CEO Blog

‘ประกันภัยไซเบอร์’ ลดความคุ้มครอง หลังภัยคุกคามระบาดทำกำไรหด

By นักรบ เนียมนามธรรม01 ธ.ค. 2021 เวลา 11:12 น.
‘ประกันภัยไซเบอร์’ ลดความคุ้มครอง หลังภัยคุกคามระบาดทำกำไรหด

ธุรกิจประกันภัยไซเบอร์เป็นหนึ่งในลู่ทางสร้างรายได้ของแฮกเกอร์

ธุรกิจประกันภัยจะกำไรงามก็ต่อเมื่อสามารถลดค่าใช้จ่ายได้ เช่น ไม่ต้องจ่ายค่าคุ้มครองให้ผู้ทำประกัน แต่ในช่วงที่ภัยไซเบอร์ระบาดไม่หยุดหย่อนเช่นนี้ ล่าสุดบริษัทและสมาคมธุรกิจเกี่ยวกับประกันรายใหญ่จากทวีปยุโรปและสหรัฐที่ดำเนินกิจการในสถาบันลอยด์แห่งลอนดอน (Lloyd's of London) ถึงกับต้องปรับตัวยกใหญ่เพื่อรักษาผลกำไรของบริษัท

เรื่องเริ่มจากการแพร่ระบาดของโควิด-19 ส่งผลให้หลายองค์กรออกมาตรการให้พนักงานทำงานจากที่บ้าน (Work From Home) อย่างกะทันหัน ทำให้ระบบไซเบอร์ซิเคียวริตี้ที่องค์กรมีอยู่เดิมไม่สามารถรักษาความปลอดภัยทางไซเบอร์ได้ครอบคลุม 

องค์กรหลายแห่งจึงตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่ (Ransomware) ส่งผลให้บริษัทประกันภัยไซเบอร์ต้องรับรายจ่ายที่เพิ่มขึ้น มีการสันนิษฐานว่า แฮกเกอร์อาจเข้าไปตรวจสอบก่อนว่าองค์กรเป้าหมายของพวกเขามีนโยบายในการรับมือภัยไซเบอร์อย่างไร เพื่อหาแนวโน้มที่เหยื่อจะจ่ายค่าไถ่เมื่อโจมตีสำเร็จ

ทำให้บริษัทประกันภัยไซเบอร์ถูกเคลมประกันจากเหยื่อหลายรายจนกำไรลดลง พวกเขาจึงแก้ปัญหาโดยการเปลี่ยนเงื่อนไขการรับประกัน ทั้งข้อจำกัด ความคุ้มครอง และราคา ให้ลดลงครึ่งหนึ่ง หลังพบว่าการดำเนินธุรกิจของบริษัทประกันภัยไซเบอร์เป็นหนึ่งในลู่ทางสร้างรายได้ของแฮกเกอร์ 

เนื่องจากก่อนหน้านี้แฮกเกอร์จะเข้ารหัสข้อมูลและขโมยข้อมูลของเหยื่อไปขายให้กับบุคคลภายนอกเพื่อทำรายได้ แต่ปัจจุบันพวกเขาสามารถเข้ารหัสข้อมูลของเหยื่อและเสนอรหัสผ่านสำหรับกู้คืนข้อมูลให้กับเหยื่อ หากยอมจ่ายค่าไถ่ด้วยสกุลเงินดิจิทัล (Cryptocurrency) ซึ่งเหยื่อที่มีประกันก็มักจะถูกคาดการณ์ว่ามีแนวโน้มที่จะยอมจ่ายค่าไถ่สูง

เดือนต.ค.ที่ผ่านมาทางการสหรัฐ สันนิษฐานว่า ช่วงหกเดือนของปีนี้มีการจ่ายเงินค่าไถ่ข้อมูลเป็นจำนวนเงินรวม 590 ล้านดอลลาร์ซึ่งเป็นเงินจำนวนมากทีเดียวเมื่อเทียบกับรายงานการจ่ายเงินค่าไถ่ข้อมูลทั้งหมดของปีที่แล้วซึ่งอยู่ที่ 416 ล้านดอลลาร์

ตัวแทนจากบริษัทประกันภัยไซเบอร์รายหนึ่งกล่าวว่า แม้บริษัทจะประสบปัญหาในการรับมือ แต่ลูกค้าองค์กรต่างๆ ก็ยังได้รับความคุ้มครองอยู่ภายใต้เงื่อนไขที่เปลี่ยนไป 

เช่น องค์กรด้านเทคโนโลยีรายหนึ่งเคยซื้อแพ็คเกจที่ครอบคลุมการชดใช้ค่าเสียหายและอื่นๆรวม 130 ล้านปอนด์ โดยมีเบี้ยประกันอยู่ที่ 250,000 ปอนด์ แต่ขณะนี้ลูกค้าสามารถรับความคุ้มครองได้เพียง 55 ล้านปอนด์ ในขณะที่เบี้ยประกันเพิ่มเป็น 500,000 ปอนด์

ผมเชื่อว่ามีหลายๆ บริษัทเลือกจัดสรรงบประมาณประจำปีมาให้กับการซื้อประกันภัยไซเบอร์ ด้วยหลักการที่ว่ามีประกันแล้วอุ่นใจอย่างไรเมื่อองค์กรถูกโจมตีก็ยังมี “ตัวช่วย” และละเลยการพัฒนาระบบไซเบอร์ซิเคียวริตี้ขององค์กรไป 

บทความนี้คงช่วยให้องค์กรตัดสินใจได้ว่าจะจัดสรรงบประมาณปีหน้าอย่างไร ซึ่งผมขอแนะนำให้องค์กรเลือกแนวทาง “ตนเป็นที่พึ่งแห่งตน” ลงทุนในระบบไซเบอร์ซิเคียวริตี้ขององค์กรให้มีประสิทธิภาพและครอบคลุมทุกจุดเสี่ยง 

เช่นนี้แล้วต่อให้บริษัทประกันภัยไซเบอร์จะเปลี่ยนเงื่อนไขอย่างไรท่านก็ยังอุ่นใจได้ว่าองค์กรเองก็มีระบบที่แน่นหนาไว้ป้องกันภัยคุกคามอยู่แล้ว ซึ่งจะช่วยลดความเสี่ยงในการตกเป็นเหยื่อได้มากกว่าการซื้อประกันเสียอีกครับ