หนึ่งในสี่ของบริษัททั่วโลกถูกละเมิดข้อมูลเสียหายมูลค่ากว่า 1 ถึง 20 ล้านดอลลาร์สหรัฐในช่วงสามปีที่ผ่านมา

สี่ในห้าขององค์กรทั่วโลกระบุว่า การเปิดเผยข้อมูลอาชญากรรมไซเบอร์ผ่านกลไกภาคบังคับที่สามารถเทียบเคียงได้และมีรูปแบบที่สอดคล้องกันถือเป็นสิ่งจำเป็น

PwC เผยรายงานผลสำรวจพบ หนึ่งในสี่ของบริษัททั่วโลกประสบกับการถูกละเมิดข้อมูล (Data breach) ที่สร้างความเสียหายคิดเป็นมูลค่ากว่า 1 ถึง 20 ล้านดอลลาร์สหรัฐ (ราว 38 ถึง 763 ล้านบาท)[1] หรือมากกว่า ในช่วงสามปีที่ผ่านมา ขณะที่บริษัทในประเทศไทยส่วนใหญ่ ประสบกับภัยคุกคามจากมัลแวร์เรียกค่าไถ่มากที่สุด และมีแนวโน้มเพิ่มขึ้นตามเทคโนโลยีที่นำมาใช้ทั้งนี้ รายงานผลสำรวจ 2023 Global Digital Trust Insights ของ PwC รวบรวมความคิดเห็นของผู้บริหารระดับสูงจำนวนกว่า 3,500 ราย ใน 65 ประเทศพบว่า อัตราร้อยละของการละเมิดข้อมูลเพิ่มขึ้นเป็นหนึ่งในสามหรือ 34% สำหรับบริษัทที่ตอบแบบสำรวจในทวีปอเมริกาเหนือ ในขณะที่มีเพียง 14% ขององค์กรทั่วโลกที่รายงานว่า ไม่พบเหตุการณ์ละเมิดข้อมูลเกิดขึ้นในช่วงระยะเวลาดังกล่าวแม้ว่าการโจมตีทางไซเบอร์อย่างต่อเนื่องจะสร้างความเสียหายให้แก่ธุรกิจเป็นมูลค่าหลายล้านดอลลาร์สหรัฐ แต่น้อยกว่า 40% ของผู้บริหารที่ตอบแบบสำรวจกล่าวว่า พวกเขาได้ดำเนินการลดความเสี่ยงทางไซเบอร์ให้กับหลายจุดสำคัญของธุรกิจอย่างครบถ้วน เช่น การจัดให้มีการทำงานทางไกล หรือแบบไฮบริด (38% กล่าวว่า มีการจัดการเพื่อลดความเสี่ยงทางไซเบอร์อย่างครบถ้วน) การประยุกต์ใช้ระบบคลาวด์ที่เพิ่มขึ้น (35%) การใช้งานอินเทอร์เน็ตของสรรพสิ่ง (Internet of Things) ที่เพิ่มขึ้น (34%) การปรับระบบห่วงโซ่อุปทานสู่ดิจิทัลที่เพิ่มขึ้น (32%) และระบบปฏิบัติการหลังบ้าน (31%)สำหรับผู้บริหารฝ่ายปฏิบัติการนั้น ความปลอดภัยทางไซเบอร์ของระบบห่วงโซ่อุปทานยังคงเป็นความกังวลหลักที่สำคัญ โดย 90% ของผู้ตอบแบบสำรวจ แสดงความกังวลเกี่ยวกับความสามารถขององค์กรในการต่อต้านการโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อระบบห่วงโซ่อุปทาน ขณะที่ 56% แสดงความกังวลเป็นอย่างมากสนับสนุนให้มีการเปิดเผยข้อมูลอาชญากรรมไซเบอร์ภาคบังคับ

ทั้งนี้ 79% ขององค์กรที่ตอบแบบสำรวจระบุว่า การเปิดเผยข้อมูลอาชญากรรมไซเบอร์ผ่านกลไกภาคบังคับที่สามารถเทียบเคียงได้และสม่ำเสมอ ถือเป็นสิ่งจำเป็นในการได้รับความไว้วางใจและความเชื่อมั่นจากผู้มีส่วนได้เสีย ขณะที่ 76% กล่าวว่า การเพิ่มการรายงานต่อนักลงทุน จะเป็นประโยชน์ต่อองค์กรและระบบนิเวศทั้งหมด ยิ่งไปกว่านี้ ผู้ตอบแบบสำรวจในอัตราร้อยละที่เท่ากันยังเห็นด้วยว่า รัฐบาลควรนำฐานความรู้จากการเปิดเผยข้อมูลทางไซเบอร์ภาคบังคับมาพัฒนาเทคนิคการป้องกันอาชญากรรมไซเบอร์ให้กับภาคเอกชน

แม้ว่าเสียงส่วนใหญ่ของผู้ตอบแบบสำรวจ จะสนับสนุนให้มีการเปิดเผยข้อมูลอาชญากรรมทางไซเบอร์ภาคบังคับที่ชัดเจน แต่กลับมีผู้บริหารน้อยกว่าครึ่ง (42%) ที่มีความมั่นใจอย่างเต็มที่ว่า องค์กรของตนจะสามารถให้ข้อมูลที่ต้องการเกี่ยวกับเนื้อหาและเหตุการณ์สำคัญภายในระยะเวลาการรายงานที่กำหนด นอกจากนี้ องค์กรส่วนใหญ่ยังคงมีความลังเลในการแลกเปลี่ยนข้อมูลมากเกินไป โดย 70% กล่าวว่า การแบ่งปันข้อมูลสาธารณะมากขึ้น อาจก่อให้เกิดความเสี่ยงและนำไปสู่การสูญเสียความได้เปรียบในการแข่งขัน

นาย ฌอน จอยซ์ หัวหน้ากลุ่มลูกค้าความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวทั่วโลก บริษัท PwC ประเทศสหรัฐอเมริกา กล่าวว่า “การละเมิดข้อมูล ถือเป็นภัยคุกคามที่แพร่หลายในโลกดิจิทัลทุกวันนี้ โดยในขณะที่ภัยคุกคามทางไซเบอร์เพิ่มระดับความถี่และความซับซ้อนมากขึ้นเรื่อย ๆ แนวทางแบบองค์รวมด้านความปลอดภัยทางไซเบอร์ ได้กลายมาเป็นภารกิจสำคัญสูงสุดของฝ่ายบริหารและคณะกรรมการ ส่งผลให้บริษัทต่าง ๆ ต้องเร่งเสริมสร้างความแข็งแกร่งด้านการป้องกันทางไซเบอร์ รวมไปถึงหน่วยงานกำกับดูแลที่เพิ่มแรงกดดันให้ภาคเอกชนต้องปรับปรุงความสามารถในการตั้งรับต่อภัยคุกคาม และสร้างความไว้วางใจจากสาธารณชน ซึ่งผลสำรวจของเราสะท้อนให้เห็นชัดเจนว่า ภาครัฐและเอกชนยังคงต้องร่วมมือกันมากขึ้นเพื่อจัดการกับภัยคุกคามทางไซเบอร์ที่ทวีความซับซ้อน โดยบริษัทต่าง ๆ ได้เรียกร้องให้มีการแบ่งปันข้อมูล และความโปร่งใสเพิ่มขึ้น รวมไปถึงมีรูปแบบของการเปิดเผยข้อมูลตามข้อกำหนดหรือข้อบังคับของเหตุการณ์ทางไซเบอร์ที่สอดคล้องกัน”องค์กรส่วนใหญ่ เดินหน้าเพิ่มงบลงทุนด้านความปลอดภัยทางไซเบอร์

รายงานของ PwC พบว่า องค์กรทั่วโลกยังคงเดินหน้าเพิ่มงบลงทุนด้านไซเบอร์อย่างต่อเนื่อง โดย 69% ของผู้บริหารที่ตอบแบบสำรวจกล่าวว่า ได้เพิ่มงบประมาณด้านไซเบอร์ในปีนี้ ขณะที่ 65% มีแผนที่จะขยายการลงทุนในด้านนี้มากขึ้นในปีหน้า ซึ่งสะท้อนให้เห็นถึงความสำคัญของความปลอดภัยทางไซเบอร์ ที่ถือเป็นภารกิจสำคัญสูงสุดของการวางแผนตั้งรับ (Resilience planning) ขององค์กร ทั้งนี้ ข้อมูลจากรายงานผลสำรวจฉบับนี้ยังชี้ด้วยว่า ภัยพิบัติจากการจู่โจมทางไซเบอร์นั้น ถูกจัดอันดับให้เป็นภัยคุกคามที่มีความร้ายแรงกว่าภาวะเศรษฐกิจโลกถดถอย หรือวิกฤตสุขภาพ

นอกจากนี้ ความกังวลเรื่องภัยไซเบอร์ยังได้ขยายวงกว้างไปสู่ทีมบริหารขององค์กร ซึ่งประธานเจ้าหน้าที่บริหาร (Chief Executive Officer: CEO) ส่วนใหญ่ กำลังวางแผนในการเพิ่มการดำเนินการเพื่อแก้ไขปัญหาความปลอดภัยทางไซเบอร์ในปีหน้า โดย 52% กล่าวว่า พวกเขาจะขับเคลื่อนแผนงานที่สำคัญเพื่อปรับปรุงศักยภาพด้านไซเบอร์ขององค์กร ขณะที่ประธานเจ้าหน้าที่ฝ่ายการเงิน (Chief Financial Officer: CFO) อีกจำนวนมาก ก็มีแผนที่จะเพิ่มการลงทุนในโซลูชั่นด้านเทคโนโลยีไซเบอร์ (39%) กลยุทธ์และการประสานงานกับฝ่ายวิศวกรรมและฝ่ายปฏิบัติงาน (37%) รวมถึงการเพิ่มพูนทักษะและว่าจ้างผู้มีความชำนาญด้านไซเบอร์ (36%)

ด้วยเหตุนี้ ความปลอดภัยทางไซเบอร์ จึงเป็นวาระสำคัญขององค์กร โดยความเสียหายที่เกิดขึ้นจากการละเมิดข้อมูลนั้น มีมูลค่ามากกว่าความเสียหายทางการเงินโดยตรง ซึ่งจากข้อมูลของรายงานผลสำรวจพบว่า ระดับของความเสียหายที่องค์กรประสบจากการถูกละเมิดทางไซเบอร์ หรือข้อมูลส่วนบุคคลในช่วงสามปีที่ผ่านมา หมายรวมถึง การต้องสูญเสียลูกค้า (27%) การสูญเสียข้อมูลลูกค้า (25%) และความเสียหายต่อชื่อเสียงหรือแบรนด์ (23%) ด้วย

นาย ฌอน กล่าวต่อว่า “แม้ว่าองค์กรต่าง ๆ จะได้มีการดำเนินการเพื่อปรับปรุงระบบความปลอดภัยทางไซเบอร์ของตน แต่ผลสำรวจแสดงให้เห็นว่า ยังมีสิ่งที่ต้องทำอีกมาก ซึ่งสามปัจจัยที่องค์กรจำเป็นต้องมีเพื่อตามให้ทันการเปลี่ยนสู่ดิจิทัลและช่วยสร้างความไว้วางใจจากสาธารณชน ได้แก่ การมีการบริหารจัดการความเสี่ยงเชิงกลยุทธ์ การวางแผนความต่อเนื่องและฉุกเฉิน และการรายงานภายนอกที่ต้องชัดเจนและสม่ำเสมอ”

ด้านนาย พันธ์ศักดิ์ เสตเสถียร หุ้นส่วนสายงานที่ปรึกษาด้านความเสี่ยง บริษัท PwC ประเทศไทย กล่าวเสริมว่า ในส่วนของประเทศไทย องค์กรกำลังเผชิญกับภัยคุกคามทางไซเบอร์เพิ่มขึ้น ส่วนหนึ่งเป็นผลจากการประยุกต์ใช้เทคโนโลยีดิจิทัลที่มีมากขึ้น ซึ่งการโจมตีทางไซเบอร์ด้วยโปรแกรมที่ถูกออกแบบมาให้เรียกค่าไถ่ข้อมูล (Ransomware) ถือเป็นภัยไซเบอร์ที่พบมากที่สุดในปีนี้

“แนวโน้มภัยไซเบอร์ที่เพิ่มขึ้น ถือเป็นสิ่งที่กระตุ้นเตือนให้องค์กรไทยต้องหันมาพิจารณาการลงทุนด้านระบบป้องกันความปลอดภัยของข้อมูล เพื่อลดความเสี่ยงและผลกระทบต่อภาพลักษณ์องค์กร และผลกระทบด้านการเงิน โดยในช่วงโควิด-19 ที่ผ่านมา เราจะเห็นว่า ธุรกิจมีการนำเทคโนโลยีเข้ามาประยุกต์ใช้เพิ่มขึ้นอย่างมีนัยสำคัญ ทั้งในรูปแบบของอีคอมเมิร์ซ โมบายแบงก์กิ้ง หรือแม้แต่การทำงานแบบ remote working ซึ่งพบว่า องค์กรส่วนมากมีการเพิ่มงบประมาณด้านความปลอดภัยทางไซเบอร์มากกว่าในช่วง 2-3 ปีก่อน แต่การให้ความสำคัญและการลงทุนในการป้องกันนั้นยังคงไม่เพียงพอ และมักจะลงทุนระหว่าง หรือหลังจากเกิดภัยคุกคามดังกล่าวแล้ว” นาย พันธ์ศักดิ์ กล่าว

“นอกจากนี้ ธุรกิจควรต้องสร้างการตระหนักรู้ด้านการรักษาความปลอดภัยทางไซเบอร์เบื้องต้นทั่วทั้งองค์กร ให้ครอบคลุมตั้งแต่ระดับผู้บริหารจนถึงพนักงาน และต้องมีผู้รับผิดชอบด้านการรักษาความปลอดภัยของข้อมูล และระบบสารสนเทศต่าง ๆ และที่สำคัญจะต้องมีการสื่อสารถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ให้กับพนักงาน ตลอดจนการปฏิบัติให้เห็นเป็นแบบอย่างโดยผู้บริหาร”

[1] อัตราแลกเปลี่ยน 1 ดอลลาร์สหรัฐ เท่ากับ 38.18 บาท ณ วันที่ 19 ตุลาคม 2565

ที่มา: พีดับบลิวซี ประเทศไทย