The Study on Willingness to Pay for Cyber Insurance in Thailand

Abstract

In modern times, the growing concern of cyberattacks has emerged as a significant issue for businesses due to their growing dependence on digital technology for their everyday operations. Cybercriminals target vulnerable individuals and organizations, including critical infrastructure systems, resulting in potential disruptions and even fatalities. To enhance Thailand's competitiveness and instill trust in digital technologies, the government has implemented digital economy development policies, and the two digital lawsuit included the Cybersecurity Act, and the Personal Data Protection Act. Among various cybersecurity practices, cyber insurance stands out as an effective method to transfer risks to a third party, but its complexity in pricing and coverage considerations makes it relatively unfamiliar in the Thai market, particularly among Critical Information Infrastructure (CII) organizations.

This study aimed to gain valuable insights into the decision-making process and willingness to pay for cyber insurance among CII organizations in Thailand. To fulfill the research objective, the Contingent Valuation Method (CVM) was utilized in this study. The CVM is a well-established technique used to evaluate the economic worth of non-market goods, including cyber insurance. By utilizing this method, the researchers sought to understand the significant factors that influence CII organizations' purchasing decisions and their willingness to invest in cyber insurance coverage.

In light of the circumstances, cyber insurance has emerged as an effective method among various cybersecurity practices to mitigate risks by transferring them to a third-party insurer. This approach provides a much-needed safety net for organizations facing potential financial losses and reputational damage resulting from cyber incidents. However, despite its potential benefits, cyber insurance remains relatively unfamiliar in the Thai market, particularly among Critical Information Infrastructure (CII) organizations. The complexity involved in pricing and coverage considerations makes it a challenging product for these organizations to adopt.

To ensure a comprehensive analysis, the study integrated the Spike model, which effectively addresses situations where organizations might reject the idea of investing in cyber insurance. This approach allows for a more accurate estimation of the willingness to pay among potential adopters of cyber insurance, providing a deeper understanding of their risk management priorities.

The study's findings revealed a noteworthy willingness to pay for cyber insurance among CII organizations in Thailand. As determined by the Spike model, the average willingness to pay was found to be THB 207,455 (USD 6,694) per year. Additionally, the research highlighted the crucial role of understanding cyber insurance and the level of professionalism among key individuals within these organizations, particularly the chief cybersecurity officer. The willingness to pay was significantly influenced by their knowledge and expertise, with monetary values of THB 287,300 (USD 9,267) and THB 204,312 (USD 6,592) per year, respectively.

These findings hold valuable policy implications for the government and insurance companies, shedding light on the importance of the willingness to pay as determined by the Spike model. Furthermore, the study underscores the significance of raising awareness about cyber insurance and the need for qualified cybersecurity professionals in driving the demand for cyber insurance within the Thai market. Ultimately, the research aims to contribute to a more secure and resilient digital ecosystem in Thailand, where organizations can confidently embrace digital technologies while safeguarding their interests against cyber threats with cyber risk mitigation measures.

최근, 일상 업무에서 디지털 기술에 대한 의존도가 높아짐에 따라, 증가하는 사이버 공격 위협에 대한 기업과 기관들의 관심이 높아지고 있다. 사이버 범죄는, 사이버 공격 위협에 취약한 개인과 조직, 인프라 시스템을 표적으로 하여, 잠재적인 혼란을 야기하고, 인명 피해를 초래하기도 한다. 이에 따라 태국 정부는, 디지털 보안에 대한 신뢰를 보장하여 태국의 국가 경쟁력을 강화하고자, 디지털 경제 개발 정책, 사이버 보안 법 및 개인 데이터 보호법 등을 시행하고 있다. 그리고 태국의 시장에서도, 다양한 사이버 보안 방법 중에서, 사이버 공격 위협을 제 3자에게 이전하는 사이버 보험을 효과적인 대안으로 도입하고자 한다. 하지만, 사이버 보험의 가격 및 적용 범위 등 관련된 고려 사항의 복잡성으로 인해, 태국 시장, 특히, 중요 정보 인프라 (CII, Critical Information Infrastructure) 기관에서의 도입이 쉽지 않다.

본 연구는, 태국의 CII 기관에서 사이버 보험에 대한 의사결정 프로세스 및 지불 의사(willingness to pay)를 분석하여, 관련 의사결정에 대한 혜안을 제공하고자 한다. 이를 위해, 사이버 보험과 같은 비시장 상품의 경제적 가치를 평가하는 조건부 평가 방법(CVM)을 활용하였다. 연구를 통해, CII 기관의 구매 의사 결정과, 사이버 보험에 대한 투자에 영향을 미치는 중요한 요인들을 도출하였다.

사이버 보험은, 다양한 사이버 보안 방법 중에서, 사이버 공격 위협을 제 3자인 보험사로 이전하여 위험을 완화하는 효과적인 방법으로 시장에 등장하였다. 그리고, 사이버 보험은 사이버 사고로 인한 잠재적인 재정적 손실과 평판 훼손에 직면한 기관에 절실하게 필요한 안전망을 제공한다. 그러나 여러가지 보험의 이점에도 불구하고, 사이버 보험은 태국 시장, 특히 CII 기관에서 활용되는 사례가 생소하다. 이는 사이버 보험의 적절한 가격 및 적용 범위와 관련한 고려사항이 복잡하여, CII 기관 등에서의 채택 결정이 어렵기 때문이다.

포괄적인 분석을 위해 본 연구에서는, 조직이 사이버 보험에 대한 투자를 거부할 수 있는 상황을 효과적으로 해결하는 spike 모델을 통합하였다. 이러한 접근 방식을 통해, 사이버 보험의 잠재적 채택자들의 지불 의사를 보다 정확하게 추정함으로써, 위험 관리 우선 순위를 심도 있게 확인할 수 있었다.

연구 결과에서, 태국의 CII 기관에서 사이버 보험에 대한 지불 의사가 유의미하게 나타났다. Spike 모형에 따르면, 평균 지불 의사는 연간 THB 207,455(USD 6,694)으로 확인된다. 또한 본 연구를 통해, 사이버 보험 관련 의사결정에, 기관 내 주요 구성원, 특히 최고 사이버 보안 책임자의 사이버 보험에 대한 이해와 전문성 수준이 중요함을 확인하였다. 지불 의사 또한 그들의 지식과 전문성으로부터 큰 영향을 받았으며. 각각 연간 THB 287,300(USD 9,267) 및 THB 204,312(USD 6,592)의 금전적 가치가 있었다.

본 연구의 결과는 스파이크 모델에 의해 도출된 지불 의사를 근거로, 정부와 보험사에 중요한 정책적 시사점을 제공한다. 또한, 태국 시장 내에서 사이버 보험에 대한 수요를 촉진하는데 있어, 사이버 보험에 대한 인식 제고의 중요성과, 자격을 갖춘 사이버 보안 전문가의 필요성을 강조하였다. 궁극적으로 본 연구는, 기관들이 사이버 위험을 완화시키는 조치를 통해, 사이버 위협으로부터 조직의 이익을 보호하면서 안전하게 디지털 기술을 도입하여, 태국의 보다 안전하고 탄력적인 디지털 생태계 조성에 기여하는 것을 목표로 한다.