cyber enterprise risk insurance management · cyber enterprise risk insurance management friday 9th...
TRANSCRIPT
Cyber Enterprise Risk Insurance ManagementFriday 9th August 2019
Surachai SiriborvornratanakulAVP, Head of Financial Lines [email protected] : 02-649-1411, 083-0955-888
หวขอในการสนทนา
� ความเส�ยงภยขององคกร
� การบรหารจดการความเส�ยงดวยกรมธรรมประกนภย
� ความคมครอง กรมธรรมประกนภยไซเบอร
� ถาม-ตอบ
อพเดทเหตการณ การละเมดขอมลท �วโลก
Credit : https://www.tenable.com/blog/top-5-cybersecurity-priorities-for-2019-ponemon-study
อพเดทเหตการณ การละเมดขอมลท �วโลก
Credit : https://www.tenable.com/blog/top-5-cybersecurity-priorities-for-2019-ponemon-study
กรกฎาคม 2562 : Capital One ไดประกาศเหตการณถกเขาถงขอมลผใชกวา
106 ลานรายโดยไมไดรบอนญาต
เมษายน 2562 : Toyota ถกแฮกขอมลลกคากวา 3 ลานรายเส�ยงร �วไหล
https://www.techtalkthai.com/capital-one-annouced-data-breach-effect-over-100-millions-customer/https://www.techtalkthai.com/toyota-subsidies-has-been-hacked/
อพเดทเหตการณ การละเมดขอมลท �วโลก
พฤษภาคม 2562 : เกดเหต Data Breach กบรานคาออนไลนของ UNIQLO และ GU คาดมเหย�อมากกวา 460,000 ราย
https://www.techtalkthai.com/uniqlo-and-gu-online-store-user-suffer-from-data-breach/https://www.straitstimes.com/asia/east-asia/uniqlo-says-460000-online-accounts-accessed-in-japan-hack
https://www.techtalkthai.com/norsk-hydro-aluminium-manufacturer-gets-ransomware-attack/https://www.thechemicalengineer.com/news/norsk-hydro-hit-by-cyber-attack/
มนาคม 2562 : ผผลตอะลมเนยมยกษใหญของนอรเวย ปดสาขาหลายแหงท �ว
โลก หลงถก Ransomware โจมต พนกงานถกหามเช�อมตอเครอขาย
คอมพวเตอร
อพเดทเหตการณ การละเมดขอมลท �วโลก
เมษายน 2562 :
� Facebook อาจถกปรบสงถง 160,000 ลานบาทจากการละเมด
ความเปนสวนบคคล ของผใช
� ไมใชแคหลกหมWน!! Facebook เผลอเกบรหสผานผใช
Instagram หลายลานคนแบบ Plaintext
� พบขอมลผใช Facebook กวา 540 ลานรายบน AWS Server รWว
สสาธารณะ
กนยายน 2561 :
� Facebook เผยถกโจมตชองโหว บญชผใชงานอยางนอย 50
ลานรายไดรบผลกระทบ
https://www.techtalkthai.com/facebook-stored-millions-of-instagram-users-passwords-in-plaintext/https://www.techtalkthai.com/facebook-could-be-fined-up-to-160000-million-over-privacy-violation/
https://www.techtalkthai.com/facebook-vulnerability-affected-at-least-50-million-users/https://www.techtalkthai.com/540-million-facebook-user-records-expose-online/
อพเดทเหตการณ การละเมดขอมลท �วโลก
อพเดทเหตการณ การละเมดขอมลท �วโลก
Credit : https://marknehpets.com/cathay-pacific-airline-hack-10-million-passenger-details-stolen/https://www.itnews.com.au/news/british-airways-suffers-massive-payment-data-breach-512185
ตลาคม 2561 สายการบนคาเธย แปซฟก ถกแฮกขอมล ผโดยสาร 9.4 ลานคน ท gงขอมลสวนตว รายละเอยดการเดนทาง หมายเลขพาสฟอรต บตรประชาชน เหตการณเกดต gงแต มนาคม 2561
กนยายน 2561 บรตช แอรเวย ถกแฮก ขอมลสวนบคคล และ บตรเครดต ของ ผโดยสาร 380,000 คน ในชวงระหวางวนทW 25 สงหาคม ถง 5 กนยายน 2561 ผานทางเวบไซท และ โมบาย แอพพลเคชน
อพเดทเหตการณ การละเมดขอมลท �วโลก
พฤศจกายน 2561 ขอมลของแขกทWเขาพกตลอดชวง 4 ปทWผานมา จานวน 500 ลานรายชWอ ภายใตเครอ Marriott ไดถกแฮกเกอรนาขอมลออกไป
Credit : https://www.washingtonpost.com/business/2018/11/30/marriott-discloses-massive-data-breach-impacting-million-guests/
Credit : http://www.businessinsurance.com/article/00010101/NEWS06/309149975/Home-Depot-has-$105-million-in-cyber-insurance-to-cover-data-breach
Home Depot to Pay Banks $25 Million in Data Breach Settlement
Home Depot has also paid at least $134.5 million in compensation to consortiums made up of Visa, MasterCard, and various banks.
Home Depot ขอมลบตรเครดต และ อเมล กวา 50 ลานรายร �วไหล ในป 2014
อพเดทเหตการณ การละเมดขอมลท �วโลก
Credit : https://www.techtalkthai.com/t-mobile-data-breach-affects-2-million-customers/https://www.techtalkthai.com/coca-cola-data-breach/
https://www.cnet.com/news/nasa-reveals-data-breach-in-internal-memo/
20 สงหาคม 2561 ขอมลลกคา 2 ลานรายรWวออกจากระบบ เมWอวนทW ไดแก ชWอ, นามสกล, รหสไปรษณย, เบอรโทรศพท, อเมล, เลขประจาบญช และประเภทของบญชใชงาน
พฤษภาคม 2561 บรษท Coca-Cola ออกแถลงการณเกดเหต Data Breach หลงพบวามอดตพนกงานแอบเกบขอมลพนกงานอWนกวา 8,000 คนลงบน External Harddrive สวนตว
19 ธนวาคม 2561 องคการ NASA แถลงการณเหตการณ การละเมดขอมล ของพนกงาน มากถง 17,300 ราย หลงพบวามเซรฟเวอรไมนอยกวา 1 เครWองของเอเจนซWถกแฮก พบเหตการณเมWอวนทW 23 ตลาคม ขอมลทWรWวไหลต gงแต กรกฎาคม 2006 ถง ตลาคม 2018
อพเดทเหตการณ การละเมดขอมลท �วโลก
Credit : https://www.techtalkthai.com/orbitz-data-breach-leads-to-880000-payment-card-leakage/https://www.techtalkthai.com/adidas-announces-data-breach/
https://www.techtalkthai.com/singapore-largest-healthcare-group-hacked/
มถนายน 2561 Adidas เกดเหต Data Breach ลกคาหลายลานคนไดรบผลกระทบ
กรกฎาคม 2561 เครอสาธารณสขสงคโปรถกแฮก ขอมล 1 ใน 3 ของประชาชนถกขโมย
มนาคม 2561 Orbitz เครอ Expedia ถกแฮก ขอมลบตรเครดตเกอบ 880,000 ใบรWวสสาธารณะ
เมษายน 2562 : สถตชp Ransomware ท�มงโจมตองคกรธรกจเพ�มขpนกวา 500%
https://www.techtalkthai.com/malwarebytes-report-ransomware-target-business-is-huge-increase/
https://www.techtalkthai.com/cyberattacks-against-manufacturing-sector-have-double-in-last-6-months/https://www.zdnet.com/article/cyberattacks-against-industrial-targets-double-over-the-last-6-months/
จากผลสารวจของ IBM การโจมตไซเบอรบนอตสาหกรรมการพลตเพ�มขpน 2 เทาในชวง 6 เดอนแรก
� Phishing Emails, การขโมยรหสผานสาหรบเขาถงระบบ
ภายใน, โจมตผานระบบของ 3rd Parties
� เฉล�ย 12,000 เคร�อง Workstations ท�ไดรบความเสยหาย
� 512 ช �วโมงหรอมากกวาในการจดการกบสถานการณ
� 1,200 ช �วโมง ระยะเวลาท�ใชในการฟp นฟระบบ
� $3.92 ลานความเสยหายโดยเฉล�ย
� $239 ลาน สาหรบองคกรขนาดใหญ
ปจจยสาคญท�เพ�มความตองการกรมธรรมไซเบอร
� การโจมตทางไซเบอรอยางตอเน�อง (Big wave of Cyber Attack)
� กฎหมายคมครองขอมลสวนบคคล(Personal Data Protection Act)
� การฟองรองแบบกลม (Class Action Lawsuit)
� ประกนภยท�มอยไมครอบคลมความเสยหาย (No coverage under current insurance
policies)
พระราชบญญต คมครองขอมลสวนบคคล พ.ศ. 2562
� มคณะกรรมการคมครองขอมลสวนบคคล
� ผควบคมขอมลสวนบคคล และ ผประมวลผล
ขอมล
� มาตรา 37 แจงภายใน 72 ช �วโมง
� จดใหม เจาหนาท�คมครองขอมลสวนบคคล
ตามมาตรา 41
� มาตรา 76 รวมมอสงขอมลเอกสารหลกฐาน
ใหกบคณะกรรมการ
� มาตรา 77 และ 78 โทษทางแพง ยกเวน เหต
สดวสย หรอเกดจากตวเจาของขอมลเอง
หรอ ตามคาส �งเจาหนาท�
� มาตรา 79-81 โทษทางอาญา
� มาตรา 82-90 โทษทางปกครอง
http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
https://www.thaigov.go.th/news/contents/details/19083
ประกนภยไซเบอร คอ อะไร?
ความเสยหายของบคคลภายนอกจากการ
ละเมดขอมล (Third Party Liability)
คาใชจายของผประกนภยจากเหตการณทางไซเบอร(First party Expenses)
ไมคมครอง ถง เงน หรอ ทรพยสนของผเอาประกนภย จากเหตการณทางไซเบอร
ความคมครองกรมธรรมอาชญากรรม (Crime)
คมครองการทจรตท�เกดจากท pง พนกงานของบรษท และ
บคคลภายนอก รวมถง Hacker
คมครองเงน หรอ ทรพยสนของผ เอาประกนภย
ไมคมครอง
� สกลเงนดจทลตางๆ
� ขอมลท�ถกขโมย
� คาใชจายท�เกดขpนจากการถก hacker เขาสระบบ
� พนกงานถกหลอกใหโอนเงนไปยงบญชอ�น ไมวาจะเปนการปลอมแปลงเลขบญช หรอ การปลอมเปนผบรหาร
กรมธรรม
CYBER
ซpอเพ�มเตมความ
คมครอง Social
Engineering
ภายใตกรมธรรม
Crime
Surachai SiriborvornratanakulAVP, Head of Financial Lines [email protected] : 02-649-1411, 083-0955-888
สงหาคม 2562
ความคมครองกรมธรรมประกนภยไซเบอร
AIG ACADEMYSharing Knowledge, Building Value
A : Data Liability
คมครองความเสยหายท�เกดขpนตอบคคลภายนอก (3rd party)
รวมถงคาตอสคด
ความคมครองกรมธรรม
B : Data Administrative Procedures
คมครองคาใชจายท�เกดขpนของผเอาประกนภยจากการสบสวนของ
หนวยงานรฐ (1st party) รวมถงคาปรบจากการละเมดขอมล
C : Repair of Reputation
คมครองคาใชจายท�เกดขpนของผเอาประกนภยในการกอบกช�อเสยง (1st party)
C1 : Repair of the Policyholder Reputation
(การกอบกช Wอเสยงบรษท)
C2 : Repair of Individual Reputation
(การกอบกช Wอเสยงของบคคล)
C3 : Notification & Monitoring
(การแจงเตอนผไดรบผลกระทบและการเฝาระวง)
C4 : Electronic Data
(การจดการขอมลทางอเลคทรอนคส)
C5 : Pro-active Forensic Services
(บรการนตวทยาศาสตรเชงรก)
ความคมครองกรมธรรม
ความคมครองกรมธรรมเพ�มเตม
Media Content(ความรบผดตอเนpอหาของส�อ)
3rd party
Cyber Extortion(ความเสยหายจากการคกคามทางไซเบอร)
1st party
Network Interruption
(ความเสยหายจากการหยดชะงกของระบบ)
1st party
คมครองความเสยหายตอบคคลภายนอกอนเกดจากการกระทา ความผดพลาด การแสดงขอความผดพลาด ขอความทWชกนาใหเกดการเขาใจผด หรอ การละเวนทWเกWยวของกบ การจดเกบ การสราง การเผยแพร การพมพ การกระจายเสยง หรอ การกระจายสWอวสด โดยหรอในนามผเอาประกนภย
คมครองความเสยหายจากการถกคกคามตอระบบคอมพวเตอรทWผเอาประกนภยไดจายไปเนWองจากการคกคามทางดานความปลอดภย (Security Treat)
คมครองการสญเสยรายไดและคาใชจาย ทWเปนผลจากการหยดชะงกของระบบเครอขายของผ เอาประกนภย ภายหลงจากระยะเวลารอคอย และ เปนผลมาจากการลมเหลวของระบบความปลอดภย เทานgน
ขอยกเวนหลกของกรมธรรมไซเบอร
ตวอยางขอยกเวนหลกท�สาคญ (Exclusions)
Bodily Injury and Property Damage (การบาดเจบทางรางกายและความเสยหายตอทรพยสน)
Infrastructure or Security Failure (ความลมเหลวของระบบพgนฐาน)
Misdeeds (การกระทาการทจรต) Directors, Compliance Officer General Counsel and Data Protection Officer
ปจจยสาหรบการพจารณารบประกนภย
� ประเภทธรกจ
� มาตรการรกษาความปลอดภย
� มธรกรรมผานชองทางออนไลนหรอไม
� ประเภทขอมลท�เกบรกษา
� จานวนและภมลาเนาของลกคา
� จานวนเงนเอาประกนภย และ ความรบผดชอบ
สวนแรก
� ฯลฯ
คาถามท�พบบอย
• ถาโดนแฮกเงน หรอถกหลอกใหโอนเงน กรมธรรมใดท�ใหความคมครอง
• ถาเปนเพยงขอสงสยวามเหตการณละเมดขอมลขpนสามารถแจงเคลมประกนภยไดหรอไม
• กรณท�ไมมขอมลร �วไหล แตถกโจมตทาใหระบบใชงานไมได กรมธรรมมคมครองหรอไม
• ทนประกนภยท�เหมาะสมควรจะทาท�เทาไร
• หากเกดเหตการณการโจมตทางไซเบอรเกดขpน ตองทาอยางไร
ทมบรหารสถานการณ (AIG Data Breach Coach)
28
บรษทท�ปรกษากฎหมาย
(Legal Advisor)
สายดวน 24 ช �วโมง ทกวน ในกรณเกดเหตการณฉกเฉนจากการละเมดขอมล
(24 / 7 Hotline for Direct Access to expertsof Legal, IT and PR Experts in the event of Data Crisis)
ผเช�ยวชาญดานการส�อสารองคกร
(Public Relations /Reputational Damage)
ผเช�ยวชาญดาน IT
(IT/Forensic specialist)
THANK YOUFriday 9th August 2019
Surachai SiriborvornratanakulAVP, Head of Financial Lines [email protected] : 02-649-1411, 083-0955-888