Home » ประกันภัย » ประกันภัยไซเบอร์ (Cyber Insurance) คืออะไร? ให้ความคุ้มครองอะไรบ้าง

ประกันภัยไซเบอร์ (Cyber Insurance) คืออะไร? ให้ความคุ้มครองอะไรบ้าง

บทความโดย

ใน

เผยแพร่เมื่อ

แก้ไขเมื่อ

ประกันภัยไซเบอร์ คือ ประกันภัย ให้ ความคุ้มครอง ของ ประกัน Cyber Insurace คือ

ในยุคที่เทคโนโลยีดิจิทัลเข้ามามีบทบาทสำคัญในชีวิตประจำวันของเรามากขึ้น ไม่ว่าจะเป็นการทำธุรกรรมออนไลน์ การเก็บข้อมูลส่วนบุคคล หรือการดำเนินธุรกิจผ่านทางช่องทางออนไลน์ ความปลอดภัยของข้อมูลและระบบกลายเป็นเรื่องสำคัญที่ไม่สามารถมองข้ามได้อีกต่อไป เนื่องจากสิ่งที่เพิ่มขึ้นมาเป็นตามตัวคือความเสี่ยงจากภัยคุกคามทางไซเบอร์ เช่น การโจมตีรูปแบบต่าง ๆ ที่ทำให้ธุรกิจต้องหยุดชะงัก ภัยคุกคามจากมิจฉาชีพหลากหลายรูปแบบ ตลอดจนการโจมตีด้วยการเรียกค่าไถ่ (Ransomware) ที่พบได้บ่อยมากขึ้นในปัจจุบัน

ประกันภัยไซเบอร์ จึงเป็นหนึ่งในคำตอบของการบริหารความเสี่ยงจากภัยคุกคามไซเบอร์เหล่านั้น ที่ช่วยแบ่งเบาภาระด้านความเสี่ยงให้ธุรกิจและบุคคลทั่วไปที่เป็นเป้าหมายจากภัยคุกคามในด้าน Cyber Security

บทความนี้ InsureThink จะพาไปรู้จักกับ ประกันภัยไซเบอร์ หรือ Cyber Insurance ว่าคืออะไร และให้ความคุ้มครองอย่างไรบ้าง ทั้งประกันภัยไซเบอร์ส่วนบุคคลและประกันภัยไซเบอร์สำหรับธุรกิจ

ประกันภัยไซเบอร์ คืออะไร?

ประกันภัยไซเบอร์ (Cyber Insurance) คือการประกันภัยที่ให้ความคุ้มครองความเสียหายที่เกิดจากการถูกคุกคามและละเมิดความมั่นคงทางไซเบอร์ (Cyber Security) ของผู้เอาประกันภัยด้วยการโจมตีผ่านช่องทางออนไลน์ในรูปแบบต่าง ๆ

ตัวอย่างกรณีที่จะได้รับความคุ้มครองจากประกันภัยไซเบอร์ ได้แก่ การถูกโจรกรรมข้อมูลส่วนบุคคลทางอินเทอร์เน็ต การถูกโจรกรรมเงินจากบัญชีผ่านทางอินเทอร์เน็ต การถูกหลอกให้ซื้อหรือขายสินค้าทางอินเทอร์เน็ต และการถูกเรียกค่าไถ่จาก Ransomware เป็นต้น

โดยเมื่อเกิดความเสียหายขึ้นประกันภัยไซเบอร์จะให้ความคุ้มครองความเสียหาย 2 กลุ่ม ได้แก่

  • ผู้เอาประกันที่เป็นบุคคลที่ 1 (First Party Coverage) เช่น การถูกฟ้องจากลูกค้าในกรณีที่บริษัททำข้อมูลลูกค้าหลุดจากการถูกโจมตี การฟ้องร้องผู้ละเมิด ความเสียหายจากการที่ธุรกิจหยุดชะงัก และการที่ผู้เอาประกันถูก Ransomware กรรโชกทรัพย์ เป็นต้น
  • บุคคลภายนอกที่เป็นบุคคลที่ 3 (Third Party Coverage) เช่น ความรับผิดชอบต่อความเสียหายที่ข้อมูลของลูกค้าถูกนำไปเผยแพร่อันเป็นผลมาจากการที่บริษัทถูกโจมตีจนข้อมูลหลุดออกไป

โดยบริษัทประกันจะจ่ายค่าสินไหมทดแทนตามความเสียหายที่เกิดขึ้นจริง แต่ไม่เกินวงเงินตามที่ระบุในแผนประกัน สำหรับความเสียหายต่อผู้เอาประกัน ค่าใช้จ่ายในการต่อสู้คดีที่ตามมา ค่าปรับที่เกิดขึ้นจากหน่วยงานที่ควบคุม ค่าเสียหายของลูกค้า ค่าเสียหายที่ธุรกิจต้องหยุดชะงัก ค่าใช้จ่ายในกู้คืนข้อมูล ตลอดจนค่าใช้จ่ายในการสืบสวนเหตุการณ์ดังกล่าว

อย่างไรก็ตาม การคุ้มครองความเสียหายของประกันภัยไซเบอร์นี้ไม่ได้หมายความว่าหากข้อมูลของผู้เอาประกันถูกเจาะหรือถูกเรียกค่าไถ่จาก Ransomware แล้วบริษัทที่รับทำประกันภัยไซเบอร์จะสามารถกู้ข้อมูลกลับมาให้ได้ แต่ประกันภัยไซเบอร์จะช่วยเยียวยาค่าเสียหายที่เกิดขึ้นมาจากการการโจมตีหรือการโจรกรรมข้อมูล

ประกันภัยไซเบอร์คุ้มครองกรณีแบบใดบ้าง

การถูกโจรกรรมข้อมูลผ่านช่องทางออนไลน์ ไม่ว่าจะเป็นข้อมูลภายในขององค์กรเกี่ยวกับลูกค้า ความลับทางการค้า พนักงาน หรือคู่แข่งทางการค้า ข้อมูลบัตรเครดิต ประวัติสุขภาพ ข้อมูลระบุตัวตน ข้อตกลง และสัญญา เป็นต้น

การถูกโจรกรรมเงินจากบัญชีส่วนบุคคลผ่านช่องทางออนไลน์ เช่น การถูก Phishing และการถูกแฮก แต่ถ้าหากเกิดการใช้งานบัตรเครดิตหรือบัตรเดบิตที่เกิดจากการที่คุณทำหายจะไม่ได้รับความคุ้มครอง

มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการกรรโชกทรัพย์ทางอินเทอร์เน็ต จากการที่เหยื่อถูกโจมตีด้วย Malware ซึ่งจะเข้ารหัสข้อมูลของเหยื่อเอาไว้จนกว่าเหยื่อจะยอมจ่ายค่าไถ่ที่เรียกร้อง โดยประกันไซเบอร์จะคุ้มครองค่าไถ่ที่สูญเสียไปและค่าใช้จ่ายเพื่อจ้างผู้เชี่ยวชาญสำหรับการแก้ไขเหตุการณ์ดังกล่าว (เช่น การถอดรหัสแทนที่จะยอมจ่ายค่าไถ่)

การถูกหลอกให้ซื้อสินค้าทางอินเทอร์เน็ต เป็นความคุ้มครองในกรณีที่ผู้เอาประกันถูกหลอกลวงให้ซื้อสินค้าภายในประเทศไทยผ่านทางอินเทอร์เน็ต เช่น การชำระค่าสินค้าแล้วแต่ไม่ได้รับสินค้าภายในเวลาที่กำหนด, ชำระค่าสินค้าแล้วแต่ผู้ขายบอกไม่จัดส่งสินค้าและได้บล็อกผู้เอาประกันที่เป็นผู้ซื้อ, และการได้รับสินค้าแต่ไม่ครบจำนวนการสั่งซื้อ เป็นต้น

การถูกหลอกให้ขายสินค้าทางอินเทอร์เน็ต ที่คุ้มครอบผู้เอาประกันที่เป็นผู้ขายสินค้าผ่านช่องทางออนไลน์ เมื่อผู้เอาประกันถูกช่อโกงหลังจากส่งสินค้าให้กับลูกค้าแล้วแต่ไม่ได้รับชำระเงินภายในเวลาที่กำหนดในกรมธรรม์ประกันภัยไซเบอร์ หรือถูกปลอมแปลงหลักฐานการโอนเงิน เป็นต้น

ความเสียหายจากการหยุดชะงักของธุรกิจ ซึ่งเป็นผลต่อเนื่องมาจากการที่ระบบรักษาความปลอดภัยล่มหรือถูกโจมตี ตลอดจนการหยุดชะงัดที่มาจากความผิดพลาดจากตัวบุคลากรหรือซอฟต์แวร์ อย่างเช่น กรณี CrowdStrike Incident ในปี 2024

ความเสียหายจากการถูกกลั่นแกล้งทางอินเทอร์เน็ต (Cyber Bully) ที่นำไปสู่ความเสียหายต่อชื่อเสียงของผู้เอาประกัน โดยบริษัทประกันจะคุ้มครองค่าใช้จ่ายในการต่อสู้คดี ค่าใช้จ่ายในการกอบกู้ชื่อเสียง และค่าใช้จ่ายในการรักษาทางจิตวิทยา

ความเสียหายจากการถูกโจรกรรมข้อมูลส่วนตัว โดยค่าสินไหมทดแทนเป็นค่าใช้จ่ายในการฟ้องร้อง และ/หรือเงินชดเชยจากการหยุดงานของผู้เอาประกัน

ค่าใช้จ่ายในการต่อสู้คดีและค่าปรึกษาผู้เชี่ยวชาญด้านกฎหมาย ที่เป็นผลต่อเนื่องมาจากภัยความมั่นคงทางไซเบอร์ต่าง ๆ ที่เกิดขึ้น ตามเงื่อนไขที่กรมธรรม์ประกันภัยไซเบอร์คุ้มครอง ตลอดจนค่าปรับในกรณีที่ธุรกิจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

ค่าใช้จ่ายในการบรรเทาความเสียหายด้านเสียชื่อเสียงและการสื่อสารในภาวะวิกฤติขององค์กร เมื่อองค์กรเกิดปัญหาด้าน Cyber Security รูปแบบต่าง ๆ

การกู้ข้อมูล และ/หรือ การล้างข้อมูล ในกรณีของการเกิดความสูญเสียหรือความเสียหายต่อข้อมูลบนอุปกรณ์อิเล็กทรอนิกส์จากการถูกโจมตี


ทั้งนี้ ความคุ้มครองเหล่านี้อาจแตกต่างกันบางรายการ และในแต่ละรายการอาจมีรายละเอียดที่แตกต่างกันอย่างมากในแต่ละบริษัทประกัน เราจึงแนะนำให้ดูรายละเอียดเงื่อนไขการรับประกันระหว่างผลิตภัณฑ์ประกันภัยไซเบอร์แต่ละแผนและแต่ละบริษัทอย่างละเอียด


ข้อควรระวังเกี่ยวกับความคุ้มครองประกันภัยไซเบอร์

แม้ว่าโลกอินเทอร์เน็ตจะไม่มีพรมแดน แต่อำนาจศาลมีพรมแดน และประกันภัยไซเบอร์เองก็เป็นประกันภัยรู้แบบหนึ่งที่มีข้อจำกัดปลีกย่อยอยู่มากพอสมควร ผู้เอาประกันจึงควรทราบสิ่งเหล่านี้ก่อนตัดสินใจทำประกันภัยไซเบอร์ส่วนบุคคลหรือสำหรับองค์กร

ประเด็นแรก ให้ความคุ้มครองภายในอาณาเขตประเทศไทยและอยู่ภายใต้กฎหมายไทยและเขตอำนาจศาลไทยเท่านั้น และให้ความคุ้มครองในลักษณะของความรับผิดทางแพ่งตามค่าเสียหายที่เกิดขึ้นจริงและค่าเสียหายเชิงลงโทษ ตลอดจนค่าปรับจากความผิดทางปกครอง รวมถึงค่าใช้จ่ายในการจ้างทนายและที่ปรึกษาทางกฎหมายในการต่อสู้คดี แต่ไม่คุ้มครองความรับผิดทางอาญา

ประเด็นถัดมาคือ การเลือกรับประกัน ที่บริษัทประกันอาจไม่รับทำประกันภัยไซเบอร์ให้กับบางกลุ่มเป้าหมาย เพื่อจำกัดความเสี่ยงของตัวบริษัทประกันภัยเองจากกลุ่มลูกค้าที่มีความเสี่ยงในระดับที่สูงมาก โดยกลุ่มลูกค้าที่บริษัทประกันมักจะไม่รับทำประกันภัยไซเบอร์ ได้แก่

  • ธุรกิจบริการเครือข่ายสังคม (Social Media)
  • ธุรกิจที่มีรายได้ 100% มาจากการขายออนไลน์
  • ธุรกิจแพลตฟอร์มเทรดออนไลน์ และแพลตฟอร์มซื้อขายสินทรัยพ์ดิจิทัล
  • บริการ Cloud Service
  • ธุรกิจที่ให้บริการด้ารการทำธุรกรรมชำระเงินผ่านบัตรเครดิตหรือเดบิต
  • ผู้เอาประกันภัยที่มีรายได้ต่อปีมากกว่าที่บริษัทประกันกำหนด
  • สถาบันการเงินหรือบริษัทให้สินเชื่อ

ประเด็นที่ 3 มีเงื่อนไขบางประการในการรับทำประกันภัยไซเบอร์เสมอ ซึ่งผู้ทำประกันควรศึกษาในส่วนนี้อย่างละเอียด โดยเงื่อนไขการรับประกันจะแตกต่างกันในแต่ละแผนประกัน แตกต่างกันในแต่ละบริษัทประกันภัย และแตกต่างกันระหว่างประกันภัยไซเบอร์สำหรับบุคคลกับประกันภัยไซเบอร์สำหรับธุรกิจ ตัวอย่างเช่น

  • อาจมีค่าความรับผิดส่วนแรกเมื่อผู้เอาประกันทำการเคลม
  • บริษัทที่จะทำประกันภัยไซเบอร์ต้องมีระบบการรักษาความปลอดภัยทางไซเบอร์ตามเงื่อนไขที่บริษัทประกันภัยกำหนด
  • บริษัทที่จะทำประกันภัยไซเบอร์ต้องมีระเบียบปฎิบัติในการเข้าถึงข้อมูลหรือระบบในองค์กร
  • บริษัทที่จะทำประกันภัยไซเบอร์ต้องมีมาตราการและระเบียบปฏิบัติในการสำรองข้อมูล (Back Up) และการกู้คืนข้อมูล (Recovery)
  • ไม่มีรายได้หรือธุรกรรม หรือมีการดำเนินงานในประเทศสหรัฐอเมริกา แคนาดา และทวีปยุโรป
  • การเชื่อมต่อระบบหลักของบริษัทต้องไม่เชื่อมต่อกับบริษัทแม่ หรือบริษัทลูก หรือเชื่อมต่อกับร้านแฟรนไซส์

ประเด็นสุดท้าย การคุ้มครองของประกันภัยไซเบอร์เกี่ยวกับบัญชีการเงินออนไลน์โดยส่วนใหญ่จะให้ความคุ้มครองเฉพาะเงินสกุลบาท และเป็นบัญชีการเงินที่ดูแลโดยสถาบันการเงินในประเทศไทยเท่านั้น

ประกันภัยไซเบอร์เหมาะกับใคร

ประกันภัยไซเบอร์สำหรับบุคคล เป็นสิ่งที่เหมาะกับผู้ที่ทำธุรกรรมทางการเงินบนช่องทางออนไลน์บ่อยครั้ง ทั้งผู้ซื้อและผู้ขายสินค้า (กรณีผู้ขายควรดูว่ามีเงื่อนไขเกี่ยวกับรายได้จากทางออนไลน์หรือไม่) เพื่อลดความเสี่ยงจากการถูกช่อโกงจากการซื้อขายสินค้าผ่านช่องทางออนไลน์

ในขณะที่ประกันภัยไซเบอร์สำหรับธุรกิจ เหมาะสำหรับเป็นเครื่องมือลดความเสี่ยงและบรรเทาความเสียหายที่อาจเกิดขึ้นในกรณีที่ธุรกิจถูกคุกคามด้านความมั่นคงทางไซเบอร์ เนื่องจากในปัจจุบันทั้งธุรกิจและผู้มีส่วนได้ส่วนเสีย (Stakeholders) โดยส่วนใหญ่พึ่งพาข้อมูลและอินเทอร์เน็ตในการทำธุรกรรมต่าง ๆ ไม่ว่าทางใดก็ทางหนึ่ง การที่ธุรกิจถูกโจมตีจากบุคคลภายนอกที่ไม่หวังดีย่อมเกิดความเสียหายทั้งทางตรงและทางอ้อมให้กับธุรกิจ

แต่อย่างไรก็ตาม สิ่งที่ควรระวังเป็นอย่างยิ่งสำหรับการเลือกประกันภัยไซเบอร์คือขั้นตอนการเลือกประกันภัยไซเบอร์ที่เหมาะสมกับลักษณขององค์กร เนื่องจากประกันภัยไซเบอร์แต่ละแผนและแต่ละบริษัทประกันภัยมีรายละเอียดเงื่อนไขและข้อยกเว้นที่ค่อนข้างแตกต่างกันตามที่เราได้ยกตัวอย่างในหัวข้อก่อนหน้านี้ การเลือกอย่างไม่ระมัดระวังจึงมีความเสี่ยงที่จะไม่ได้รับความคุ้มครองในสิ่งที่คุณคิดว่าจะได้รับความคุ้มครอง