแบบต่าง ๆ
ตัวอย่างกรณีที่จะได้รับความคุ้มครองจากประกันภัยไซเบอร์ ได้แก่ การถูกโจรกรรมข้อมูลส่วนบุคคลทางอินเทอร์เน็ต การถูกโจรกรรมเงินจากบัญชีผ่านทางอินเทอร์เน็ต การถูกหลอกให้ซื้อหรือขายสินค้าทางอินเทอร์เน็ต และการถูกเรียกค่าไถ่จาก Ransomware เป็นต้น
โดยเมื่อเกิดความเสียหายขึ้นประกันภัยไซเบอร์จะให้ความคุ้มครองความเสียหาย 2 กลุ่ม ได้แก่
- ผู้เอาประกันที่เป็นบุคคลที่ 1 (First Party Coverage) เช่น การถูกฟ้องจากลูกค้าในกรณีที่บริษัททำข้อมูลลูกค้าหลุดจากการถูกโจมตี การฟ้องร้องผู้ละเมิด ความเสียหายจากการที่ธุรกิจหยุดชะงัก และการที่ผู้เอาประกันถูก Ransomware กรรโชกทรัพย์ เป็นต้น
- บุคคลภายนอกที่เป็นบุคคลที่ 3 (Third Party Coverage) เช่น ความรับผิดชอบต่อความเสียหายที่ข้อมูลของลูกค้าถูกนำไปเผยแพร่อันเป็นผลมาจากการที่บริษัทถูกโจมตีจนข้อมูลหลุดออกไป
โดยบริษัทประกันจะจ่ายค่าสินไหมทดแทนตามความเสียหายที่เกิดขึ้นจริง แต่ไม่เกินวงเงินตามที่ระบุในแผนประกัน สำหรับความเสียหายต่อผู้เอาประกัน ค่าใช้จ่ายในการต่อสู้คดีที่ตามมา ค่าปรับที่เกิดขึ้นจากหน่วยงานที่ควบคุม ค่าเสียหายของลูกค้า ค่าเสียหายที่ธุรกิจต้องหยุดชะงัก ค่าใช้จ่ายในกู้คืนข้อมูล ตลอดจนค่าใช้จ่ายในการสืบสวนเหตุการณ์ดังกล่าว
อย่างไรก็ตาม การคุ้มครองความเสียหายของประกันภัยไซเบอร์นี้ไม่ได้หมายความว่าหากข้อมูลของผู้เอาประกันถูกเจาะหรือถูกเรียกค่าไถ่จาก Ransomware แล้วบริษัทที่รับทำประกันภัยไซเบอร์จะสามารถกู้ข้อมูลกลับมาให้ได้ แต่ประกันภัยไซเบอร์จะช่วยเยียวยาค่าเสียหายที่เกิดขึ้นมาจากการการโจมตีหรือการโจรกรรมข้อมูล
ประกันภัยไซเบอร์คุ้มครองกรณีแบบใดบ้าง
การถูกโจรกรรมข้อมูลผ่านช่องทางออนไลน์ ไม่ว่าจะเป็นข้อมูลภายในขององค์กรเกี่ยวกับลูกค้า ความลับทางการค้า พนักงาน หรือคู่แข่งทางการค้า ข้อมูลบัตรเครดิต ประวัติสุขภาพ ข้อมูลระบุตัวตน ข้อตกลง และสัญญา เป็นต้น
การถูกโจรกรรมเงินจากบัญชีส่วนบุคคลผ่านช่องทางออนไลน์ เช่น การถูก Phishing และการถูกแฮก แต่ถ้าหากเกิดการใช้งานบัตรเครดิตหรือบัตรเดบิตที่เกิดจากการที่คุณทำหายจะไม่ได้รับความคุ้มครอง
มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการกรรโชกทรัพย์ทางอินเทอร์เน็ต จากการที่เหยื่อถูกโจมตีด้วย Malware ซึ่งจะเข้ารหัสข้อมูลของเหยื่อเอาไว้จนกว่าเหยื่อจะยอมจ่ายค่าไถ่ที่เรียกร้อง โดยประกันไซเบอร์จะคุ้มครองค่าไถ่ที่สูญเสียไปและค่าใช้จ่ายเพื่อจ้างผู้เชี่ยวชาญสำหรับการแก้ไขเหตุการณ์ดังกล่าว (เช่น การถอดรหัสแทนที่จะยอมจ่ายค่าไถ่)
การถูกหลอกให้ซื้อสินค้าทางอินเทอร์เน็ต เป็นความคุ้มครองในกรณีที่ผู้เอาประกันถูกหลอกลวงให้ซื้อสินค้าภายในประเทศไทยผ่านทางอินเทอร์เน็ต เช่น การชำระค่าสินค้าแล้วแต่ไม่ได้รับสินค้าภายในเวลาที่กำหนด, ชำระค่าสินค้าแล้วแต่ผู้ขายบอกไม่จัดส่งสินค้าและได้บล็อกผู้เอาประกันที่เป็นผู้ซื้อ, และการได้รับสินค้าแต่ไม่ครบจำนวนการสั่งซื้อ เป็นต้น
การถูกหลอกให้ขายสินค้าทางอินเทอร์เน็ต ที่คุ้มครอบผู้เอาประกันที่เป็นผู้ขายสินค้าผ่านช่องทางออนไลน์ เมื่อผู้เอาประกันถูกช่อโกงหลังจากส่งสินค้าให้กับลูกค้าแล้วแต่ไม่ได้รับชำระเงินภายในเวลาที่กำหนดในกรมธรรม์ประกันภัยไซเบอร์ หรือถูกปลอมแปลงหลักฐานการโอนเงิน เป็นต้น
ความเสียหายจากการหยุดชะงักของธุรกิจ ซึ่งเป็นผลต่อเนื่องมาจากการที่ระบบรักษาความปลอดภัยล่มหรือถูกโจมตี ตลอดจนการหยุดชะงัดที่มาจากความผิดพลาดจากตัวบุคลากรหรือซอฟต์แวร์ อย่างเช่น กรณี CrowdStrike Incident ในปี 2024
ความเสียหายจากการถูกกลั่นแกล้งทางอินเทอร์เน็ต (Cyber Bully) ที่นำไปสู่ความเสียหายต่อชื่อเสียงของผู้เอาประกัน โดยบริษัทประกันจะคุ้มครองค่าใช้จ่ายในการต่อสู้คดี ค่าใช้จ่ายในการกอบกู้ชื่อเสียง และค่าใช้จ่ายในการรักษาทางจิตวิทยา
ความเสียหายจากการถูกโจรกรรมข้อมูลส่วนตัว โดยค่าสินไหมทดแทนเป็นค่าใช้จ่ายในการฟ้องร้อง และ/หรือเงินชดเชยจากการหยุดงานของผู้เอาประกัน
ค่าใช้จ่ายในการต่อสู้คดีและค่าปรึกษาผู้เชี่ยวชาญด้านกฎหมาย ที่เป็นผลต่อเนื่องมาจากภัยความมั่นคงทางไซเบอร์ต่าง ๆ ที่เกิดขึ้น ตามเงื่อนไขที่กรมธรรม์ประกันภัยไซเบอร์คุ้มครอง ตลอดจนค่าปรับในกรณีที่ธุรกิจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
ค่าใช้จ่ายในการบรรเทาความเสียหายด้านเสียชื่อเสียงและการสื่อสารในภาวะวิกฤติขององค์กร เมื่อองค์กรเกิดปัญหาด้าน Cyber Security รูปแบบต่าง ๆ
การกู้ข้อมูล และ/หรือ การล้างข้อมูล ในกรณีของการเกิดความสูญเสียหรือความเสียหายต่อข้อมูลบนอุปกรณ์อิเล็กทรอนิกส์จากการถูกโจมตี
ทั้งนี้ ความคุ้มครองเหล่านี้อาจแตกต่างกันบางรายการ และในแต่ละรายการอาจมีรายละเอียดที่แตกต่างกันอย่างมากในแต่ละบริษัทประกัน เราจึงแนะนำให้ดูรายละเอียดเงื่อนไขการรับประกันระหว่างผลิตภัณฑ์ประกันภัยไซเบอร์แต่ละแผนและแต่ละบริษัทอย่างละเอียด
ข้อควรระวังเกี่ยวกับความคุ้มครองประกันภัยไซเบอร์
แม้ว่าโลกอินเทอร์เน็ตจะไม่มีพรมแดน แต่อำนาจศาลมีพรมแดน และประกันภัยไซเบอร์เองก็เป็นประกันภัยรู้แบบหนึ่งที่มีข้อจำกัดปลีกย่อยอยู่มากพอสมควร ผู้เอาประกันจึงควรทราบสิ่งเหล่านี้ก่อนตัดสินใจทำประกันภัยไซเบอร์ส่วนบุคคลหรือสำหรับองค์กร
ประเด็นแรก ให้ความคุ้มครองภายในอาณาเขตประเทศไทยและอยู่ภายใต้กฎหมายไทยและเขตอำนาจศาลไทยเท่านั้น และให้ความคุ้มครองในลักษณะของความรับผิดทางแพ่งตามค่าเสียหายที่เกิดขึ้นจริงและค่าเสียหายเชิงลงโทษ ตลอดจนค่าปรับจากความผิดทางปกครอง รวมถึงค่าใช้จ่ายในการจ้างทนายและที่ปรึกษาทางกฎหมายในการต่อสู้คดี แต่ไม่คุ้มครองความรับผิดทางอาญา
ประเด็นถัดมาคือ การเลือกรับประกัน ที่บริษัทประกันอาจไม่รับทำประกันภัยไซเบอร์ให้กับบางกลุ่มเป้าหมาย เพื่อจำกัดความเสี่ยงของตัวบริษัทประกันภัยเองจากกลุ่มลูกค้าที่มีความเสี่ยงในระดับที่สูงมาก โดยกลุ่มลูกค้าที่บริษัทประกันมักจะไม่รับทำประกันภัยไซเบอร์ ได้แก่
- ธุรกิจบริการเครือข่ายสังคม (Social Media)
- ธุรกิจที่มีรายได้ 100% มาจากการขายออนไลน์
- ธุรกิจแพลตฟอร์มเทรดออนไลน์ และแพลตฟอร์มซื้อขายสินทรัยพ์ดิจิทัล
- บริการ Cloud Service
- ธุรกิจที่ให้บริการด้ารการทำธุรกรรมชำระเงินผ่านบัตรเครดิตหรือเดบิต
- ผู้เอาประกันภัยที่มีรายได้ต่อปีมากกว่าที่บริษัทประกันกำหนด
- สถาบันการเงินหรือบริษัทให้สินเชื่อ
ประเด็นที่ 3 มีเงื่อนไขบางประการในการรับทำประกันภัยไซเบอร์เสมอ ซึ่งผู้ทำประกันควรศึกษาในส่วนนี้อย่างละเอียด โดยเงื่อนไขการรับประกันจะแตกต่างกันในแต่ละแผนประกัน แตกต่างกันในแต่ละบริษัทประกันภัย และแตกต่างกันระหว่างประกันภัยไซเบอร์สำหรับบุคคลกับประกันภัยไซเบอร์สำหรับธุรกิจ ตัวอย่างเช่น
- อาจมีค่าความรับผิดส่วนแรกเมื่อผู้เอาประกันทำการเคลม
- บริษัทที่จะทำประกันภัยไซเบอร์ต้องมีระบบการรักษาความปลอดภัยทางไซเบอร์ตามเงื่อนไขที่บริษัทประกันภัยกำหนด
- บริษัทที่จะทำประกันภัยไซเบอร์ต้องมีระเบียบปฎิบัติในการเข้าถึงข้อมูลหรือระบบในองค์กร
- บริษัทที่จะทำประกันภัยไซเบอร์ต้องมีมาตราการและระเบียบปฏิบัติในการสำรองข้อมูล (Back Up) และการกู้คืนข้อมูล (Recovery)
- ไม่มีรายได้หรือธุรกรรม หรือมีการดำเนินงานในประเทศสหรัฐอเมริกา แคนาดา และทวีปยุโรป
- การเชื่อมต่อระบบหลักของบริษัทต้องไม่เชื่อมต่อกับบริษัทแม่ หรือบริษัทลูก หรือเชื่อมต่อกับร้านแฟรนไซส์
ประเด็นสุดท้าย การคุ้มครองของประกันภัยไซเบอร์เกี่ยวกับบัญชีการเงินออนไลน์โดยส่วนใหญ่จะให้ความคุ้มครองเฉพาะเงินสกุลบาท และเป็นบัญชีการเงินที่ดูแลโดยสถาบันการเงินในประเทศไทยเท่านั้น
ประกันภัยไซเบอร์เหมาะกับใคร
ประกันภัยไซเบอร์สำหรับบุคคล เป็นสิ่งที่เหมาะกับผู้ที่ทำธุรกรรมทางการเงินบนช่องทางออนไลน์บ่อยครั้ง ทั้งผู้ซื้อและผู้ขายสินค้า (กรณีผู้ขายควรดูว่ามีเงื่อนไขเกี่ยวกับรายได้จากทางออนไลน์หรือไม่) เพื่อลดความเสี่ยงจากการถูกช่อโกงจากการซื้อขายสินค้าผ่านช่องทางออนไลน์
ในขณะที่ประกันภัยไซเบอร์สำหรับธุรกิจ เหมาะสำหรับเป็นเครื่องมือลดความเสี่ยงและบรรเทาความเสียหายที่อาจเกิดขึ้นในกรณีที่ธุรกิจถูกคุกคามด้านความมั่นคงทางไซเบอร์ เนื่องจากในปัจจุบันทั้งธุรกิจและผู้มีส่วนได้ส่วนเสีย (Stakeholders) โดยส่วนใหญ่พึ่งพาข้อมูลและอินเทอร์เน็ตในการทำธุรกรรมต่าง ๆ ไม่ว่าทางใดก็ทางหนึ่ง การที่ธุรกิจถูกโจมตีจากบุคคลภายนอกที่ไม่หวังดีย่อมเกิดความเสียหายทั้งทางตรงและทางอ้อมให้กับธุรกิจ
แต่อย่างไรก็ตาม สิ่งที่ควรระวังเป็นอย่างยิ่งสำหรับการเลือกประกันภัยไซเบอร์คือขั้นตอนการเลือกประกันภัยไซเบอร์ที่เหมาะสมกับลักษณขององค์กร เนื่องจากประกันภัยไซเบอร์แต่ละแผนและแต่ละบริษัทประกันภัยมีรายละเอียดเงื่อนไขและข้อยกเว้นที่ค่อนข้างแตกต่างกันตามที่เราได้ยกตัวอย่างในหัวข้อก่อนหน้านี้ การเลือกอย่างไม่ระมัดระวังจึงมีความเสี่ยงที่จะไม่ได้รับความคุ้มครองในสิ่งที่คุณคิดว่าจะได้รับความคุ้มครอง