Cyber Enterprise Risk Insurance ManagementFriday 9th August 2019

Surachai SiriborvornratanakulAVP, Head of Financial Lines ThailandSurachai.Siriborvornratanakul@AIG.comTel : 02-649-1411, 083-0955-888

หวขอในการสนทนา

� ความเส�ยงภยขององคกร

� การบรหารจดการความเส�ยงดวยกรมธรรมประกนภย

� ความคมครอง กรมธรรมประกนภยไซเบอร

� ถาม-ตอบ

อพเดทเหตการณ การละเมดขอมลท �วโลก

Credit : https://www.tenable.com/blog/top-5-cybersecurity-priorities-for-2019-ponemon-study

อพเดทเหตการณ การละเมดขอมลท �วโลก

Credit : https://www.tenable.com/blog/top-5-cybersecurity-priorities-for-2019-ponemon-study

กรกฎาคม 2562 : Capital One ไดประกาศเหตการณถกเขาถงขอมลผใชกวา

106 ลานรายโดยไมไดรบอนญาต

เมษายน 2562 : Toyota ถกแฮกขอมลลกคากวา 3 ลานรายเส�ยงร �วไหล

https://www.techtalkthai.com/capital-one-annouced-data-breach-effect-over-100-millions-customer/https://www.techtalkthai.com/toyota-subsidies-has-been-hacked/

อพเดทเหตการณ การละเมดขอมลท �วโลก

พฤษภาคม 2562 : เกดเหต Data Breach กบรานคาออนไลนของ UNIQLO และ GU คาดมเหย�อมากกวา 460,000 ราย

https://www.techtalkthai.com/uniqlo-and-gu-online-store-user-suffer-from-data-breach/https://www.straitstimes.com/asia/east-asia/uniqlo-says-460000-online-accounts-accessed-in-japan-hack

https://www.techtalkthai.com/norsk-hydro-aluminium-manufacturer-gets-ransomware-attack/https://www.thechemicalengineer.com/news/norsk-hydro-hit-by-cyber-attack/

มนาคม 2562 : ผผลตอะลมเนยมยกษใหญของนอรเวย ปดสาขาหลายแหงท �ว

โลก หลงถก Ransomware โจมต พนกงานถกหามเช�อมตอเครอขาย

คอมพวเตอร

อพเดทเหตการณ การละเมดขอมลท �วโลก

เมษายน 2562 :

� Facebook อาจถกปรบสงถง 160,000 ลานบาทจากการละเมด

ความเปนสวนบคคล ของผใช

� ไมใชแคหลกหมWน!! Facebook เผลอเกบรหสผานผใช

Instagram หลายลานคนแบบ Plaintext

� พบขอมลผใช Facebook กวา 540 ลานรายบน AWS Server รWว

สสาธารณะ

กนยายน 2561 :

� Facebook เผยถกโจมตชองโหว บญชผใชงานอยางนอย 50

ลานรายไดรบผลกระทบ

https://www.techtalkthai.com/facebook-stored-millions-of-instagram-users-passwords-in-plaintext/https://www.techtalkthai.com/facebook-could-be-fined-up-to-160000-million-over-privacy-violation/

https://www.techtalkthai.com/facebook-vulnerability-affected-at-least-50-million-users/https://www.techtalkthai.com/540-million-facebook-user-records-expose-online/

อพเดทเหตการณ การละเมดขอมลท �วโลก

อพเดทเหตการณ การละเมดขอมลท �วโลก

Credit : https://marknehpets.com/cathay-pacific-airline-hack-10-million-passenger-details-stolen/https://www.itnews.com.au/news/british-airways-suffers-massive-payment-data-breach-512185

ตลาคม 2561 สายการบนคาเธย แปซฟก ถกแฮกขอมล ผโดยสาร 9.4 ลานคน ท gงขอมลสวนตว รายละเอยดการเดนทาง หมายเลขพาสฟอรต บตรประชาชน เหตการณเกดต gงแต มนาคม 2561

กนยายน 2561 บรตช แอรเวย ถกแฮก ขอมลสวนบคคล และ บตรเครดต ของ ผโดยสาร 380,000 คน ในชวงระหวางวนทW 25 สงหาคม ถง 5 กนยายน 2561 ผานทางเวบไซท และ โมบาย แอพพลเคชน

อพเดทเหตการณ การละเมดขอมลท �วโลก

พฤศจกายน 2561 ขอมลของแขกทWเขาพกตลอดชวง 4 ปทWผานมา จานวน 500 ลานรายชWอ ภายใตเครอ Marriott ไดถกแฮกเกอรนาขอมลออกไป

Credit : https://www.washingtonpost.com/business/2018/11/30/marriott-discloses-massive-data-breach-impacting-million-guests/

Credit : http://www.businessinsurance.com/article/00010101/NEWS06/309149975/Home-Depot-has-$105-million-in-cyber-insurance-to-cover-data-breach

Home Depot to Pay Banks $25 Million in Data Breach Settlement

Home Depot has also paid at least $134.5 million in compensation to consortiums made up of Visa, MasterCard, and various banks.

Home Depot ขอมลบตรเครดต และ อเมล กวา 50 ลานรายร �วไหล ในป 2014

อพเดทเหตการณ การละเมดขอมลท �วโลก

Credit : https://www.techtalkthai.com/t-mobile-data-breach-affects-2-million-customers/https://www.techtalkthai.com/coca-cola-data-breach/

https://www.cnet.com/news/nasa-reveals-data-breach-in-internal-memo/

20 สงหาคม 2561 ขอมลลกคา 2 ลานรายรWวออกจากระบบ เมWอวนทW ไดแก ชWอ, นามสกล, รหสไปรษณย, เบอรโทรศพท, อเมล, เลขประจาบญช และประเภทของบญชใชงาน

พฤษภาคม 2561 บรษท Coca-Cola ออกแถลงการณเกดเหต Data Breach หลงพบวามอดตพนกงานแอบเกบขอมลพนกงานอWนกวา 8,000 คนลงบน External Harddrive สวนตว

19 ธนวาคม 2561 องคการ NASA แถลงการณเหตการณ การละเมดขอมล ของพนกงาน มากถง 17,300 ราย หลงพบวามเซรฟเวอรไมนอยกวา 1 เครWองของเอเจนซWถกแฮก พบเหตการณเมWอวนทW 23 ตลาคม ขอมลทWรWวไหลต gงแต กรกฎาคม 2006 ถง ตลาคม 2018

อพเดทเหตการณ การละเมดขอมลท �วโลก

Credit : https://www.techtalkthai.com/orbitz-data-breach-leads-to-880000-payment-card-leakage/https://www.techtalkthai.com/adidas-announces-data-breach/

https://www.techtalkthai.com/singapore-largest-healthcare-group-hacked/

มถนายน 2561 Adidas เกดเหต Data Breach ลกคาหลายลานคนไดรบผลกระทบ

กรกฎาคม 2561 เครอสาธารณสขสงคโปรถกแฮก ขอมล 1 ใน 3 ของประชาชนถกขโมย

มนาคม 2561 Orbitz เครอ Expedia ถกแฮก ขอมลบตรเครดตเกอบ 880,000 ใบรWวสสาธารณะ

เมษายน 2562 : สถตชp Ransomware ท�มงโจมตองคกรธรกจเพ�มขpนกวา 500%

https://www.techtalkthai.com/malwarebytes-report-ransomware-target-business-is-huge-increase/

https://www.techtalkthai.com/cyberattacks-against-manufacturing-sector-have-double-in-last-6-months/https://www.zdnet.com/article/cyberattacks-against-industrial-targets-double-over-the-last-6-months/

จากผลสารวจของ IBM การโจมตไซเบอรบนอตสาหกรรมการพลตเพ�มขpน 2 เทาในชวง 6 เดอนแรก

� Phishing Emails, การขโมยรหสผานสาหรบเขาถงระบบ

ภายใน, โจมตผานระบบของ 3rd Parties

� เฉล�ย 12,000 เคร�อง Workstations ท�ไดรบความเสยหาย

� 512 ช �วโมงหรอมากกวาในการจดการกบสถานการณ

� 1,200 ช �วโมง ระยะเวลาท�ใชในการฟp นฟระบบ

� $3.92 ลานความเสยหายโดยเฉล�ย

� $239 ลาน สาหรบองคกรขนาดใหญ

ปจจยสาคญท�เพ�มความตองการกรมธรรมไซเบอร

� การโจมตทางไซเบอรอยางตอเน�อง (Big wave of Cyber Attack)

� กฎหมายคมครองขอมลสวนบคคล(Personal Data Protection Act)

� การฟองรองแบบกลม (Class Action Lawsuit)

� ประกนภยท�มอยไมครอบคลมความเสยหาย (No coverage under current insurance

policies)

พระราชบญญต คมครองขอมลสวนบคคล พ.ศ. 2562

� มคณะกรรมการคมครองขอมลสวนบคคล

� ผควบคมขอมลสวนบคคล และ ผประมวลผล

ขอมล

� มาตรา 37 แจงภายใน 72 ช �วโมง

� จดใหม เจาหนาท�คมครองขอมลสวนบคคล

ตามมาตรา 41

� มาตรา 76 รวมมอสงขอมลเอกสารหลกฐาน

ใหกบคณะกรรมการ

� มาตรา 77 และ 78 โทษทางแพง ยกเวน เหต

สดวสย หรอเกดจากตวเจาของขอมลเอง

หรอ ตามคาส �งเจาหนาท�

� มาตรา 79-81 โทษทางอาญา

� มาตรา 82-90 โทษทางปกครอง

http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

https://www.thaigov.go.th/news/contents/details/19083

ประกนภยไซเบอร คอ อะไร?

ความเสยหายของบคคลภายนอกจากการ

ละเมดขอมล (Third Party Liability)

คาใชจายของผประกนภยจากเหตการณทางไซเบอร(First party Expenses)

ไมคมครอง ถง เงน หรอ ทรพยสนของผเอาประกนภย จากเหตการณทางไซเบอร

ความคมครองกรมธรรมอาชญากรรม (Crime)

คมครองการทจรตท�เกดจากท pง พนกงานของบรษท และ

บคคลภายนอก รวมถง Hacker

คมครองเงน หรอ ทรพยสนของผ เอาประกนภย

ไมคมครอง

� สกลเงนดจทลตางๆ

� ขอมลท�ถกขโมย

� คาใชจายท�เกดขpนจากการถก hacker เขาสระบบ

� พนกงานถกหลอกใหโอนเงนไปยงบญชอ�น ไมวาจะเปนการปลอมแปลงเลขบญช หรอ การปลอมเปนผบรหาร

กรมธรรม

CYBER

ซpอเพ�มเตมความ

คมครอง Social

Engineering

ภายใตกรมธรรม

Crime

Surachai SiriborvornratanakulAVP, Head of Financial Lines ThailandSurachai.Siriborvornratanakul@AIG.comTel : 02-649-1411, 083-0955-888

สงหาคม 2562

ความคมครองกรมธรรมประกนภยไซเบอร

AIG ACADEMYSharing Knowledge, Building Value

A : Data Liability

คมครองความเสยหายท�เกดขpนตอบคคลภายนอก (3rd party)

รวมถงคาตอสคด

ความคมครองกรมธรรม

B : Data Administrative Procedures

คมครองคาใชจายท�เกดขpนของผเอาประกนภยจากการสบสวนของ

หนวยงานรฐ (1st party) รวมถงคาปรบจากการละเมดขอมล

C : Repair of Reputation

คมครองคาใชจายท�เกดขpนของผเอาประกนภยในการกอบกช�อเสยง (1st party)

C1 : Repair of the Policyholder Reputation

(การกอบกช Wอเสยงบรษท)

C2 : Repair of Individual Reputation

(การกอบกช Wอเสยงของบคคล)

C3 : Notification & Monitoring

(การแจงเตอนผไดรบผลกระทบและการเฝาระวง)

C4 : Electronic Data

(การจดการขอมลทางอเลคทรอนคส)

C5 : Pro-active Forensic Services

(บรการนตวทยาศาสตรเชงรก)

ความคมครองกรมธรรม

ความคมครองกรมธรรมเพ�มเตม

Media Content(ความรบผดตอเนpอหาของส�อ)

3rd party

Cyber Extortion(ความเสยหายจากการคกคามทางไซเบอร)

1st party

Network Interruption

(ความเสยหายจากการหยดชะงกของระบบ)

1st party

คมครองความเสยหายตอบคคลภายนอกอนเกดจากการกระทา ความผดพลาด การแสดงขอความผดพลาด ขอความทWชกนาใหเกดการเขาใจผด หรอ การละเวนทWเกWยวของกบ การจดเกบ การสราง การเผยแพร การพมพ การกระจายเสยง หรอ การกระจายสWอวสด โดยหรอในนามผเอาประกนภย

คมครองความเสยหายจากการถกคกคามตอระบบคอมพวเตอรทWผเอาประกนภยไดจายไปเนWองจากการคกคามทางดานความปลอดภย (Security Treat)

คมครองการสญเสยรายไดและคาใชจาย ทWเปนผลจากการหยดชะงกของระบบเครอขายของผ เอาประกนภย ภายหลงจากระยะเวลารอคอย และ เปนผลมาจากการลมเหลวของระบบความปลอดภย เทานgน

ขอยกเวนหลกของกรมธรรมไซเบอร

ตวอยางขอยกเวนหลกท�สาคญ (Exclusions)

Bodily Injury and Property Damage (การบาดเจบทางรางกายและความเสยหายตอทรพยสน)

Infrastructure or Security Failure (ความลมเหลวของระบบพgนฐาน)

Misdeeds (การกระทาการทจรต) Directors, Compliance Officer General Counsel and Data Protection Officer

ปจจยสาหรบการพจารณารบประกนภย

� ประเภทธรกจ

� มาตรการรกษาความปลอดภย

� มธรกรรมผานชองทางออนไลนหรอไม

� ประเภทขอมลท�เกบรกษา

� จานวนและภมลาเนาของลกคา

� จานวนเงนเอาประกนภย และ ความรบผดชอบ

สวนแรก

� ฯลฯ

คาถามท�พบบอย

• ถาโดนแฮกเงน หรอถกหลอกใหโอนเงน กรมธรรมใดท�ใหความคมครอง

• ถาเปนเพยงขอสงสยวามเหตการณละเมดขอมลขpนสามารถแจงเคลมประกนภยไดหรอไม

• กรณท�ไมมขอมลร �วไหล แตถกโจมตทาใหระบบใชงานไมได กรมธรรมมคมครองหรอไม

• ทนประกนภยท�เหมาะสมควรจะทาท�เทาไร

• หากเกดเหตการณการโจมตทางไซเบอรเกดขpน ตองทาอยางไร

ทมบรหารสถานการณ (AIG Data Breach Coach)

28

บรษทท�ปรกษากฎหมาย

(Legal Advisor)

สายดวน 24 ช �วโมง ทกวน ในกรณเกดเหตการณฉกเฉนจากการละเมดขอมล

(24 / 7 Hotline for Direct Access to expertsof Legal, IT and PR Experts in the event of Data Crisis)

ผเช�ยวชาญดานการส�อสารองคกร

(Public Relations /Reputational Damage)

ผเช�ยวชาญดาน IT

(IT/Forensic specialist)

THANK YOUFriday 9th August 2019

Surachai SiriborvornratanakulAVP, Head of Financial Lines ThailandSurachai.Siriborvornratanakul@AIG.comTel : 02-649-1411, 083-0955-888