24 ตุลาคม 2565 : ด้วยเทคโนโลยีในปัจจุบันมีความก้าวหน้าเป็นอย่างมาก “อาชญากรรมไซเบอร์” ไม่ใช่เรื่องไกลตัวอีกต่อไป แน่นอนว่าใครตั้งรับไม่ดีหรือไม่ระมัดระวังตัว โอกาสเจอแฮกข้อมูลมีสูงด้วยเช่นกัน โดยเฉพาะธุรกิจน้อยใหญ่ต่างๆ และจากผลสำรวจ พบว่า หนึ่งในสี่ของบริษัททั่วโลกถูกละเมิดข้อมูลเสียหายมูลค่ากว่า 1-20 ล้านดอลลาร์สหรัฐ (ราว 40-760 ล้านบาท) หรือมากกว่านั้น ในช่วงสามปีที่ผ่านมา และสี่ในห้าขององค์กรทั่วโลก ระบุว่า การเปิดเผยข้อมูลอาชญากรรมไซเบอร์ผ่านกลไกภาคบังคับที่สามารถเทียบเคียงได้และมีรูปแบบที่สอดคล้องกันถือเป็นสิ่งจำเป็น
สำหรับการเปิดเผยข้อมูลอาชญากรรมไซเบอร์ผ่านกลไกภาคบังคับ สำคัญอย่างไร จากรายงานผลสำรวจ 2023 Global Digital Trust Insights ของ PwC ที่ได้มีการรวบรวมความคิดเห็นของผู้บริหารระดับสูงจำนวนกว่า 3,500 ราย ใน 65 ประเทศ ซึ่งพบว่า อัตราร้อยละของการละเมิดข้อมูลเพิ่มขึ้นเป็นหนึ่งในสาม หรือ 34% สำหรับบริษัทที่ตอบแบบสำรวจในทวีปอเมริกาเหนือ ในขณะที่มีเพียง 14% ขององค์กรทั่วโลกที่รายงานว่า ไม่พบเหตุการณ์ละเมิดข้อมูลเกิดขึ้นในช่วงระยะเวลาดังกล่าว
อย่างไรก็ตาม แม้ว่าการโจมตีทางไซเบอร์อย่างต่อเนื่อง จะสร้างความเสียหายให้แก่ธุรกิจเป็นมูลค่าหลายล้านดอลลาร์สหรัฐ แต่น้อยกว่า 40% ของผู้บริหารที่ตอบแบบสำรวจกล่าวว่า พวกเขาได้ดำเนินการลดความเสี่ยงทางไซเบอร์ให้กับหลายจุดสำคัญของธุรกิจอย่างครบถ้วน เช่น การจัดให้มีการทำงานทางไกล หรือแบบไฮบริด (38% กล่าวว่า มีการจัดการเพื่อลดความเสี่ยงทางไซเบอร์อย่างครบถ้วน) การประยุกต์ใช้ระบบคลาวด์ที่เพิ่มขึ้น (35%) การใช้งานอินเทอร์เน็ตของสรรพสิ่ง (Internet of Things) ที่เพิ่มขึ้น (34%) การปรับระบบห่วงโซ่อุปทานสู่ดิจิทัลที่เพิ่มขึ้น (32%) และระบบปฏิบัติการหลังบ้าน (31%)
สำหรับผู้บริหารฝ่ายปฏิบัติการนั้น ความปลอดภัยทางไซเบอร์ของระบบห่วงโซ่อุปทานยังคงเป็นความกังวลหลักที่สำคัญ โดย 90% ของผู้ตอบแบบสำรวจ แสดงความกังวลเกี่ยวกับความสามารถขององค์กรในการต่อต้านการโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อระบบห่วงโซ่อุปทาน ขณะที่ 56% แสดงความกังวลเป็นอย่างมาก จึงสนับสนุนให้มีการเปิดเผยข้อมูลอาชญากรรมไซเบอร์ภาคบังคับ
“ฌอน จอยซ์” หัวหน้ากลุ่มลูกค้าความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวทั่วโลก บริษัท PwC ประเทศสหรัฐอเมริกา กล่าวว่า การละเมิดข้อมูล ถือเป็นภัยคุกคามที่แพร่หลายในโลกดิจิทัลทุกวันนี้ โดยในขณะที่ภัยคุกคามทางไซเบอร์เพิ่มระดับความถี่และความซับซ้อนมากขึ้นเรื่อยๆ แนวทางแบบองค์รวมด้านความปลอดภัยทางไซเบอร์ ได้กลายมาเป็นภารกิจสำคัญสูงสุดของฝ่ายบริหารและคณะกรรมการ ส่งผลให้บริษัทต่างๆต้องเร่งเสริมสร้างความแข็งแกร่งด้านการป้องกันทางไซเบอร์
รวมไปถึงหน่วยงานกำกับดูแลที่เพิ่มแรงกดดันให้ภาคเอกชนต้องปรับปรุงความสามารถในการตั้งรับต่อภัยคุกคาม และสร้างความไว้วางใจจากสาธารณชน ซึ่งผลสำรวจของเราสะท้อนให้เห็นชัดเจนว่า ภาครัฐและเอกชนยังคงต้องร่วมมือกันมากขึ้นเพื่อจัดการกับภัยคุกคามทางไซเบอร์ที่ทวีความซับซ้อน โดยบริษัทต่าง ๆ ได้เรียกร้องให้มีการแบ่งปันข้อมูล และความโปร่งใสเพิ่มขึ้น รวมไปถึงมีรูปแบบของการเปิดเผยข้อมูลตามข้อกำหนดหรือข้อบังคับของเหตุการณ์ทางไซเบอร์ที่สอดคล้องกัน
ในภาคส่วนขององค์กรส่วนใหญ่ ต่างก็เดินหน้าเพิ่มงบลงทุนด้านความปลอดภัยทางไซเบอร์ โดยรายงานของ PwC พบว่า องค์กรทั่วโลกยังคงเดินหน้าเพิ่มงบลงทุนด้านไซเบอร์อย่างต่อเนื่อง โดย 69% ของผู้บริหารที่ตอบแบบสำรวจกล่าวว่า ได้เพิ่มงบประมาณด้านไซเบอร์ในปีนี้ ขณะที่ 65% มีแผนที่จะขยายการลงทุนในด้านนี้มากขึ้นในปีหน้า ซึ่งสะท้อนให้เห็นถึงความสำคัญของความปลอดภัยทางไซเบอร์ ที่ถือเป็นภารกิจสำคัญสูงสุดของการวางแผนตั้งรับ (Resilience planning) ขององค์กร ทั้งนี้ ข้อมูลจากรายงานผลสำรวจฉบับนี้ยังชี้ด้วยว่า ภัยพิบัติจากการจู่โจมทางไซเบอร์นั้น ถูกจัดอันดับให้เป็นภัยคุกคามที่มีความร้ายแรงกว่าภาวะเศรษฐกิจโลกถดถอย หรือวิกฤตสุขภาพ
นอกจากนี้ ความกังวลเรื่องภัยไซเบอร์ยังได้ขยายวงกว้างไปสู่ทีมบริหารขององค์กร ซึ่งประธานเจ้าหน้าที่บริหาร (CEO) ส่วนใหญ่กำลังวางแผนในการเพิ่มการดำเนินการเพื่อแก้ไขปัญหาความปลอดภัยทางไซเบอร์ในปีหน้า โดย 52% กล่าวว่า พวกเขาจะขับเคลื่อนแผนงานที่สำคัญเพื่อปรับปรุงศักยภาพด้านไซเบอร์ขององค์กร ขณะที่ประธานเจ้าหน้าที่ฝ่ายการเงิน (CFO)อีกจำนวนมาก ก็มีแผนที่จะเพิ่มการลงทุนในโซลูชั่นด้านเทคโนโลยีไซเบอร์ (39%) กลยุทธ์และการประสานงานกับฝ่ายวิศวกรรมและฝ่ายปฏิบัติงาน (37%) รวมถึงการเพิ่มพูนทักษะและว่าจ้างผู้มีความชำนาญด้านไซเบอร์ (36%)
ด้วยเหตุนี้ ความปลอดภัยทางไซเบอร์ จึงเป็นวาระสำคัญขององค์กร โดยความเสียหายที่เกิดขึ้นจากการละเมิดข้อมูลนั้น มีมูลค่ามากกว่าความเสียหายทางการเงินโดยตรง ซึ่งจากข้อมูลของรายงานผลสำรวจพบว่า ระดับของความเสียหายที่องค์กรประสบจากการถูกละเมิดทางไซเบอร์ หรือข้อมูลส่วนบุคคลในช่วงสามปีที่ผ่านมา หมายรวมถึง การต้องสูญเสียลูกค้า (27%) การสูญเสียข้อมูลลูกค้า (25%) และความเสียหายต่อชื่อเสียงหรือแบรนด์ (23%) ด้วย
ขณะที่ “พันธ์ศักดิ์ เสตเสถียร” หุ้นส่วนสายงานที่ปรึกษาด้านความเสี่ยง บริษัท PwC ประเทศไทย มองว่า สำหรับประเทศไทย องค์กรกำลังเผชิญกับภัยคุกคามทางไซเบอร์เพิ่มขึ้น ส่วนหนึ่งเป็นผลจากการประยุกต์ใช้เทคโนโลยีดิจิทัลที่มีมากขึ้น ซึ่งการโจมตีทางไซเบอร์ด้วยโปรแกรมที่ถูกออกแบบมาให้เรียกค่าไถ่ข้อมูล (Ransomware) ถือเป็นภัยไซเบอร์ที่พบมากที่สุดในปีนี้
“แนวโน้มภัยไซเบอร์ที่เพิ่มขึ้น ถือเป็นสิ่งที่กระตุ้นเตือนให้องค์กรไทยต้องหันมาพิจารณาการลงทุนด้านระบบป้องกันความปลอดภัยของข้อมูล เพื่อลดความเสี่ยงและผลกระทบต่อภาพลักษณ์องค์กร และผลกระทบด้านการเงิน โดยในช่วงโควิด-19 ที่ผ่านมา เราจะเห็นว่า ธุรกิจมีการนำเทคโนโลยีเข้ามาประยุกต์ใช้เพิ่มขึ้นอย่างมีนัยสำคัญ ทั้งในรูปแบบของอีคอมเมิร์ซ โมบายแบงก์กิ้ง หรือแม้แต่การทำงานแบบ remote working ซึ่งพบว่า องค์กรส่วนมากมีการเพิ่มงบประมาณด้านความปลอดภัยทางไซเบอร์มากกว่าในช่วง 2-3 ปีก่อน แต่การให้ความสำคัญและการลงทุนในการป้องกันนั้นยังคงไม่เพียงพอ และมักจะลงทุนระหว่าง หรือหลังจากเกิดภัยคุกคามดังกล่าวแล้ว” นายพันธ์ศักดิ์ กล่าว
นอกจากนี้ ธุรกิจควรต้องสร้างการตระหนักรู้ด้านการรักษาความปลอดภัยทางไซเบอร์เบื้องต้นทั่วทั้งองค์กร ให้ครอบคลุมตั้งแต่ระดับผู้บริหารจนถึงพนักงาน และต้องมีผู้รับผิดชอบด้านการรักษาความปลอดภัยของข้อมูล และระบบสารสนเทศต่างๆ และที่สำคัญจะต้องมีการสื่อสารถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ให้กับพนักงาน ตลอดจนการปฏิบัติให้เห็นเป็นแบบอย่างโดยผู้บริหาร 
