ชี้1ใน4ของบริษัททั่วโลกถูกละเมิดข้อมูล สูญ20ล.ดอลล่าร์/ชงเปิดหน้าโจรไซเบอร์

วันที่ 21 ตุลาคม 2565 - 15:18 น.

กรุงเทพฯ, 21 ตุลาคม 2565 – PwC เผยรายงานผลสำรวจพบ หนึ่งในสี่ของบริษัททั่วโลกประสบกับการถูกละเมิดข้อมูล (Databreach) ที่สร้างความเสียหายคิดเป็นมูลค่ากว่า 1 ถึง 20 ล้านดอลลาร์สหรัฐ (ราว 38 ถึง 763 ล้านบาท) 1 หรือมากกว่าในช่วงสามปีที่ผ่านมา ขณะที่บริษัทในประเทศไทยส่วนใหญ่ ประสบกับภัยคุกคามจากมัลแวร์เรียกค่าไถ่มากที่สุดและมีแนวโน้มเพิ่มขึ้นตามเทคโนโลยีที่นำมาใช้

ทั้งนี้ รายงานผลสำรวจ 2023 Global Digital Trust Insights ของ PwC รวบรวมความคิดเห็นของผู้บริหารระดับสูงจำนวนกว่า3,500 ราย ใน 65 ประเทศพบว่า อัตราร้อยละของการละเมิดข้อมูลเพิ่มขึ้นเป็นหนึ่งในสามหรือ 34%สำหรับบริษัทที่ตอบแบบสำรวจในทวีปอเมริกาเหนือ ในขณะที่มีเพียง 14% ขององค์กรทั่วโลกที่รายงานว่าไม่พบเหตุการณ์ละเมิดข้อมูลเกิดขึ้นในช่วงระยะเวลาดังกล่าว

แม้ว่าการโจมตีทางไซเบอร์อย่างต่อเนื่องจะสร้างความเสียหายให้แก่ธุรกิจเป็นมูลค่าหลายล้านดอลลาร์สหรัฐ แต่น้อยกว่า 40%ของผู้บริหารที่ตอบแบบสำรวจกล่าวว่าพวกเขาได้ดำเนินการลดความเสี่ยงทางไซเบอร์ให้กับหลายจุดสำคัญของธุรกิจอย่างครบถ้วน เช่น การจัดให้มีการทำงานทางไกลหรือแบบไฮบริด (38% กล่าวว่า มีการจัดการเพื่อลดความเสี่ยงทางไซเบอร์อย่างครบถ้วน) การประยุกต์ใช้ระบบคลาวด์ที่เพิ่มขึ้น(35%) การใช้งานอินเทอร์เน็ตของสรรพสิ่ง (Internet of Things) ที่เพิ่มขึ้น (34%) การปรับระบบห่วงโซ่อุปทานสู่ดิจิทัลที่เพิ่มขึ้น(32%) และระบบปฏิบัติการหลังบ้าน (31%)

สำหรับผู้บริหารฝ่ายปฏิบัติการนั้น ความปลอดภัยทางไซเบอร์ของระบบห่วงโซ่อุปทานยังคงเป็นความกังวลหลักที่สำคัญ โดย 90%ของผู้ตอบแบบสำรวจแสดงความกังวลเกี่ยวกับความสามารถขององค์กรในการต่อต้านการโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อระบบห่วงโซ่อุปทานขณะที่ 56% แสดงความกังวลเป็นอย่างมาก

สนับสนุนให้มีการเปิดเผยข้อมูลอาชญากรรมไซเบอร์ภาคบังคับ

ทั้งนี้ 79% ขององค์กรที่ตอบแบบสำรวจระบุว่าการเปิดเผยข้อมูลอาชญากรรมไซเบอร์ผ่านกลไกภาคบังคับที่สามารถเทียบเคียงได้และสม่ำเสมอถือเป็นสิ่งจำเป็นในการได้รับความไว้วางใจและความเชื่อมั่นจากผู้มีส่วนได้เสีย ขณะที่ 76% กล่าวว่าการเพิ่มการรายงานต่อนักลงทุน จะเป็นประโยชน์ต่อองค์กรและระบบนิเวศทั้งหมด ยิ่งไปกว่านี้ผู้ตอบแบบสำรวจในอัตราร้อยละที่เท่ากันยังเห็นด้วยว่ารัฐบาลควรนำฐานความรู้จากการเปิดเผยข้อมูลทางไซเบอร์ภาคบังคับมาพัฒนาเทคนิคการป้องกันอาชญากรรมไซเบอร์ให้กับภาคเอกชน

แม้ว่าเสียงส่วนใหญ่ของผู้ตอบแบบสำรวจ จะสนับสนุนให้มีการเปิดเผยข้อมูลอาชญากรรมทางไซเบอร์ภาคบังคับที่ชัดเจนแต่กลับมีผู้บริหารน้อยกว่าครึ่ง (42%) ที่มีความมั่นใจอย่างเต็มที่ว่าองค์กรของตนจะสามารถให้ข้อมูลที่ต้องการเกี่ยวกับเนื้อหาและเหตุการณ์สำคัญภายในระยะเวลาการรายงานที่กำหนด นอกจากนี้องค์กรส่วนใหญ่ยังคงมีความลังเลในการแลกเปลี่ยนข้อมูลมากเกินไป โดย 70% กล่าวว่า การแบ่งปันข้อมูลสาธารณะมากขึ้นอาจก่อให้เกิดความเสี่ยงและนำไปสู่การสูญเสียความได้เปรียบในการแข่งขัน

นาย ฌอน จอยซ์ หัวหน้ากลุ่มลูกค้าความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวทั่วโลก บริษัท PwC ประเทศสหรัฐอเมริกากล่าวว่า “การละเมิดข้อมูล ถือเป็นภัยคุกคามที่แพร่หลายในโลกดิจิทัลทุกวันนี้โดยในขณะที่ภัยคุกคามทางไซเบอร์เพิ่มระดับความถี่และความซับซ้อนมากขึ้น  เรื่อยๆ แนวทางแบบองค์รวมด้านความปลอดภัยทางไซเบอร์ ได้กลายมาเป็นภารกิจสำคัญสูงสุดของฝ่ายบริหารและคณะกรรมการส่งผลให้บริษัทต่าง ๆ ต้องเร่งเสริมสร้างความแข็งแกร่งด้านการป้องกันทางไซเบอร์รวมไปถึงหน่วยงานกำกับดูแลที่เพิ่มแรงกดดันให้ภาคเอกชนต้องปรับปรุงความสามารถในการตั้งรับต่อภัยคุกคามและสร้างความไว้วางใจจากสาธารณชน ซึ่งผลสำรวจของเราสะท้อนให้เห็นชัดเจนว่าภาครัฐและเอกชนยังคงต้องร่วมมือกันมากขึ้นเพื่อจัดการกับภัยคุกคามทางไซเบอร์ที่ทวีความซับซ้อน โดยบริษัทต่าง ๆได้เรียกร้องให้มีการแบ่งปันข้อมูล และความโปร่งใสเพิ่มขึ้นรวมไปถึงมีรูปแบบของการเปิดเผยข้อมูลตามข้อกำหนดหรือข้อบังคับของเหตุการณ์ทางไซเบอร์ที่สอดคล้องกัน”

องค์กรส่วนใหญ่ เดินหน้าเพิ่มงบลงทุนด้านความปลอดภัยทางไซเบอร์

รายงานของ PwC พบว่า องค์กรทั่วโลกยังคงเดินหน้าเพิ่มงบลงทุนด้านไซเบอร์อย่างต่อเนื่อง โดย 69%ของผู้บริหารที่ตอบแบบสำรวจกล่าวว่า ได้เพิ่มงบประมาณด้านไซเบอร์ในปีนี้ ขณะที่ 65%มีแผนที่จะขยายการลงทุนในด้านนี้มากขึ้นในปีหน้า ซึ่งสะท้อนให้เห็นถึงความสำคัญของความปลอดภัยทางไซเบอร์ที่ถือเป็นภารกิจสำคัญสูงสุดของการวางแผนตั้งรับ (Resilience planning) ขององค์กร ทั้งนี้ข้อมูลจากรายงานผลสำรวจฉบับนี้ยังชี้ด้วยว่า ภัยพิบัติจากการจู่โจมทางไซเบอร์นั้นถูกจัดอันดับให้เป็นภัยคุกคามที่มีความร้ายแรงกว่าภาวะเศรษฐกิจโลกถดถอย หรือวิกฤตสุขภาพ

นอกจากนี้ ความกังวลเรื่องภัยไซเบอร์ยังได้ขยายวงกว้างไปสู่ทีมบริหารขององค์กร ซึ่งประธานเจ้าหน้าที่บริหาร (Chief ExecutiveOfficer: CEO) ส่วนใหญ่ กำลังวางแผนในการเพิ่มการดำเนินการเพื่อแก้ไขปัญหาความปลอดภัยทางไซเบอร์ในปีหน้า โดย 52%กล่าวว่า พวกเขาจะขับเคลื่อนแผนงานที่สำคัญเพื่อปรับปรุงศักยภาพด้านไซเบอร์ขององค์กร ขณะที่ประธานเจ้าหน้าที่ฝ่ายการเงิน(Chief Financial Officer: CFO) อีกจำนวนมาก ก็มีแผนที่จะเพิ่มการลงทุนในโซลูชั่นด้านเทคโนโลยีไซเบอร์ (39%)กลยุทธ์และการประสานงานกับฝ่ายวิศวกรรมและฝ่ายปฏิบัติงาน (37%)
รวมถึงการเพิ่มพูนทักษะและว่าจ้างผู้มีความชำนาญด้านไซเบอร์ (36%)

ด้วยเหตุนี้ ความปลอดภัยทางไซเบอร์ จึงเป็นวาระสำคัญขององค์กร โดยความเสียหายที่เกิดขึ้นจากการละเมิดข้อมูลนั้นมีมูลค่ามากกว่าความเสียหายทางการเงินโดยตรง ซึ่งจากข้อมูลของรายงานผลสำรวจพบว่าระดับของความเสียหายที่องค์กรประสบจากการถูกละเมิดทางไซเบอร์ หรือข้อมูลส่วนบุคคลในช่วงสามปีที่ผ่านมา หมายรวมถึงการต้องสูญเสียลูกค้า (27%) การสูญเสียข้อมูลลูกค้า (25%) และความเสียหายต่อชื่อเสียงหรือแบรนด์ (23%) ด้วย

นายฌอน กล่าวต่อว่า “แม้ว่าองค์กรต่าง ๆ จะได้มีการดำเนินการเพื่อปรับปรุงระบบความปลอดภัยทางไซเบอร์ของตนแต่ผลสำรวจแสดงให้เห็นว่า ยังมีสิ่งที่ต้องทำอีกมากซึ่งสามปัจจัยที่องค์กรจำเป็นต้องมีเพื่อตามให้ทันการเปลี่ยนสู่ดิจิทัลและช่วยสร้างความไว้วางใจจากสาธารณชน ได้แก่
การมีการบริหารจัดการความเสี่ยงเชิงกลยุทธ์ การวางแผนความต่อเนื่องและฉุกเฉินและการรายงานภายนอกที่ต้องชัดเจนและสม่ำเสมอ”

ด้านนาย พันธ์ศักดิ์ เสตเสถียร หุ้นส่วนสายงานที่ปรึกษาด้านความเสี่ยง บริษัท PwC ประเทศไทย กล่าวเสริมว่าในส่วนของประเทศไทย องค์กรกำลังเผชิญกับภัยคุกคามทางไซเบอร์เพิ่มขึ้นส่วนหนึ่งเป็นผลจากการประยุกต์ใช้เทคโนโลยีดิจิทัลที่มีมากขึ้นซึ่งการโจมตีทางไซเบอร์ด้วยโปรแกรมที่ถูกออกแบบมาให้เรียกค่าไถ่ข้อมูล (Ransomware) ถือเป็นภัยไซเบอร์ที่พบมากที่สุดในปีนี้

“แนวโน้มภัยไซเบอร์ที่เพิ่มขึ้นถือเป็นสิ่งที่กระตุ้นเตือนให้องค์กรไทยต้องหันมาพิจารณาการลงทุนด้านระบบป้องกันความปลอดภัยของข้อมูลเพื่อลดความเสี่ยงและผลกระทบต่อภาพลักษณ์องค์กร และผลกระทบด้านการเงิน โดยในช่วงโควิด-19 ที่ผ่านมา เราจะเห็นว่าธุรกิจมีการนำเทคโนโลยีเข้ามาประยุกต์ใช้เพิ่มขึ้นอย่างมีนัยสำคัญ ทั้งในรูปแบบของอีคอมเมิร์ซ โมบายแบงก์กิ้งหรือแม้แต่การทำงานแบบ remote working ซึ่งพบว่าองค์กรส่วนมากมีการเพิ่มงบประมาณด้านความปลอดภัยทางไซเบอร์มากกว่าในช่วง 2-3 ปีก่อนแต่การให้ความสำคัญและการลงทุนในการป้องกันนั้นยังคงไม่เพียงพอ และมักจะลงทุนระหว่างหรือหลังจากเกิดภัยคุกคามดังกล่าวแล้ว” นาย พันธ์ศักดิ์ กล่าว

“นอกจากนี้ ธุรกิจควรต้องสร้างการตระหนักรู้ด้านการรักษาความปลอดภัยทางไซเบอร์เบื้องต้นทั่วทั้งองค์กรให้ครอบคลุมตั้งแต่ระดับผู้บริหารจนถึงพนักงาน และต้องมีผู้รับผิดชอบด้านการรักษาความปลอดภัยของข้อมูลและระบบสารสนเทศต่าง ๆ และที่สำคัญจะต้องมีการสื่อสารถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ให้กับพนักงานตลอดจนการปฏิบัติให้เห็นเป็นแบบอย่างโดยผู้บริหาร”