รายงานวิจัยของ ฟรอสต์ แอนด์ ซัลลิแวน ภายใต้ความร่วมมือกับ ไมโครซอฟท์ เผยว่าความเสียหายทางเศรษฐกิจในประเทศไทยที่เป็นผลกระทบมาจากความปลอดภัยทางไซเบอร์สามารถส่งผลถึง 2.86 แสนล้านบาท หรือ เท่ากับ 2.2 เปอร์เซ็นต์ของผลิตภัณฑ์มวลรวมของประเทศ ซึ่งคิดเป็นมูลค่า 14,360 ล้านล้านบาท
รายงานวิจัย “ภาพรวมภัยคุกคามทางไซเบอร์ในเอเชีย แปซิฟิก : การปกป้ององค์กรในโลกยุคดิจิทัล” มีจุดประสงค์เพื่อให้ข้อมูลเชิงลึกกับผู้มีอำนาจตัดสินใจด้านธุรกิจและไอทีขององค์กร เกี่ยวกับมูลค่าความเสียหายทางเศรษฐกิจที่เกิดจากภัยคุกคามทางไซเบอร์ทั่วภูมิภาค และชี้ให้เห็นช่องโหว่ในกลยุทธ์เชิงความปลอดภัยด้านไซเบอร์ขององค์กร โดยทำการสำรวจกับผู้มีอำนาจตัดสินใจด้านธุรกิจและไอทีในองค์กรจำนวน 1,300 คน จากองค์กรธุรกิจขนาดกลาง (พนักงาน 250 – 499 คน) และองค์กรขนาดใหญ่ (พนักงาน 500 คนขึ้นไป)
รายงานวิจัยพบว่า 3 ใน 5 ขององค์กรในประเทศไทยเคยได้รับผลกระทบจากการโจมตีทางไซเบอร์ (15 เปอร์เซ็นต์) หรือไม่แน่ใจว่าเคยถูกโจมตีหรือไม่ เพราะยังขาดกระบวนการตรวจสอบหรือวิเคราะห์การคุกคามระบบอย่างเหมาะสม (47 เปอร์เซ็นต์)
“ในยุคที่ คลาวด์ และ โมบายล์คอมพิวติ้ง มีบทบาทในการทำหน้าที่เชื่อมต่อธุรกิจกับลูกค้า และช่วยเพิ่มศักยภาพในการทำงาน ทุกองค์กรจึงต้องเผชิญกับความเสี่ยงใหม่ ๆ ไปพร้อมกัน” นายโอม ศิวะดิตถ์ ผู้บริหารด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าวว่า “เมื่อขอบเขตของระบบไอทีแบบดั้งเดิมหายไป ผู้ประสงค์ร้ายก็มีช่องทางและเป้าหมายใหม่ๆ สำหรับการจู่โจมมากขึ้น ส่วนองค์กรที่ตกเป็นเป้าก็อาจประสบความเสียหายทางการเงินเป็นมูลค่ามหาศาล และยังสูญเสียความพึงพอใจของลูกค้าและความน่าเชื่อถือทางธุรกิจ ดังจะเห็นได้จากกรณีการรั่วไหลของข้อมูลของบางองค์กรที่อาจเป็นข่าวผ่านตาใครหลายคนไปในระยะหลัง”
ความเสียหายที่แท้จริงจากภัยอันตรายบนโลกไซเบอร์ ครอบคลุมทั้งเชิงเศรษฐกิจ โอกาสทางธุรกิจ และการตกงาน
รายงานวิจัยพบว่า
- องค์กรขนาดใหญ่ในประเทศไทยอาจประสบความเสียหายทางเศรษฐกิจเป็นมูลค่าสูงถึง 408 ล้านบาท ซึ่งสูงกว่าความเสียหายขององค์กรธุรกิจขนาดกลางถึง 450 เท่า (ราว 900,000 บาท)
- ใน 12 เดือนที่ผ่านมา ราว 3 ใน 5 ขององค์กรทั้งหมด (60 เปอร์เซ็นต์) ต้องมีการปลดพนักงานออกในหลายตำแหน่งเนื่องจากผลกระทบของภัยคุกคามทางไซเบอร์
ฟรอสต์ แอนด์ ซัลลิแวน ได้สร้างแบบจำลองขึ้นเพื่อประเมินมูลค่าความเสียหายที่อาจเกิดขึ้นจากอาชญากรรมไซเบอร์ โดยนำปัจจัยเชิงเศรษฐกิจองค์รวมและข้อมูลเชิงลึกจากผู้เข้าร่วมการสำรวจมาพิจารณา แบบจำลองดังกล่าวนี้แบ่งผลกระทบที่สามารถเกิดขึ้นได้จากเหตุการณ์ ภัยคุกคามทางไซเบอร์ ออกเป็น 3 แบบ ได้แก่
- ผลกระทบทางตรง : ความเสียหายทางด้านการเงินที่เกิดขึ้นโดยตรงจากภัยคุกคามทางไซเบอร์ ซึ่งรวมถึงประสิทธิภาพในการทำงานที่ลดลง ระยะเวลาในการฟื้นฟู และค่าเสียหายที่ต้องชดใช้
- ผลกระทบทางอ้อม : การสูญเสียโอกาสทางธุรกิจ เช่น การสูญเสียลูกค้าเพราะขาดความเชื่อมั่น
- ผลกระทบวงกว้าง : ผลกระทบมวลรวมเชิงเศรษฐกิจ เช่น สภาพคล่องทางการใช้จ่ายขององค์กรและผู้บริโภคลดลง
“ผลกระทบของภัยคุกคามทางไซเบอร์ นั้นเปรียบได้กับภูเขาน้ำแข็ง โดยผลกระทบทางตรงจะเป็นส่วนที่เห็นได้ชัดมากที่สุด แต่ส่วนนี้กลับเปรียบเสมือนยอดเล็ก ๆ ของภูเขา ที่ยังมีส่วนที่มองไม่เห็นยังจมอยู่ใต้น้ำอีกมาก” นายณัฐชัย จารุศิลาวงศ์ Consultant, Mobility Practice บริษัท ฟรอสต์ แอนด์ ซัลลิแวน (ประเทศไทย) จำกัด กล่าวว่า “การจู่โจมทางไซเบอร์สามารถก่อความเสียหายอีกมากมายที่อาจมองไม่เห็นในทันที ทั้งในทางอ้อมและในวงกว้าง จึงทำให้โดยทั่วไปแล้ว มูลค่าความเสียหายที่แท้จริงของภัยร้ายเหล่านี้มักถูกประเมินไว้ต่ำกว่าความเป็นจริงอยู่เสมอ”
นอกจากความสูญเสียด้านการเงินแล้ว ภัยคุกคามทางไซเบอร์ยังทำลายความสามารถขององค์กรไทยในการคว้าโอกาสทางธุรกิจในยุคแห่งเศรษฐกิจดิจิทัล โดยผลสำรวจเผยว่ากว่า 73 เปอร์เซ็นต์ของผู้เข้าร่วมการสำรวจพบว่าองค์กรของตนได้หยุดแผนการนำเทคโนโลยีดิจิทัลเข้ามาปฏิรูปธุรกิจ เนื่องจากความกังวลด้านภัยคุกคามทางไซเบอร์
ภัยร้ายที่ต้องจับตาและช่องโหว่ที่ต้องจัดการ ในกลยุทธ์ด้านความปลอดภัยขององค์กรไทย
ถึงแม้ว่าการจู่โจมจากอาชญากรไซเบอร์ด้วยมัลแวร์เรียกค่าไถ่จะเป็นข่าวใหญ่ที่สร้างความสนใจในหมู่องค์กรต่างๆ ได้ไม่น้อย แต่ผลวิจัยระบุว่าสำหรับองค์กรในประเทศไทยแล้ว ภัยร้ายในโลกไซเบอร์ที่มีผลกระทบสูงสุด และใช้เวลาในการแก้ไขฟื้นฟูนานที่สุด คือการเลียนแบบตัวตนของแบรนด์ในโลกออนไลน์ การขโมยข้อมูล และการทำลายข้อมูล นอกจากความเสี่ยงจากภายนอกองค์กรแล้ว รายงานวิจัยฉบับนี้ยังชี้ให้เห็นถึงช่องว่างเชิงกลยุทธ์ขององค์กรต่างๆ ในการปกป้องระบบและข้อมูลให้ปลอดภัย
- อย่าให้ความปลอดภัยเป็นแค่เรื่องทีหลัง : ถึงแม้ว่าองค์กรจำนวนมากจะผ่านการถูกจู่โจมมาแล้ว แต่กลับมีองค์กรเพียง 26% เท่านั้นที่นำประเด็นด้านความปลอดภัยในโลกไซเบอร์มาพิจารณาก่อนที่จะเริ่มดำเนินงานในโครงการดิจิทัล ทรานส์ฟอร์เมชัน ขณะที่องค์กรที่ยังไม่เคยถูกจู่โจมนั้น มีอัตราส่วนการนำปัจจัยด้านความปลอดภัยมาพิจารณาก่อนเริ่มดำเนินงานคิดเป็น 37% ส่วนองค์กรที่เหลือนั้น จะเริ่มพิจารณาเรื่องความปลอดภัยหลังจากที่เริ่มดำเนินงานไปแล้ว หรืออาจไม่พิจารณาถึงเลยก็เป็นได้ ซึ่งองค์กรในกลุ่มหลังนี้จะไม่สามารถพัฒนาผลิตภัณฑ์หรือโซลูชั่นที่มีรากฐานอยู่บนความปลอดภัยอย่างแท้จริง (“secure-by-design”) ขึ้นมาได้ จึงอาจทำให้ผลิตภัณฑ์หรือบริการที่ขาดความปลอดภัยหลุดออกไปสู่ตลาดได้
- การมีระบบซับซ้อน ไม่ได้แปลว่าปลอดภัย : โดยทั่วไปแล้ว เป็นที่เชื่อกันว่าการนำโซลูชั่นด้านความปลอดภัยจำนวนมากมาใช้งานร่วมกันจะช่วยให้ระบบในภาพรวมมีความปลอดภัยสูงขึ้น แต่ผลวิจัยในครั้งนี้กลับเผยให้เห็นว่าในกลุ่มองค์กรที่ใช้โซลูชั่นด้านความปลอดภัยรวม 26-50 โซลูชั่น มีเพียง 15% เท่านั้นที่สามารถแก้ไขปัญหาและฟื้นฟูจากผลกระทบของการจู่โจมได้ภายในเวลาหนึ่งชั่วโมง ขณะที่องค์กรที่ใช้โซลูชั่นด้านดังกล่าวน้อยกว่า 10 โซลูชั่น มีอัตราส่วนการแก้ไขปัญหาภายในหนึ่งชั่วโมงสูงกว่าที่ 22%
- ยังขาดวิสัยทัศน์เชิงกลยุทธ์ : องค์กรจำนวนมากเริ่มหันมาปฏิรูปธุรกิจด้วยนวัตกรรมดิจิทัลกันแล้ว เพื่อช่วงชิงความได้เปรียบในการแข่งขัน แต่งานวิจัยครั้งนี้ก็ยังชี้ให้เห็นว่าองค์กรถึง 33% ยังมองความปลอดภัยเป็นเพียงแค่ปัจจัยในการปกป้ององค์กรจากผู้ประสงค์ร้าย โดยมีเพียง 28% ที่เล็งเห็นว่ากลยุทธ์ด้านความปลอดภัยขององค์กรเป็นหัวใจสำคัญของกระบวนการดิจิทัล ทรานส์ฟอร์เมชัน
“ภัยร้ายในโลกออนไลน์ยังคงพัฒนาไปอย่างต่อเนื่อง แต่การผสมผสานทั้งเทคโนโลยี กลยุทธ์ภาคปฏิบัติ และความรู้ความเข้าใจเข้าด้วยกันอย่างลงตัวจะช่วยให้องค์กรสามารถรับมือกับความเสี่ยงต่างๆ ได้อย่างมีประสิทธิภาพ” คุณโอมกล่าวเสริม “ไมโครซอฟท์ยังคงเดินหน้าเสริมศักยภาพให้ภาคธุรกิจในประเทศไทยสามารถคว้าโอกาสจากกระบวนการดิจิทัล ทรานส์ฟอร์เมชัน ด้วยเทคโนโลยีที่เหมาะสม สนับสนุนด้วยแพลตฟอร์มผลิตภัณฑ์และบริการที่มีความปลอดภัยสูง ผสมผสานกับความรู้ความเข้าใจอย่างลึกซึ้งในภัยร้ายและปัจจัยเสี่ยง และเครือข่ายความร่วมมือกับหลากหลายภาคส่วน”
AI พร้อมเป็นแนวหน้าในการปกป้ององค์กรจากผู้ประสงค์ร้าย
- เมื่อโลกดิจิทัลเป็นเสมือนสนามรบที่อาวุธของผู้จู่โจมพัฒนาและเปลี่ยนแปลงอย่างไม่หยุดยั้ง ขณะที่ช่องทางการโจมตียังคงเพิ่มมากขึ้นอย่างรวดเร็ว AI จึงเป็นเครื่องมือชิ้นสำคัญในการยับยั้งการโจมตีด้วยศักยภาพในการวิเคราะห์ข้อมูลเพื่อตรวจจับและหยุดยั้งการจู่โจมได้ โดยจากการสำรวจพบว่า 4 ใน 5 ขององค์กรในประเทศไทย (84%) ได้นำ AI มาใช้เสริมความแข็งแกร่งของระบบด้านความปลอดภัยแล้ว หรือมีแผนที่จะนำมาใช้งานในอนาคตอันใกล้
- สถาปัตยกรรมด้านความปลอดภัยที่มี AI เป็นองค์ประกอบหลักจะสามารถทำงานได้อย่างชาญฉลาด และอาจมองเห็นถึงจุดอ่อนหรือช่องโหว่ในระบบรักษาความปลอดภัยขององค์กรได้ก่อนที่จะเกิดปัญหาขึ้นจริง นอกจากนี้ องค์กรที่ใช้งาน AI ในการปกป้องระบบของตนยังสามารถทำงานได้รวดเร็วและคล่องตัวกว่าองค์กรที่พึ่งพาความสามารถของมนุษย์เพียงอย่างเดียว ไม่ว่าจะเป็นการระบุชนิดและช่องทางการจู่โจม การกำจัดภัยร้ายที่เข้าจู่โจมอย่างต่อเนื่อง และการแก้ไขปัญหาในระบบ จึงทำให้ AI มีบทบาทที่สำคัญยิ่งในกลยุทธ์ด้านความปลอดภัยเชิงดิจิทัลของทุกองค์กร
ข้อแนะนำในการรักษาความปลอดภัยสำหรับองค์กรยุคใหม่ในโลกดิจิทัล
AI เป็นแค่องค์ประกอบหนึ่งที่องค์กรต่างๆ จำเป็นต้องนำมาผสมผสานหรือผนึกรวมเป็นแกนหลักของแนวทางการรักษาความปลอดภัยทางไซเบอร์อย่างจริงจัง โดยการปกป้องให้ระบบขององค์กรปลอดภัยอย่างแท้จริงนั้น จะต้องคำนึงถึงปัจจัยอื่น ๆ เช่น บุคลากร กระบวนการ และเทคโนโลยี รวมถึงบทบาทและผลกระทบของปัจจัยเหล่านี้ที่มีต่อความปลอดภัยโดยรวมขององค์กรด้วย
เพื่อที่จะช่วยให้องค์กรสามารถต้านทานและตอบโต้กับการโจมตีทางไซเบอร์และมัลแวร์ได้ดียิ่งขึ้น องค์กรต่าง ๆ สามารถนำ 5 หลักปฏิบัตินี้มาปรับใช้ เพื่อช่วยยกระดับการป้องกันภัยคุกคามทางไซเบอร์มีให้ประสิทธิภาพยิ่งขึ้น
- ความปลอดภัยทางไซเบอร์คือส่วนสำคัญในการขับเคลื่อนการปฏิรูปธุรกิจด้วยดิจิทัล : ความไม่เชื่อมโยงกันระหว่างกลยุทธ์ด้านความปลอดภัยทางไซเบอร์กับแนวทางการปฏิรูปธุรกิจด้วยดิจิทัลอาจสร้างความสับสนวุ่นวายให้พนักงานในองค์กรอย่างมาก ทั้งนี้ ความปลอดภัยทางไซเบอร์เป็นสิ่งจำเป็นสำหรับการปฏิรูปธุรกิจด้วยดิจิทัล โดยมีบทบาทในการกำหนดแนวทางและรักษาความปลอดภัยขององค์กร ขณะเดียวกัน การปฏิรูปธุรกิจด้วยดิจิทัลก็ยังเปิดโอกาสให้องค์กรสามารถพลิกรูปแบบและแนวทางการรับมือกับความเสี่ยงทางไซเบอร์รูปแบบต่างๆ ในปัจจุบัน
- ลงทุนอย่างต่อเนื่องเพื่อเสริมสร้างรากฐานด้านความปลอดภัยให้แข็งแกร่ง : ร้อยละ 90 ของการโจมตีทางไซเบอร์สามารถป้องกันได้ โดยนำวิธีปฏิบัติที่ได้มาตรฐานเข้ามาปรับใช้อยู่เสมอ ไม่ว่าจะเป็นการตั้งรหัสผ่านที่คาดเดาได้ยาก ใช้การยืนยันตัวตนหลากหลายรูปแบบในสถานการณ์ที่น่าสงสัย รวมถึงคอยอัปเดตระบบปฏิบัติการของอุปกรณ์ ซอฟต์แวร์และโปรแกรมป้องกันมัลแวร์ต่างๆ ให้ทันสมัย และเลือกใช้ของแท้เพื่อป้องกันการโจมตีทางไซเบอร์ได้อย่างทันท่วงที การเตรียมความพร้อมไม่ได้ครอบคลุมเพียงแค่อุปกรณ์หรือระบบเท่านั้น แต่ยังต้องรวมถึงการฝึกอบรมและกำหนดนโยบายเพื่อสร้างพื้นฐานที่แข็งแกร่งด้านความปลอดภัยด้วย
- ยกระดับทักษะและเพิ่มประสิทธิภาพของเครื่องมือต่าง ๆ โดยการใช้ประโยชน์จากเครื่องมือที่มีให้คุ้มค่า : เครื่องมือที่ดีก็อาจไร้ประโยชน์เมื่ออยู่ในมือของผู้ที่ขาดทักษะ หากลดจำนวนโซลูชั่นและความซับซ้อนในการปฏิบัติงานด้านความปลอดภัยลง ก็จะสามารถช่วยให้ผู้ปฏิบัติงานทำหน้าที่ได้อย่างมีประสิทธิภาพมากขึ้นด้วยเครื่องมือที่มีอยู่ ส่วนการจัดลำดับความสำคัญของโซลูชั่นที่ใช้งานอยู่นั้น เป็นวิธีที่ดีที่เข้ามาช่วยเพิ่มการป้องกันความเสี่ยงได้มากขึ้น โดยไม่ต้องนำเครื่องมือจำนวนมากมาใช้ และไม่ทำให้เกิดความซับซ้อนเพิ่มขึ้นด้วย โดยเฉพาะเมื่อโซลูชั่นที่เลือกใช้ได้รวบรวมเครื่องมือต่างๆ มาไว้ด้วยกันอย่างเหมาะสมและเอื้อประโยชน์ซึ่งกัน
- ประเมิน ตรวจสอบ และปฏิบัติตามกรอบข้อบังคับอย่างต่อเนื่อง : การยอมรับและปฏิบัติตามข้อบังคับหรือมาตรฐานต่าง ๆ ควรเป็นหน้าที่ประการหนึ่งขององค์กร ขณะเดียวกัน ตัวองค์กรเองก็ควรให้มีการประเมินและตรวจสอบเป็นประจำ เพื่อป้องกันช่องโหว่ที่อาจเกิดขึ้น และเพื่อให้สามารถอุดช่องโหว่เหล่านั้นได้ ในขณะที่องค์กรกำลังเปลี่ยนแปลงไปอย่างรวดเร็ว ผู้บริหารขององค์กรเองก็ควรดูแลให้องค์กรดำเนินงานตามมาตรฐานของอุตสาหกรรมนั้น ๆ พร้อมนำแนวทางการรักษาความปลอดภัยที่ดีมาปรับใช้อยู่เสมอ
- ใช้ประโยชน์จาก AI และระบบอัตโนมัติ (automation) เพื่อเพิ่มสมรรถนะและประสิทธิภาพ : เมื่อองค์กรขาดความสามารถในการรักษาความปลอดภัย ระบบอัตโนมัติและ AI ควรถูกนำมาพิจารณาเพื่อเพิ่มขีดความสามารถและประสิทธิภาพในการรักษาความปลอดภัยทางไซเบอร์ ความก้าวหน้าของ AI ในปัจจุบันถือเป็นเครื่องบ่งชี้ถึงศักยภาพอันมหาศาลของเทคโนโลยีนี้ในอนาคต โดยนอกจากการตรวจหาภัยคุกคามที่อาจถูกมองข้ามไปแล้ว นวัตกรรมเหล่านี้ยังสามารถช่วยวิเคราะห์และตีความมาเป็นสัญญาณเตือนภัยก่อนเกิดการโจมตี และแนะนำแนวทางการปฏิบัติงานเพื่อตัดไฟแต่ต้นลมได้ ระบบในลักษณะนี้ได้พิสูจน์แล้วถึงประสิทธิภาพในการทำงาน โดยเฉพาะในกรณีของระบบคลาวด์ที่ประมวลผลข้อมูลในปริมาณมหาศาล ยิ่งไปกว่านั้น การใช้ประโยชน์จากระบบอัตโนมัติและ AI ยังช่วยให้บุคลากรผู้มีความสามารถด้านการดูแลรักษาความปลอดภัยทางไซเบอร์ได้มุ่งให้ความสำคัญกับเนื้องานในระดับสูงได้อย่างเต็มที่