1 ใน 4 ของบริษัททั่วโลกถูกแฮ็กในช่วง 3 ปีที่ผ่านมา ไทยโดนมัลแวร์เรียกค่าไถ่มากที่สุด
PwC บริษัทที่ปรึกษา เปิดเผยผลสำรวจล่าสุด พบว่า 1 ใน 4 ของบริษัททั่วโลกประสบกับการถูกละเมิดข้อมูล (Data breach) ที่สร้างความเสียหายคิดเป็นมูลค่ากว่า 1-20 ล้านเหรียญสหรัฐ (ราว 40-760 ล้านบาท) หรือมากกว่านั้น ในช่วงสามปีที่ผ่านมา
ขณะที่บริษัทในไทยส่วนใหญ่ ประสบกับภัยคุกคามจากมัลแวร์เรียกค่าไถ่มากที่สุด และมีแนวโน้มเพิ่มขึ้นตามเทคโนโลยีที่นำมาใช้
รายงานผลสำรวจ 2023 Global Digital Trust Insights ของ PwC รวบรวมความคิดเห็นของผู้บริหารระดับสูงจำนวนกว่า 3,500 ราย ใน 65 ประเทศ พบว่า เปอร์เซ็นต์การละเมิดข้อมูลเพิ่มขึ้นเป็น 1 ใน 3 หรือ 34% ของบริษัทที่ตอบแบบสำรวจในทวีปอเมริกาเหนือ
ในขณะที่มีเพียง 14% ขององค์กรทั่วโลกที่รายงานว่า ไม่พบเหตุการณ์ละเมิดข้อมูลเกิดขึ้นในช่วงระยะเวลาดังกล่าว
แม้การโจมตีทางไซเบอร์อย่างต่อเนื่องจะสร้างความเสียหายให้แก่ธุรกิจเป็นมูลค่าหลายล้านดอลลาร์สหรัฐ แต่ผู้บริหารที่ตอบแบบสำรวจว่า พวกเขาได้ดำเนินการลดความเสี่ยงทางไซเบอร์ให้กับหลายจุดสำคัญของธุรกิจอย่างครบถ้วน กลับมีจำนวนต่ำกว่า 40%
เช่น การจัดให้มีการทำงานทางไกล หรือแบบไฮบริด (38%) การประยุกต์ใช้ระบบคลาวด์ที่เพิ่มขึ้น (35%) การใช้งานอินเทอร์เน็ต (Internet of Things) ที่เพิ่มขึ้น (34%) การปรับระบบห่วงโซ่อุปทานสู่ดิจิทัลที่เพิ่มขึ้น (32%) และระบบปฏิบัติการหลังบ้าน (31%)
สำหรับผู้บริหารฝ่ายปฏิบัติการ ความปลอดภัยทางไซเบอร์ของระบบซัพพลายเชนยังคงเป็นความกังวลหลักที่สำคัญ โดย 90% ของผู้ตอบแบบสำรวจ แสดงความกังวลเกี่ยวกับความสามารถขององค์กรในการต่อต้านการโจมตีทางไซเบอร์ ขณะที่ 56% แสดงความกังวลเป็นอย่างมาก
สนับสนุนการเปิดเผยข้อมูลอาชญากรรมไซเบอร์ภาคบังคับ
ในรายงานยังระบุอีกว่า 79% ขององค์กรที่ตอบแบบสำรวจมองว่า การเปิดเผยข้อมูลอาชญากรรมไซเบอร์ผ่านกลไกภาคบังคับ ถือเป็นสิ่งจำเป็นในการได้รับความไว้วางใจและความเชื่อมั่นจากผู้มีส่วนได้เสีย
ขณะที่ 76% กล่าวว่า การเพิ่มการรายงานต่อนักลงทุน จะเป็นประโยชน์ต่อองค์กรและระบบนิเวศทั้งหมด ยิ่งไปกว่านี้ ผู้ตอบแบบสำรวจยังเห็นด้วยว่า รัฐบาลควรนำฐานความรู้จากการเปิดเผยข้อมูลทางไซเบอร์ภาคบังคับมาพัฒนาเทคนิคการป้องกันอาชญากรรมไซเบอร์ให้กับภาคเอกชน
แม้ว่าเสียงส่วนใหญ่จะสนับสนุนให้มีการเปิดเผยข้อมูลอาชญากรรมทางไซเบอร์ภาคบังคับ แต่กลับมีผู้บริหารน้อยกว่าครึ่ง (42%) ที่มีความมั่นใจอย่างเต็มที่ว่า องค์กรของตนจะสามารถให้ข้อมูลที่ต้องการเกี่ยวกับเนื้อหาและเหตุการณ์สำคัญภายในระยะเวลาการรายงานที่กำหนด
นอกจากนี้ องค์กรส่วนใหญ่ยังคงมีความลังเลในการแลกเปลี่ยนข้อมูลมากเกินไป โดย 70% กล่าวว่า การแบ่งปันข้อมูลสาธารณะมากขึ้น อาจก่อให้เกิดความเสี่ยงและนำไปสู่การสูญเสียความได้เปรียบในการแข่งขัน
‘ฌอน จอยซ์’ หัวหน้ากลุ่มลูกค้าความปลอดภัยทางไซเบอร์และความเป็นส่วนตัว PwC สหรัฐอเมริกา กล่าวว่า การละเมิดข้อมูล ถือเป็นภัยคุกคามที่แพร่หลายในโลกดิจิทัลทุกวันนี้
ภัยคุกคามทางไซเบอร์ที่เพิ่มระดับความถี่และความซับซ้อนมากขึ้นเรื่อยๆ ทำให้การจัดการด้านความปลอดภัยทางไซเบอร์ กลายเป็นภารกิจสำคัญสูงสุดของฝ่ายบริหารและคณะกรรมการ
ส่งผลให้บริษัทต่างๆ ต้องเร่งเสริมสร้างความแข็งแกร่งด้านการป้องกันทางไซเบอร์ รวมไปถึงหน่วยงานกำกับดูแลที่เพิ่มแรงกดดันให้ภาคเอกชนต้องปรับปรุงความสามารถในการตั้งรับต่อภัยคุกคาม และสร้างความไว้วางใจจากสาธารณชน
ซึ่งผลสำรวจของเราสะท้อนให้เห็นชัดเจนว่า ภาครัฐและเอกชนยังคงต้องร่วมมือกันมากขึ้นเพื่อจัดการกับภัยคุกคามทางไซเบอร์ที่ทวีความซับซ้อน โดยบริษัทต่างๆ ได้เรียกร้องให้มีการแบ่งปันข้อมูล และความโปร่งใสเพิ่มขึ้น รวมไปถึงมีรูปแบบของการเปิดเผยข้อมูลตามข้อกำหนดหรือข้อบังคับของเหตุการณ์ทางไซเบอร์ที่สอดคล้องกัน
บริษัทส่วนใหญ่เพิ่มงบลงทุนความปลอดภัยทางไซเบอร์
รายงานของ PwC ระบุอีกว่า องค์กรทั่วโลกยังคงเดินหน้าเพิ่มงบลงทุนด้านไซเบอร์อย่างต่อเนื่อง โดย 69% ของผู้บริหารที่ตอบแบบสำรวจกล่าวว่า ได้เพิ่มงบประมาณด้านไซเบอร์ในปีนี้
ขณะที่ 65% มีแผนที่จะขยายการลงทุนในด้านนี้มากขึ้นในปีหน้า ซึ่งสะท้อนให้เห็นถึงความสำคัญของความปลอดภัยทางไซเบอร์ ที่ถือเป็นภารกิจสำคัญสูงสุดของการวางแผนตั้งรับ (Resilience Planning) ขององค์กร
ทั้งนี้ ข้อมูลจากรายงานผลสำรวจฉบับนี้ยังบอกด้วยว่า ภัยพิบัติจากการจู่โจมทางไซเบอร์นั้น ถูกจัดอันดับให้เป็นภัยคุกคามที่มีความร้ายแรงกว่าภาวะเศรษฐกิจโลกถดถอย หรือวิกฤตสุขภาพ
ความกังวลเรื่องภัยไซเบอร์ยังได้ขยายวงกว้างไปสู่ทีมบริหารขององค์กร ซึ่งประธานเจ้าหน้าที่บริหาร (Chief Executive Officer: CEO) ส่วนใหญ่ กำลังวางแผนในการเพิ่มการดำเนินการเพื่อแก้ไขปัญหาความปลอดภัยทางไซเบอร์ในปีหน้า
โดย 52% กล่าวว่า จะขับเคลื่อนแผนงานที่สำคัญเพื่อปรับปรุงศักยภาพด้านไซเบอร์ขององค์กร
ขณะที่ประธานเจ้าหน้าที่ฝ่ายการเงิน (Chief Financial Officer: CFO) อีกจำนวนมาก ก็มีแผนที่จะเพิ่มการลงทุนในโซลูชั่นด้านเทคโนโลยีไซเบอร์ (39%) กลยุทธ์และการประสานงานกับฝ่ายวิศวกรรมและฝ่ายปฏิบัติงาน (37%) รวมถึงการเพิ่มพูนทักษะและว่าจ้างผู้มีความชำนาญด้านไซเบอร์ (36%)
ด้วยเหตุนี้ ความปลอดภัยทางไซเบอร์ จึงเป็นวาระสำคัญขององค์กร โดยความเสียหายที่เกิดขึ้นจากการละเมิดข้อมูลนั้น มีมูลค่ามากกว่าความเสียหายทางการเงินโดยตรง
จากข้อมูลของรายงานผลสำรวจพบว่า ระดับของความเสียหายที่องค์กรประสบจากการถูกละเมิดทางไซเบอร์ หรือข้อมูลส่วนบุคคลในช่วงสามปีที่ผ่านมา หมายรวมถึง การต้องสูญเสียลูกค้า (27%) การสูญเสียข้อมูลลูกค้า (25%) และความเสียหายต่อชื่อเสียงหรือแบรนด์ (23%) ด้วย
ฌอน กล่าวอีกว่า แม้ว่าองค์กรต่างๆ จะได้มีการดำเนินการเพื่อปรับปรุงระบบความปลอดภัยทางไซเบอร์ของตน แต่ผลสำรวจแสดงให้เห็นว่า ยังมีสิ่งที่ต้องทำอีกมาก ซึ่งสามปัจจัยที่องค์กรจำเป็นต้องมีเพื่อตามให้ทันการเปลี่ยนสู่ดิจิทัลและช่วยสร้างความไว้วางใจจากสาธารณชน คือ
1. การมีการบริหารจัดการความเสี่ยงเชิงกลยุทธ์
2. การวางแผนความต่อเนื่องและฉุกเฉิน
3. การรายงานภายนอกที่ต้องชัดเจนและสม่ำเสมอ
‘พันธ์ศักดิ์ เสตเสถียร’ หุ้นส่วนสายงานที่ปรึกษาด้านความเสี่ยง บริษัท PwC ประเทศไทย เสริมว่า ในส่วนของประเทศไทย องค์กรกำลังเผชิญกับภัยคุกคามทางไซเบอร์เพิ่มขึ้น ส่วนหนึ่งเป็นผลจากการประยุกต์ใช้เทคโนโลยีดิจิทัลที่มีมากขึ้น
ซึ่งการโจมตีทางไซเบอร์ด้วยโปรแกรมที่ถูกออกแบบมาให้เรียกค่าไถ่ข้อมูล (Ransomware) ถือเป็นภัยไซเบอร์ที่พบมากที่สุดในปีนี้
แนวโน้มภัยไซเบอร์ที่เพิ่มขึ้น ถือเป็นสิ่งที่กระตุ้นเตือนให้องค์กรไทยต้องหันมาพิจารณาการลงทุนด้านระบบป้องกันความปลอดภัยของข้อมูล เพื่อลดความเสี่ยงและผลกระทบต่อภาพลักษณ์องค์กร และผลกระทบด้านการเงิน
โดยในช่วงโควิด-19 ที่ผ่านมา เราจะเห็นว่า ธุรกิจมีการนำเทคโนโลยีเข้ามาประยุกต์ใช้เพิ่มขึ้นอย่างมีนัยสำคัญ ทั้งในรูปแบบของอีคอมเมิร์ซ โมบายแบงก์กิ้ง หรือแม้แต่การทำงานแบบ Remote Working
ซึ่งพบว่า องค์กรส่วนมากมีการเพิ่มงบประมาณด้านความปลอดภัยทางไซเบอร์มากกว่าในช่วง 2-3 ปีก่อน แต่การให้ความสำคัญและการลงทุนในการป้องกันนั้นยังคงไม่เพียงพอ และมักจะลงทุนระหว่าง หรือหลังจากเกิดภัยคุกคามดังกล่าวแล้ว
นอกจากนี้ ธุรกิจควรต้องสร้างการตระหนักรู้ด้านการรักษาความปลอดภัยทางไซเบอร์เบื้องต้นทั่วทั้งองค์กร ให้ครอบคลุมตั้งแต่ระดับผู้บริหารจนถึงพนักงาน และต้องมีผู้รับผิดชอบด้านการรักษาความปลอดภัยของข้อมูล และระบบสารสนเทศต่างๆ
และที่สำคัญจะต้องมีการสื่อสารถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ให้กับพนักงาน ตลอดจนการปฏิบัติให้เห็นเป็นแบบอย่างโดยผู้บริหาร