คปภ.ออกโรงจัดทำแนวทางปฏิบัติและกติการับมือภัยไซเบอร์มัลแวร์เรียกค่าไถ่

18 May 2017
• พร้อมแจ้งเตือนบริษัทประกันภัยให้เฝ้าระวังและเตรียมการอย่างเป็นระบบ แนะถึงเวลาใช้ประกันภัยไซเบอร์บริหารความเสี่ยง
คปภ.ออกโรงจัดทำแนวทางปฏิบัติและกติการับมือภัยไซเบอร์มัลแวร์เรียกค่าไถ่

ดร.สุทธิพล ทวีชัยการ เลขาธิการคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เปิดเผยว่า จากสถานการณ์การระบาดมัลแวร์เรียกค่าไถ่ ชื่อ "วอนนาคราย" (WannaCry) โดยมัลแวร์จะทำงานด้วยการบล็อกไฟล์เอกสารต่างๆ ในคอมพิวเตอร์ของผู้ใช้คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการวินโดวส์ของไมโครซอฟท์รุ่นเก่าต่ำกว่าวินโดวส์ 10 ด้วยการเข้ารหัสลับ ทำให้ผู้ใช้จะไม่สามารถเปิดหรือดาวน์โหลดข้อมูลที่อยู่ในคอมพิวเตอร์ของตัวเองได้ หากต้องการที่จะปลดล็อคจะต้องจ่ายเงินค่าไถ่ นอกจากนี้ยังมีความสามารถกระจายตัวเองจากคอมพิวเตอร์หนึ่งไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่ายได้โดยอัตโนมัติ ซึ่งขณะนี้ได้ส่งผลกระทบกับประเทศต่างๆ ในวงกว้าง

สำนักงาน คปภ. มีความตระหนักถึงผลกระทบจากภัยคุกคามดังกล่าวต่อระบบประกันภัย โดยได้กำหนดมาตรการรับมือภัยคุกคามในสองระดับ คือ ในระดับขององค์กร เบื้องต้นได้จัดทำแนวทางปฏิบัติในการป้องกันมัลแวร์ภายในองค์กรและสั่งการให้ สำนักงาน คปภ. ทั่วประเทศ ดำเนินการตามแนวปฏิบัติดังกล่าวอย่างเคร่งครัด เพื่อเป็นการเฝ้าระวังและป้องกันภัยคุกคามทางคอมพิวเตอร์ที่อาจเจาะเข้ามาในระบบของสำนักงานคปภ. ระดับที่สองเป็นมาตรการในส่วนของภาคอุตสาหกรรมประกันภัย สำนักงาน คปภ. ในฐานะหน่วยงานกำกับ ได้เฝ้าติดตามสถานการณ์อย่างใกล้ชิด แม้ในขณะนี้ยังไม่ได้รับรายงานผลกระทบจากเหตุการณ์ดังกล่าวในธุรกิจประกันภัย แต่เพื่อเป็นการป้องกันภัยคุกคามทางคอมพิวเตอร์ของภาคธุรกิจประกันภัย จึงได้ประสานไปยังสมาคมประกันชีวิตไทย และสมาคมประกันวินาศภัยไทย แจ้งเวียนบริษัทสมาชิกให้เฝ้าระวัง และเตรียมการอย่างเป็นระบบ ตั้งแต่การป้องกัน การรับมือกับภัยคุกคามทางคอมพิวเตอร์ รวมทั้งสื่อสารให้พนักงานและประชาชนทราบแนวทางป้องกันการแพร่ระบาดอย่างเหมาะสม และขอให้รายงานสถานการณ์เฝ้าระวังภัยคุกคามทางคอมพิวเตอร์ต่อ สำนักงาน คปภ. เป็นระยะๆ โดยหากได้รับผลกระทบจากภัยดังกล่าว ขอให้แจ้งมายังสำนักงาน คปภ. เพื่อประสานให้ความช่วยเหลือ โดยจะมีการบูรณาการทำงานร่วมกันอย่างเป็นระบบเพื่อเตรียมการรับมือในเรื่องนี้

นอกจากนี้ สำนักงาน คปภ.มีนโยบายส่งเสริมให้บริษัทประกันภัยพัฒนาผลิตภัณฑ์ประกันภัยที่จะช่วยรองรับความเสี่ยงจากการจู่โจมหรือคุกคามทางไซเบอร์ นั่นคือ การประกันภัยไซเบอร์ (Cyber Insurance) ซึ่งถูกออกแบบมาเพื่อป้องกันความเสี่ยงต่อความเสียหายทางคอมพิวเตอร์ที่เกิดขึ้นกับธุรกิจในเชิงพาณิชย์ได้ทุกประเภท ไม่ว่าจะเป็น ผู้ผลิตสินค้า ผู้ให้บริการประเภทต่างๆ และโดยเฉพาะอย่างยิ่งสถาบันการเงินซึ่งมีความเสี่ยงภัยในระดับสูง โดยจะคุ้มครองทั้งในส่วนความรับผิดต่อผู้เอาประกันภัย (First Party) หรือความรับผิดต่อบุคคลภายนอก (Third Party) ซึ่งเกิดขึ้นกับข้อมูลของลูกค้าสูญหาย หรือถูกโจรกรรมไป

เลขาธิการ คปภ. กล่าวเสริมว่า สำหรับการระบาดของ "มัลแวร์เรียกค่าไถ่" กรมธรรม์ประกันภัยไซเบอร์ (Cyber Insurance Policy) จะคุ้มครองครอบคลุมความเสียหายทั้งหมดหรือไม่ต้องพิจารณาว่าไวรัสดังกล่าวได้ทำให้เกิดความเสียหายต่อระบบคอมพิวเตอร์ และการสื่อสารหรือถ่ายโอนข้อมูลทางอิเล็กทรอนิกส์มากน้อยเพียงใด อย่างไรก็ตาม การทำประกันภัยไว้ย่อมเป็นการป้องกันความเสี่ยงภัยและได้รับความคุ้มครองในกรณีเกิดความเสียหายที่อาจเกิดขึ้นต่อระบบคอมพิวเตอร์ รวมถึงข้อมูลทางธุรกิจ และข้อมูลส่วนบุคคลต่างๆ ที่อยู่ในความครอบครองของตนได้

"ขอเรียนว่า สำนักงาน คปภ. คำนึงถึงความปลอดภัยของประชาชนในการทำธุรกรรมประกันภัยออนไลน์ เพื่อป้องกันมิให้ประชาชนได้รับผลกระทบต่อการจู่โจมทางไซเบอร์ในกรณีมีการเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงินตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ สำนักงาน คปภ.จึงได้กำหนดหลักเกณฑ์และวิธีการให้บริษัทหรือตัวแทน หรือนายหน้าประกันภัย หรือธนาคาร ที่ใช้วิธีการเสนอขายผ่านช่องทางดังกล่าวนี้ต้องปฏิบัติ ซึ่งนอกจากผู้ขายจะต้องมีนโยบายและแนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคลแล้ว ยังต้องจัดให้มีการตรวจรับรองระบบสารสนเทศจากผู้ตรวจสอบอิสระที่ได้รับใบอนุญาต หรือโดยหน่วยงานรับรองระบบสารสนเทศ (Certified Body) รวมถึงต้องขึ้นทะเบียนกับ สำนักงาน คปภ. ก่อนดำเนินธุรกรรมด้วย เพื่อให้มั่นใจว่าวิธีการเสนอขายผ่านช่องทางอิเล็กทรอนิกส์จะมีมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอันจะเป็นการส่งเสริมการประกอบธุรกิจประกันภัยให้มีความน่าเชื่อถือ มีมาตรฐานเพียงพอในการคุ้มครองประชาชน และเป็นไปตาม พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์" เลขาธิการ คปภ. กล่าวในตอนท้าย