1 ใน 4 ของบริษัททั่วโลกถูกแฮ็กในช่วง 3 ปีที่ผ่านมา ไทยโดนมัลแวร์เรียกค่าไถ่มากที่สุด

1 ใน 4 ของบริษัททั่วโลกถูกแฮ็กในช่วง 3 ปีที่ผ่านมา ไทยโดนมัลแวร์เรียกค่าไถ่มากที่สุด

PwC บริษัทที่ปรึกษา เปิดเผยผลสำรวจล่าสุด พบว่า 1 ใน 4 ของบริษัททั่วโลกประสบกับการถูกละเมิดข้อมูล (Data breach) ที่สร้างความเสียหายคิดเป็นมูลค่ากว่า 1-20 ล้านเหรียญสหรัฐ (ราว 40-760 ล้านบาท) หรือมากกว่านั้น ในช่วงสามปีที่ผ่านมา

1 ใน 4 ของบริษัททั่วโลก

ขณะที่บริษัทในไทยส่วนใหญ่ ประสบกับภัยคุกคามจากมัลแวร์เรียกค่าไถ่มากที่สุด และมีแนวโน้มเพิ่มขึ้นตามเทคโนโลยีที่นำมาใช้

รายงานผลสำรวจ 2023 Global Digital Trust Insights ของ PwC รวบรวมความคิดเห็นของผู้บริหารระดับสูงจำนวนกว่า 3,500 ราย ใน 65 ประเทศ พบว่า เปอร์เซ็นต์การละเมิดข้อมูลเพิ่มขึ้นเป็น 1 ใน 3 หรือ 34% ของบริษัทที่ตอบแบบสำรวจในทวีปอเมริกาเหนือ

ในขณะที่มีเพียง 14% ขององค์กรทั่วโลกที่รายงานว่า ไม่พบเหตุการณ์ละเมิดข้อมูลเกิดขึ้นในช่วงระยะเวลาดังกล่าว

แม้การโจมตีทางไซเบอร์อย่างต่อเนื่องจะสร้างความเสียหายให้แก่ธุรกิจเป็นมูลค่าหลายล้านดอลลาร์สหรัฐ แต่ผู้บริหารที่ตอบแบบสำรวจว่า พวกเขาได้ดำเนินการลดความเสี่ยงทางไซเบอร์ให้กับหลายจุดสำคัญของธุรกิจอย่างครบถ้วน กลับมีจำนวนต่ำกว่า 40%

เช่น การจัดให้มีการทำงานทางไกล หรือแบบไฮบริด (38%) การประยุกต์ใช้ระบบคลาวด์ที่เพิ่มขึ้น (35%) การใช้งานอินเทอร์เน็ต (Internet of Things) ที่เพิ่มขึ้น (34%) การปรับระบบห่วงโซ่อุปทานสู่ดิจิทัลที่เพิ่มขึ้น (32%) และระบบปฏิบัติการหลังบ้าน (31%)

สำหรับผู้บริหารฝ่ายปฏิบัติการ ความปลอดภัยทางไซเบอร์ของระบบซัพพลายเชนยังคงเป็นความกังวลหลักที่สำคัญ โดย 90% ของผู้ตอบแบบสำรวจ แสดงความกังวลเกี่ยวกับความสามารถขององค์กรในการต่อต้านการโจมตีทางไซเบอร์ ขณะที่ 56% แสดงความกังวลเป็นอย่างมาก

สนับสนุนการเปิดเผยข้อมูลอาชญากรรมไซเบอร์ภาคบังคับ

ในรายงานยังระบุอีกว่า 79% ขององค์กรที่ตอบแบบสำรวจมองว่า การเปิดเผยข้อมูลอาชญากรรมไซเบอร์ผ่านกลไกภาคบังคับ ถือเป็นสิ่งจำเป็นในการได้รับความไว้วางใจและความเชื่อมั่นจากผู้มีส่วนได้เสีย

ขณะที่ 76% กล่าวว่า การเพิ่มการรายงานต่อนักลงทุน จะเป็นประโยชน์ต่อองค์กรและระบบนิเวศทั้งหมด ยิ่งไปกว่านี้ ผู้ตอบแบบสำรวจยังเห็นด้วยว่า รัฐบาลควรนำฐานความรู้จากการเปิดเผยข้อมูลทางไซเบอร์ภาคบังคับมาพัฒนาเทคนิคการป้องกันอาชญากรรมไซเบอร์ให้กับภาคเอกชน

แม้ว่าเสียงส่วนใหญ่จะสนับสนุนให้มีการเปิดเผยข้อมูลอาชญากรรมทางไซเบอร์ภาคบังคับ แต่กลับมีผู้บริหารน้อยกว่าครึ่ง (42%) ที่มีความมั่นใจอย่างเต็มที่ว่า องค์กรของตนจะสามารถให้ข้อมูลที่ต้องการเกี่ยวกับเนื้อหาและเหตุการณ์สำคัญภายในระยะเวลาการรายงานที่กำหนด

นอกจากนี้ องค์กรส่วนใหญ่ยังคงมีความลังเลในการแลกเปลี่ยนข้อมูลมากเกินไป โดย 70% กล่าวว่า การแบ่งปันข้อมูลสาธารณะมากขึ้น อาจก่อให้เกิดความเสี่ยงและนำไปสู่การสูญเสียความได้เปรียบในการแข่งขัน

‘ฌอน จอยซ์’ หัวหน้ากลุ่มลูกค้าความปลอดภัยทางไซเบอร์และความเป็นส่วนตัว PwC สหรัฐอเมริกา กล่าวว่า การละเมิดข้อมูล ถือเป็นภัยคุกคามที่แพร่หลายในโลกดิจิทัลทุกวันนี้

ภัยคุกคามทางไซเบอร์ที่เพิ่มระดับความถี่และความซับซ้อนมากขึ้นเรื่อยๆ ทำให้การจัดการด้านความปลอดภัยทางไซเบอร์ กลายเป็นภารกิจสำคัญสูงสุดของฝ่ายบริหารและคณะกรรมการ

ส่งผลให้บริษัทต่างๆ ต้องเร่งเสริมสร้างความแข็งแกร่งด้านการป้องกันทางไซเบอร์ รวมไปถึงหน่วยงานกำกับดูแลที่เพิ่มแรงกดดันให้ภาคเอกชนต้องปรับปรุงความสามารถในการตั้งรับต่อภัยคุกคาม และสร้างความไว้วางใจจากสาธารณชน

ซึ่งผลสำรวจของเราสะท้อนให้เห็นชัดเจนว่า ภาครัฐและเอกชนยังคงต้องร่วมมือกันมากขึ้นเพื่อจัดการกับภัยคุกคามทางไซเบอร์ที่ทวีความซับซ้อน โดยบริษัทต่างๆ ได้เรียกร้องให้มีการแบ่งปันข้อมูล และความโปร่งใสเพิ่มขึ้น รวมไปถึงมีรูปแบบของการเปิดเผยข้อมูลตามข้อกำหนดหรือข้อบังคับของเหตุการณ์ทางไซเบอร์ที่สอดคล้องกัน

บริษัทส่วนใหญ่เพิ่มงบลงทุนความปลอดภัยทางไซเบอร์

รายงานของ PwC ระบุอีกว่า องค์กรทั่วโลกยังคงเดินหน้าเพิ่มงบลงทุนด้านไซเบอร์อย่างต่อเนื่อง โดย 69% ของผู้บริหารที่ตอบแบบสำรวจกล่าวว่า ได้เพิ่มงบประมาณด้านไซเบอร์ในปีนี้

ขณะที่ 65% มีแผนที่จะขยายการลงทุนในด้านนี้มากขึ้นในปีหน้า ซึ่งสะท้อนให้เห็นถึงความสำคัญของความปลอดภัยทางไซเบอร์ ที่ถือเป็นภารกิจสำคัญสูงสุดของการวางแผนตั้งรับ (Resilience Planning) ขององค์กร

ทั้งนี้ ข้อมูลจากรายงานผลสำรวจฉบับนี้ยังบอกด้วยว่า ภัยพิบัติจากการจู่โจมทางไซเบอร์นั้น ถูกจัดอันดับให้เป็นภัยคุกคามที่มีความร้ายแรงกว่าภาวะเศรษฐกิจโลกถดถอย หรือวิกฤตสุขภาพ

ความกังวลเรื่องภัยไซเบอร์ยังได้ขยายวงกว้างไปสู่ทีมบริหารขององค์กร ซึ่งประธานเจ้าหน้าที่บริหาร (Chief Executive Officer: CEO) ส่วนใหญ่ กำลังวางแผนในการเพิ่มการดำเนินการเพื่อแก้ไขปัญหาความปลอดภัยทางไซเบอร์ในปีหน้า

โดย 52% กล่าวว่า จะขับเคลื่อนแผนงานที่สำคัญเพื่อปรับปรุงศักยภาพด้านไซเบอร์ขององค์กร

ขณะที่ประธานเจ้าหน้าที่ฝ่ายการเงิน (Chief Financial Officer: CFO) อีกจำนวนมาก ก็มีแผนที่จะเพิ่มการลงทุนในโซลูชั่นด้านเทคโนโลยีไซเบอร์ (39%) กลยุทธ์และการประสานงานกับฝ่ายวิศวกรรมและฝ่ายปฏิบัติงาน (37%) รวมถึงการเพิ่มพูนทักษะและว่าจ้างผู้มีความชำนาญด้านไซเบอร์ (36%)

ด้วยเหตุนี้ ความปลอดภัยทางไซเบอร์ จึงเป็นวาระสำคัญขององค์กร โดยความเสียหายที่เกิดขึ้นจากการละเมิดข้อมูลนั้น มีมูลค่ามากกว่าความเสียหายทางการเงินโดยตรง

จากข้อมูลของรายงานผลสำรวจพบว่า ระดับของความเสียหายที่องค์กรประสบจากการถูกละเมิดทางไซเบอร์ หรือข้อมูลส่วนบุคคลในช่วงสามปีที่ผ่านมา หมายรวมถึง การต้องสูญเสียลูกค้า (27%) การสูญเสียข้อมูลลูกค้า (25%) และความเสียหายต่อชื่อเสียงหรือแบรนด์ (23%) ด้วย

ฌอน กล่าวอีกว่า แม้ว่าองค์กรต่างๆ จะได้มีการดำเนินการเพื่อปรับปรุงระบบความปลอดภัยทางไซเบอร์ของตน แต่ผลสำรวจแสดงให้เห็นว่า ยังมีสิ่งที่ต้องทำอีกมาก ซึ่งสามปัจจัยที่องค์กรจำเป็นต้องมีเพื่อตามให้ทันการเปลี่ยนสู่ดิจิทัลและช่วยสร้างความไว้วางใจจากสาธารณชน คือ

1. การมีการบริหารจัดการความเสี่ยงเชิงกลยุทธ์

2. การวางแผนความต่อเนื่องและฉุกเฉิน

3. การรายงานภายนอกที่ต้องชัดเจนและสม่ำเสมอ

‘พันธ์ศักดิ์ เสตเสถียร’ หุ้นส่วนสายงานที่ปรึกษาด้านความเสี่ยง บริษัท PwC ประเทศไทย เสริมว่า ในส่วนของประเทศไทย องค์กรกำลังเผชิญกับภัยคุกคามทางไซเบอร์เพิ่มขึ้น ส่วนหนึ่งเป็นผลจากการประยุกต์ใช้เทคโนโลยีดิจิทัลที่มีมากขึ้น

ซึ่งการโจมตีทางไซเบอร์ด้วยโปรแกรมที่ถูกออกแบบมาให้เรียกค่าไถ่ข้อมูล (Ransomware) ถือเป็นภัยไซเบอร์ที่พบมากที่สุดในปีนี้

แนวโน้มภัยไซเบอร์ที่เพิ่มขึ้น ถือเป็นสิ่งที่กระตุ้นเตือนให้องค์กรไทยต้องหันมาพิจารณาการลงทุนด้านระบบป้องกันความปลอดภัยของข้อมูล เพื่อลดความเสี่ยงและผลกระทบต่อภาพลักษณ์องค์กร และผลกระทบด้านการเงิน

โดยในช่วงโควิด-19 ที่ผ่านมา เราจะเห็นว่า ธุรกิจมีการนำเทคโนโลยีเข้ามาประยุกต์ใช้เพิ่มขึ้นอย่างมีนัยสำคัญ ทั้งในรูปแบบของอีคอมเมิร์ซ โมบายแบงก์กิ้ง หรือแม้แต่การทำงานแบบ Remote Working

ซึ่งพบว่า องค์กรส่วนมากมีการเพิ่มงบประมาณด้านความปลอดภัยทางไซเบอร์มากกว่าในช่วง 2-3 ปีก่อน แต่การให้ความสำคัญและการลงทุนในการป้องกันนั้นยังคงไม่เพียงพอ และมักจะลงทุนระหว่าง หรือหลังจากเกิดภัยคุกคามดังกล่าวแล้ว

นอกจากนี้ ธุรกิจควรต้องสร้างการตระหนักรู้ด้านการรักษาความปลอดภัยทางไซเบอร์เบื้องต้นทั่วทั้งองค์กร ให้ครอบคลุมตั้งแต่ระดับผู้บริหารจนถึงพนักงาน และต้องมีผู้รับผิดชอบด้านการรักษาความปลอดภัยของข้อมูล และระบบสารสนเทศต่างๆ

และที่สำคัญจะต้องมีการสื่อสารถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ให้กับพนักงาน ตลอดจนการปฏิบัติให้เห็นเป็นแบบอย่างโดยผู้บริหาร