คปภ. ยกระดับมาตรการป้องกันภัยทางไซเบอร์ • กำชับภาคธุรกิจประกันภัยเฝ้าระวังและรายงานสถานการณ์ผ่านช่องทาง Thai Insurance Computer Emergency Response Team (TiCERT)
ดร.สุทธิพล ทวีชัยการ เลขาธิการ คณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เปิดเผยว่าปัจจุบัน ผลจากพัฒนาการของเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว กลายเป็นโอกาสและความท้าทายของทุกอุตสาหกรรม รวมถึงอุตสาหกรรมประกันภัยด้วยเช่นกันที่ต้องเร่งปรับตัวเพื่อให้สามารถสร้างสรรค์นวัตกรรมใหม่ๆ และก้าวทันการเปลี่ยนแปลงของเทคโนโลยีและความต้องการของลูกค้า อย่างไรก็ตามยังมีความเสี่ยงจากภัยคุกคามใหม่ๆ ที่อาจเกิดขึ้นได้ โดยเฉพาะอาชญากรรมทางไซเบอร์ หรือ ภัยคุกคามทางไซเบอร์ ทุกภาคส่วนจึงต้องอีกมีการเฝ้าระวังความเสี่ยงและวางมาตรการรับมือกับการเปลี่ยนแปลงของเทคโนโลยีอย่างรัดกุม โดยเฉพาะอย่างยิ่งการกำกับดูแลเรื่องการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk Management) ซึ่งภัยคุกคามทางไซเบอร์จะกลายเป็นสิ่งที่ทุกๆ อุตสาหกรรมจะไม่สามารถมองข้ามได้เนื่องจากมีการพัฒนารูปแบบขึ้นตามยุคสมัยส่งผลกระทบที่รุนแรงในวงกว้าง ดังจะเห็นตัวอย่างได้จากกรณีข้อมูลรั่วไหล (Data breach) ที่เพิ่งเกิดขึ้นของทางธนาคารพาณิชย์ขนาดใหญ่
สำนักงาน คปภ. ตระหนักถึงบริบทใหม่ของการเปลี่ยนแปลงต่างๆ ที่เกิดขึ้นในยุคดิจิทัล ซึ่งส่งผลกระทบต่อการดำเนินธุรกิจของบริษัทประกันภัยไม่ว่าจะเป็นพฤติกรรมของผู้บริโภค ความผันผวนของสภาวะเศรษฐกิจและความก้าวหน้าทางเทคโนโลยีสารสนเทศ ซึ่งการจะขับเคลื่อนองค์กรเปลี่ยนผ่านสู่ยุคดิจิทัลนั้น มีหลายปัจจัยที่เข้ามามีผลกระทบทั้งในด้านบวกและด้านลบ ซึ่งการเปลี่ยนแปลงของเทคโนโลยีอาจจะมองว่าเป็นโอกาสในการพัฒนาผลิตภัณฑ์รูปแบบใหม่ๆ เพิ่มช่องทางการให้บริการลูกค้าที่สะดวกรวดเร็วมากขึ้น ซึ่งเมื่อมีโอกาสในการทำธุรกิจที่เปิดกว้างขึ้น ความเสี่ยงที่มาพร้อมกับการนำเทคโนโลยีเข้ามาใช้ก็ยิ่งมีเพิ่มมากขึ้นเช่นกัน และยิ่งบริษัทใดนำเทคโนโลยีมาใช้ในการบริการลูกค้า ผ่านช่องทางอินเตอร์เน็ตหรือช่องทางออนไลน์ หรือผ่าน application ก็ต้องให้ความสำคัญในเรื่องของการรักษาความมั่นคงปลอดภัยของระบบที่ให้บริการเพิ่มมากขึ้น นอกเหนือไปจากระบบเทคโนโลยีที่ใช้ในการสนับสนุนงานภายในบริษัท ทั้งนี้ เพื่อลดโอกาสและความเสียหายจากการถูกโจมตีทางไซเบอร์
ดังนั้น เพื่อส่งเสริมการขับเคลื่อนธุรกิจประกันภัยเปลี่ยนผ่านสู่ยุคดิจิทัล และเตรียมพร้อมรับมือกับภัยคุกคามด้านไซเบอร์ต่อธุรกิจประกันภัยในส่วนของสำนักงาน คปภ. ได้ดำเนินมาตรการขับเคลื่อนอย่างต่อเนื่องครอบคลุมหลายมิติ ทั้งด้านกฎระเบียบและแนวปฏิบัติ : ได้มีประกาศ คปภ. เรื่อง หลักเกณฑ์วิธีการออกกรมธรรม์ประกันภัย ว่าด้วยการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัยและการชดใช้เงิน ตามสัญญาประกันชีวิต/ ค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. 2560 เพื่อรองรับการทำธุรกรรมทางอิเล็กทรอนิกส์ของบริษัทประกันภัย และออกแนวทางปฏิบัติสำหรับรักษาความปลอดภัยและควบคุมความเสี่ยงของระบบเทคโนโลยีสารสนเทศ (Information Technology Risk Management) และความเสี่ยงด้านภัยคุกคามทางไซเบอร์ (Cybersecurity) เพื่อช่วยให้บริษัทประกันภัยสามารถนำไปประยุกต์ใช้ในการกำกับดูแลและบริหารจัดการระบบเทคโนโลยีสารสนเทศ ได้อย่างเหมาะสมกับขนาดและความซับซ้อนของระบบเทคโนโลยีสารสนเทศของบริษัทประกันภัยเองสามารถนำไปใช้ในการกำหนดมาตรการควบคุมความเสี่ยงของตนเองได้อย่างมีประสิทธิภาพ รวมถึงได้ออกคู่มือการตรวจสอบด้านเทคโนโลยีสารสนเทศ ตามแนวทางการกำกับดูแลตามความเสี่ยง (IT Audit Manual – Risk Based Supervision) เพื่อเป็นแนวทางในการกำกับดูแล ตรวจสอบ และติดตามการใช้เทคโนโลยีสารสนเทศของบริษัทประกันภัย และการสร้างความพร้อมแก่ธุรกิจประกันภัยในการป้องกันความเสี่ยงของระบบเทคโนโลยีสารสนเทศ และความเสี่ยงด้านภัยคุกคามทางไซเบอร์ โดยสำนักงาน คปภ. ได้ร่วมกับสมาคมประกันชีวิตไทย และสมาคมประกันวินาศภัยไทย จัดตั้ง TiCERT (Thai insurance Computer Emergency Response Team) เพื่อเป็นศูนย์กลางในการประสานงานกับบริษัทประกันภัย โดยมีหน้าที่หลักเพื่อตอบสนองและจัดการกับเหตุการณ์ความปลอดภัยคอมพิวเตอร์ (incident response) ที่เกิดขึ้นกับธุรกิจประกันภัยได้อย่างทันท่วงที รวมถึงสร้างความร่วมมือกับหน่วยงานที่เกี่ยวข้องในภาคการเงินเพื่อแลกเปลี่ยนข้อมูลที่เกี่ยวข้องกับการรักษาความปลอดภัยด้านไซเบอร์ โดยล่าสุดสำนักงาน คปภ. ได้มีหนังสือขอความร่วมมือในการเฝ้าระวังภัยคุกคามไซเบอร์ไปยังภาคธุรกิจประกันภัย ผ่านทั้งสมาคมประกันภัยชีวิตไทย และสมาคมประกันวินาศภัยไทย เนื่องจากสถานการณ์การแพร่ระบาดของภัยคุกคามทางไซเบอร์นั้น ทั้งสถาบันการเงิน และภาคอุตสาหกรรมประกันภัยต่างก็มีความเสี่ยงในการถูกโจมตี โดยสำนักงาน คปภ. ได้ขอให้ภาคธุรกิจประกันภัยเฝ้าระวังและเตรียมตัวป้องกัน และการรับมือกับภัยคุกคามทางไซเบอร์อย่างใกล้ชิด รวมทั้งให้มีการประชาสัมพันธ์ให้พนักงานและประชาชนทราบแนวทางป้องกันที่เหมาะสม ตลอดจนรายงานสถานการณ์เฝ้าระวังภัยคุกคามทางไซเบอร์ให้สำนักงาน คปภ. ทราบเป็นระยะๆ ผ่านช่องทาง TiCERT (https://ticert.oic.or.th) เพื่อบูรณาการความร่วมมือในการรับมือและแก้ไขปัญหา
“การที่จะสร้างความพร้อมให้ธุรกิจประกันภัยสามารถรับมือความเสี่ยงใหม่ๆ ของระบบเทคโนโลยีสารสนเทศ และความเสี่ยงด้านภัยคุกคามทางไซเบอร์อย่างประสบผลสำเร็จได้นั้น ต้องเกิดจากการที่ทุกภาคส่วนของอุตสาหกรรมประกันภัยตระหนักและเห็นความสำคัญในเรื่องดังกล่าว โดยต้องอาศัยแรงขับเคลื่อนจากภายในให้มีการนำมาตรการรักษาความปลอดภัยทางเทคโนโลยีสารสนเทศไปปฏิบัติโดยทั่วทั้งองค์กร อีกทั้งยังต้องร่วมรับผิดชอบในการสร้างความมั่นใจแก่ผู้มีส่วนได้เสียว่าบริษัทมีระบบและหน่วยงานบริหารความเสี่ยงและควบคุมภายในที่เหมาะสม” เลขาธิการ คปภ. กล่าวในตอนท้าย