ประกันภัยไซเบอร์ ประเด็นร้อนในงาน RSA 2016

ประกันภัยไซเบอร์ก็เช่นเดียวกับประกันทั่วไป นั่นคือ เจ้าของระบบคอมพิวเตอร์จ่ายเบี้ยประกันตามเงื่อนไขที่กำหนด ก็จะได้รับผลตอบแทนเมื่อระบบคอมพิวเตอร์ได้รับความเสียหาย เช่น ระบบล่มไม่สามารถให้บริการได้ ระบบถูกโจมตี ข้อมูลสำคัญขององค์กรถูกขโมยออกไป เป็นต้น ที่สำคัญคือ ธุรกิจประกันแนวใหม่นี้กำลังเป็นประเด็นร้อนในงานสัมมนา RSA 2016 ที่กำลังจะจัดขึ้นที่ซานฟรานซิสโกสัปดาห์หน้านี้

คำนวณความเสียหายและเบี้ยประกันอย่างไร

คำถามคือ ทางบริษัทประกันจะมีวิธีชั่งน้ำหนักค่าเบี้ยประกันและผลตอบแทนอย่างไรให้สมน้ำสมเนื้อ ที่ทั้งบริษัทประกันและลูกค้าต่างได้กำไรด้วยกันทั้งคู่

คำตอบคือ จากตัวอย่างบริษัทประกันบนอินเทอร์เน็ต บริษัทเหล่านี้ยังคงยึดแนวทางเดียวกับประกันทั่วไป นั่นคือ บริษัทประกันจะส่งแบบสอบถามเกี่ยวกับระบบคอมพิวเตอร์มาให้กรอก เพื่อพิจารณาถึงความเสี่ยง ความรุนแรง และผลกระทบเมื่อระบบถูกโจมตี เช่น ระบบป้องกันมัลแวร์ที่ใช้อยู่ การควบคุมรหัสผ่าน นโยบายการใช้งาน ระบบตรวจจับภัยคุกคามที่ใช้ ระบบสำรองข้อมูล และอื่นๆ จากนั้นจะนำข้อมูลไปคำนวณมูลความเสียหายที่อ่านจะเกิดขึ้น และเบี้ยประกันที่เหมาะสมต่อความเสี่ยงนั้นๆ

ที่น่าสนใจคือ มีการสอบถามเกี่ยวกับการโจมตีที่เคยเกิดขึ้นในช่วง 2 – 3 ปีที่ผ่านมา และระยะเวลาที่ตรวจพบการโจมตีเป็นหลักนาทีหรือหลักชั่วโมง ซึ่งอ่านดูแล้วคนที่อยู่สายงานด้าน IT Security คงหัวเราะออกมาดังๆ เนื่องจากโดยเฉลี่ยแล้ว ต้องใช้เวลานานกว่า 200 วันจึงจะรู้ตัวว่าระบบถูกเจาะ

กว่า 59% เริ่มใส่ประกันภัยไซเบอร์ในแผนรับมือการโจมตี

จากการสำรวจของ PWC ระบุว่า หลายบริษัทเริ่มเพิ่มการประกันภัยไซเบอร์เข้าไปในแผนรับมือการโจมตี (ประมาณ 59%) เนื่องจากช่วยให้ได้ค่าชดเชยจากการที่บริษัทถูกเจาะระบบหรือระบบล่ม แทนที่จากเดิมไม่ได้อะไรเลย นอกจากนี้ บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยหลายแห่งยังเริ่มให้บริการตรวจสอบระบบของลูกค้า เพื่อนำผลลัพธ์ไปตกลงกับบริษัทประกันอีกด้วย เสมือนกับการไปตรวจสุขภาพและนำใบรับรองแพทย์ไปทำประกัน