Skip to main content
Marsh logo

ประกันภัยไซเบอร์: ปกป้องธุรกิจของคุณจากการขัดข้องทางเทคโนโลยี

การอัปเดตซอฟต์แวร์ที่ผิดพลาดของ CrowdStrike ในปี 2567 ส่งผลให้การดำเนินธุรกิจของผู้คนนับล้านทั่วโลกเกิดการหยุดชะงัก1 โดยเฉพาะในภาคส่วนต่างๆ เช่น ธุรกิจการขนส่ง ธุรกิจการค้าปลีก และธุรกิจการดูแลสุขภาพ ลูกค้าของ Marsh กว่า 500 รายต่างได้รับผลกระทบ โดยมีการเรียกร้องค่าสินไหมทดแทนเข้ามามากกว่า 375 รายการ

แม้ว่าปัญหาจะได้รับการแก้ไขอย่างรวดเร็ว แต่เหตุการณ์ CrowdStrike ได้ชี้ให้เห็นถึงความเสี่ยงของการขัดข้องทางเทคโนโลยี เมื่อห่วงโซ่อุปทานมีการเชื่อมต่อกันทางดิจิทัลมากขึ้น ไม่ว่าองค์กรจะต้องการเริ่มต้นในการลดความเสี่ยงทาง

ไซเบอร์หรือประเมินความคุ้มครองประกันภัยไซเบอร์ที่มีอยู่ การเข้าใจว่าประกันภัยไซเบอร์สามารถปกป้องธุรกิจของคุณจากการสูญเสียทางตัวเงินได้อย่างไรจึงเป็นสิ่งสำคัญต่อความพร้อมในการรับมือความเสี่ยงทางเทคโนโลยีที่เปลี่ยนไปอย่างรวดเร็ว

ประกันภัยไซเบอร์มีผลบังคับใช้เมื่อใด?

ประกันภัยไซเบอร์สามารถช่วยให้องค์กรฟื้นคืนจากความเสียหายและช่วยครอบคลุมค่าใช้จ่ายที่เกิดขึ้นจากเหตุการณ์ทางเทคโนโลยีที่ส่งผลกระทบให้การดำเนินธุรกิจหยุดชะงัก ตัวอย่างของเหตุการณ์ดังกล่าวรวมถึงการโจมตีด้วยไวรัสเพื่อเรียกค่าไถ่ (ransomware attack) ข้อมูลขนาดใหญ่เกิดการรั่วไหล (large-scale data breaches) หรือระบบไอทีล่ม เช่น เหตุการณ์อัปเดตซอฟต์แวร์ของ CrowdStrike เมื่อไม่นานมานี้

ประกันภัยไซเบอร์ครอบคลุมอะไรบ้าง?

ประกันภัยไซเบอร์สามารถปกป้ององค์กรได้โดยให้ความคุ้มครองที่เหมาะสมกับความสูญเสียทั้งในส่วนของผู้เอาประกันภัยและความรับผิดต่อบุคคลภายนอก

ความคุ้มครองของผู้เอาประกันภัยอาจรวมถึง:

  • การหยุดชะงักของธุรกิจหรือการหยุดชะงักของเครือข่ายธุรกิจที่เกี่ยวข้อง (Business Interruption or Contingent Business Interruption หรือ CBI): ปกป้องธุรกิจจากการสูญเสียรายได้หรือค่าใช้จ่ายเพิ่มเติมที่เกิดขึ้น เมื่อการดำเนินธุรกิจของผู้เอาประกันภัยได้รับผลกระทบโดยตรงหรือโดยอ้อม เช่น ธุรกิจของผู้ให้บริการเกิดการหยุดชะงัก 
  • การกรรโชกทรัพย์ทางไซเบอร์หรือการโจมตีด้วยไวรัสเพื่อเรียกค่าไถ่ (Ransomware): ครอบคลุมค่าใช้จ่ายในการสืบสวน การตรวจพิสูจน์หลักฐานทางไซเบอร์ และการจ่ายค่าไถ่ในกรณีที่เกิดการกรรโชกทรัพย์ทางไซเบอร์หรือการโจมตีด้วยไวรัสเพื่อเรียกค่าไถ่ 
  • การกู้คืนข้อมูล: ครอบคลุมค่าใช้จ่ายในการแทนที่ กู้คืน และสร้างข้อมูลที่เสียหายหรือสูญหายขึ้นใหม่ 
  • การจัดการเหตุการณ์หรือการตอบสนองต่อการรั่วไหลของข้อมูล  (Breach Responses): ความคุ้มครองครอบคลุมไปถึงค่าใช้จ่าย เช่น การตรวจพิสูจน์หลักฐานทางไซเบอร์ ค่าใช้จ่ายในการปรึกษาบริษัทผู้ให้คำปรึกษาด้านภาพลักษณ์ การตั้งศูนย์บริการทางโทรศัพท์ การแจ้งเตือน (เช่น ต่อหน่วยงานกำกับดูแล ลูกค้า ฯลฯ) และ บริการตรวจสอบความเสียหายที่หลงเหลืออยู่ในช่องทางอินเตอร์เน็ตหลังเหตการณ์การรั่วไหลของข้อมูล

ความคุ้มครองความรับผิดต่อบุคคลภายนอกอาจรวมถึง:

  • ความรับผิดต่อความเป็นส่วนตัว: การคุ้มครองความรับผิดและค่าใช้จ่ายในการต่อสู้คดี ค่าปรับ และบทลงโทษที่เกิดจากความล้มเหลวของผู้เอาประกันภัยในการป้องกันการเข้าถึงหรือการเปิดเผยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (Personally Identifiable Information) หรือข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต 
  • ความรับผิดต่อความปลอดภัยของเครือข่าย: การคุ้มครองความรับผิดและค่าใช้จ่ายในการต่อสู้คดีที่เกิดจากความล้มเหลวของระบบความปลอดภัยที่ใช้ในการป้องกันหรือบรรเทาการโจมตีทางไซเบอร์ 
  • ค่าใช้จ่ายในการต่อสู้คดีด้านการกำกับดูแลกฎระเบียบความเป็นส่วนตัว: ครอบคลุมค่าปรับหรือบทลงโทษที่กำหนดโดยหน่วยงานกำกับดูแลที่เกี่ยวข้องกับการละเมิดความเป็นส่วนตัว 
  • ความผิดพลาดและการประมาทเลินเล่อทางเทคโนโลยี: ครอบคลุมค่าใช้จ่ายและความเสียหายที่เกิดขึ้นจากความล้มเหลวที่เกิดขึ้นจริงหรือที่ถูกกล่าวหาว่าล้มเหลวของบริการหรือผลิตภัณฑ์เทคโนโลยีของผู้เอาประกันภัย

สิ่งสำคัญที่ควรทราบคือ ในการส่งคำร้องในฐานะผู้เอาประกันภัยที่เกี่ยวข้องกับการหยุดทำงานของเครือข่าย หรือการหยุดชะงักทางธุรกิจ ตัวกรมธรรม์จะมีระยะเวลารอคอย (Waiting Period) โดยประมาณอยู่ที่ 4 - 12 ชั่วโมงก่อนที่ผู้เอาประกันภัยจะสามารถเรียกร้องสินไหมทดแทนตามกรมธรรม์ได้ นายหน้าประกันภัยที่เชื่อถือได้และที่ปรึกษาด้านความเสี่ยงสามารถให้คำแนะนำเกี่ยวกับวงเงินความคุ้มครองที่เหมาะสมและปรับแต่งข้อกำหนดและเงื่อนไขของกรมธรรม์ให้ตรงกับความต้องการของธุรกิจ

เสริมสร้างความสามารถในการเอาประกันภัยทางไซเบอร์ด้วยการพัฒนาระบบผ่านตัวแปรที่สำคัญ 12 ประการ 

ในการซื้อประกันภัยไซเบอร์ บริษัทผู้รับประกันภัยได้จะต้องกำหนดมาตรฐานการควบคุมความเสี่ยงภัยทางไซเบอร์ขั้นต่ำที่สามารถรับประกันภัยได้ องค์กรที่มีการนำกลไกการควบคุมความเสี่ยงภัยทางไซเบอร์มาปรับใช้ เช่น การยืนยันตัวตนโดยใช้แบบหลายปัจจัย (Multifactor Authentication หรือ MFA) การคัดกรองอีเมลและความปลอดภัยของเว็บไซต์ การกำหนดสิทธิ์ในการเข้าถึงข้อมูล (Privileged Access Management หรือ PAM) และการตรวจหาและการตอบสนองตำแหน่งข้อมูล (Endpoint Detection and Response หรือ EDR) จะได้รับการพิจารณาเป็นพิเศษจากบริษัทผู้รับประกันภัยเมื่อมีการจัดทำประกันภัยไซเบอร์ 

องค์กรทุกขนาดสามารถใช้เครื่องมือการประเมินตนเองทางไซเบอร์ (Cyber Self-Assessment) ของ Marsh เพื่อประเมินความพร้อมด้านความเสี่ยงภัยทางไซเบอร์และระบุช่องโหว่โดยการเปรียบเทียบกับองค์กรอื่น ๆ ในอุตสาหกรรมเดียวกัน เครื่องมือนี้ยังช่วยให้องค์กรสามารถระบุสิ่งที่ควรต้องปรับปรุงในการควบคุมทางไซเบอร์เพื่อเพิ่มความสามารถในการประกันความเสี่ยงทางไซเบอร์และอาจมีส่วนช่วยให้ค่าเบี้ยประกันภัยทางไซเบอร์ลดลง การประเมินนี้ได้รับการยอมรับจากผู้ประกันภัย โดยผลการประเมินทั้งหมดสามารถนำไปใช้ในการสมัครขอเอาประกันภัยไซเบอร์ได้โดยตรง ทำให้กระบวนการจัดการประกันภัยง่ายและรวดเร็วขึ้น

องค์กรไม่ควรใช้คำถามว่า "ถ้า" เทคโนโลยีเกิดการขัดข้อง แต่เป็น การขัดข้องทางเทคโนโลยีจะเกิดขึ้น "เมื่อไหร่" 
ปกป้องธุรกิจของคุณจากผลกระทบของการหยุดชะงักทางเทคโนโลยีตั้งแต่ตอนนี้

ในโลกดิจิทัลที่มีการเชื่อมต่อถึงกันมากขึ้น ประกันภัยไซเบอร์ให้ความคุ้มครองความเสียหายทางตัวเงินและช่วยเหลือองค์กรในสถานการณ์ทางไซเบอร์ที่หลีกเลี่ยงไม่ได้ หากคุณยังไม่มีประกันภัยไซเบอร์และต้องการปกป้องธุรกิจของคุณจากความเสี่ยงของการหยุดชะงักทางเทคโนโลยี ติดต่อทีมงาน Marsh Asia Cyber วันนี้

1 Reuters. (2024). Microsoft says about 8.5 million of its devices affected by CrowdStrike-related outage. https://www.reuters.com/technology/microsoft-says-about-85-million-its-devices-affected-by-crowdstrike-related-2024-07-20/

Please note that Marsh PB Co., Ltd and Marsh McLennan are not engaged by nor involved in any manner with Bonus Ranch and its promotion, and has not placed any insurance for nor insured any of its businesses or operations. Marsh as a licensed insurance broker will not request customers to make payment via non-standard methods, such as the transfer of money to any individual’s bank account.