ทำประกันแต่ 'ไม่ได้รับประกัน' ว่าจะปลอดภัย
การตกเป็นเหยื่อของภัยคุกคามส่งผลต่อความเชื่อใจของลูกค้า
ท่านผู้อ่านเคยขับรถยนต์ที่ไม่ได้ทำประกันไว้ไหมครับ แน่นอนว่าเราจะต้องรู้สึกกังวลจนทำให้เราขับรถคันนั้นอย่างระมัดระวังมากกว่าปกติ แต่กลับกันถ้าเราทำประกันรถคันนั้นไว้แล้วก็จะขับได้อย่างสบายใจ ดังนั้นระดับความกังวลเรื่องความปลอดภัยระหว่างผู้ที่ขับรถมีประกันกับผู้ที่ขับรถไม่มีประกันย่อมต่างกัน
การทำประกันภัยไซเบอร์ (Cyber Insurance) ก็เช่นกัน เมื่อองค์กรใดไม่ได้ทำประกันไว้ก็จะยิ่งต้องพยายามพัฒนาระบบ Cyber Security ขององค์กรให้แข็งแกร่งเพื่อป้องกันการจู่โจมจากภัยไซเบอร์
เพราะหากเกิดเหตุองค์กรต้องรับมือกับความเสียหายที่เกิดขึ้นอย่างโดดเดี่ยว ไม่มีบริษัทประกันมาช่วยบรรเทาความเสียหายใดๆ แต่ถ้าองค์กรไหนทำประกันภัยไซเบอร์ไว้ก็คงเบาใจมากกว่า มีความสบายใจมากกว่า และนั่นอาจทำให้เกิดความไม่รอบคอบ ไม่เข้มงวดในการพัฒนาเตรียมพร้อมระบบ Cyber Security ให้แข็งแกร่งมากพอ
นี่จึงเป็นที่มาของผลการวิจัยล่าสุดจากสหราชอาณาจักรที่พบว่า การเพิ่มขึ้นของการประกันภัยไซเบอร์นั้น “ล้มเหลว” ในการส่งเสริมแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดีให้เกิดขึ้นในกลุ่มธุรกิจต่างๆที่ได้ทำประกันภัยไซเบอร์ไว้ โดยเฉพาะอย่างยิ่งสำหรับการระบาดของมัลแวร์เรียกค่าไถ่ (Ransomware)
ซึ่งหากองค์กรต่างๆที่มีประกันภัยไซเบอร์เกิดตกเป็นเหยื่อของ Ransomware พวกเขาจะมีทางเลือกอยู่ 3 ทางด้วยกันคือ หนึ่งยอมจ่ายเงินค่าไถ่ สองทำการกู้คืนข้อมูลจากระบบสำรองข้อมูล และสามสร้างระบบขึ้นมาใหม่ทั้งหมด
ถ้าพิจารณาจากทั้งสามทางเลือกแล้วบริษัทประกันจะต้องเลือกทางที่เกิดค่าเสียหายน้อยที่สุด นั่นก็คือการจ่ายเงินค่าไถ่ที่เปรียบเสมือนการเพิ่มเชื้อเพลิงให้กับกองไฟ โดยการกระตุ้นให้อาชญากรไซเบอร์เลือกโจมตีด้วย Ransomware เพราะเมื่อโจมตีสำเร็จจนเหยื่อยอมจ่ายค่าไถ่ก็จะทำให้แฮกเกอร์มีเงินทุนไปขยายขีดความสามารถของพวกเขาได้ รวมไปถึงมีเงินทุนไปจ้างแฮกเกอร์เก่งๆที่มีพรสวรรค์มาร่วมทีมเพื่อก่ออาชญากรรมทางไซเบอร์และกลับมาจู่โจมองค์กรต่างๆเพื่อเรียกเงินค่าไถ่ใหม่
ในความเป็นจริงองค์กรหลายแห่งที่ซื้อประกันภัยไซเบอร์มักจะมองว่า ประกันภัยเป็นเครื่องมือสำหรับเพิ่มความยืดหยุ่นต่อการถูกโจมตีทางไซเบอร์มากกว่าเครื่องมือลดความเสี่ยง มีผลการวิจัยที่อ้างว่า 80% ขององค์กรที่ยอมจ่ายค่าไถ่ต้องตกเป็นเหยื่อของ Ransomware อีกครั้งในหลายๆเดือนต่อมา ซึ่งมักจะมาจากแฮกเกอร์กลุ่มเดิม
การทำประกันเป็นการทำเพื่อให้เกิดความสบายใจ ไม่ใช่ทำเพื่อป้องกันภัยคุกคาม เมื่อเกิดความเสียหายแล้วประกันที่ได้ทำไว้มิอาจกู้คืนสิ่งที่เสียหายแล้วให้กลับมาเป็นดังเดิมได้ เช่น ข้อมูลของพันธมิตร ของลูกค้า หรือขององค์กรเอง ไม่เพียงเท่านั้นชื่อเสียงที่องค์กรสั่งสมมาเป็นเวลานานก็เป็นสิ่งที่ไม่สามารถกู้คืนกลับมาได้ การตกเป็นเหยื่อของภัยคุกคามย่อมส่งผลต่อความไว้เนื้อเชื่อใจของลูกค้า
ดังนั้น ผมขอแนะนำให้องค์กรโฟกัสให้ถูกทาง นั่นก็คือการไม่ตกเป็นเหยื่อของภัยคุกคามทางไซเบอร์ทุกรูปแบบ ซึ่งวิธีที่ดีที่สุดคือการสร้างระบบ Cyber Security ที่ก้าวล้ำกว่าภัยคุกคาม ครอบคลุมทุกภาคส่วนขององค์กรครับ