รายงานจากไอบีเอ็มชี้ มูลค่าความเสียหายจากเหตุข้อมูลรั่ว พุ่งสูงเป็นประวัติการณ์ในช่วงการแพร่ระบาดโควิด-19 แนะใช้ AI, Hybrid Cloud และ Zero Trust ช่วยลดมูลค่าความเสียหายได้
วันนี้ (30 กรกฎาคม 2564) ไอบีเอ็ม ซีเคียวริตี้ (IBM Security) และสถาบันโพเนมอน ประกาศผลการศึกษาทั่วโลก พบเหตุข้อมูลรั่วไหลก่อให้เกิดมูลค่าความเสียหายแก่บริษัทที่สำรวจเฉลี่ยสูงกว่า 139 ล้านบาทต่อครั้ง ซึ่งนับว่าสูงที่สุดในรอบ 17 ปีนับแต่เริ่มทำการสำรวจ โดยจากการวิเคราะห์เหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้นกับองค์กรกว่า 500 แห่งทั่วโลก พบมูลค่าความเสียหายของเหตุด้าน Cyber Security เพิ่มขึ้น อีกทั้งยังจัดการยากขึ้น เพราะองค์กรมีการปรับรูปแบบการดำเนินงานครั้งใหญ่ อีกทั้งค่าใช้จ่ายยังเพิ่มขึ้นถึง 10% เมื่อเทียบกับปีที่ผ่านมา
โดยรายงานมูลค่าความเสียหายจากเหตุการณ์ข้อมูลรั่วไหลประจำปี 2564 ได้วิเคราะห์ข้อมูลที่รั่วไหลในเชิงลึกราว 100,000 รายการ จากเหตุที่องค์กรทั่วโลกกว่า 500 แห่ง เผชิญในช่วงระหว่างเดือนพฤษภาคม 2563 ถึงมีนาคม 2564 โดยพิจารณาจากปัจจัยที่ก่อให้เกิดความเสียหายหลายร้อยปัจจัย ตั้งแต่ปัจจัยทางกฎหมาย ระเบียบข้อบังคับ กิจกรรมเชิงเทคนิค ไปจนถึงองค์ประกอบของคุณค่าของแบรนด์ ลูกค้า และผลิตภาพของพนักงาน
ในปีที่แล้ว องค์กรต่างถูกบีบให้ต้องปรับตัวและนำเทคโนโลยีมาใช้อย่างรวดเร็ว หลายบริษัทต้องให้พนักงานทำงานจากบ้าน ในขณะที่องค์กร 60% ปรับงานสู่ระบบบนคลาวด์มากขึ้นในช่วงการแพร่ระบาด [1] ผลการศึกษาล่าสุดชี้ให้เห็นว่าระบบ Security ขององค์กรอาจยังปรับตัวตามระบบไอทีที่เปลี่ยนแปลงอย่างรวดเร็วไม่ทัน และกลายเป็นอุปสรรคต่อการรับมือเหตุข้อมูลรั่วไหลขององค์กร
ซึ่งรายงานมูลค่าความเสียหายของเหตุการณ์ข้อมูลรั่วไหลประจำปี ที่ดำเนินการโดยสถาบันโพเนมอน ภายใต้การสนับสนุนและวิเคราะห์โดยไอบีเอ็ม ซีเคียวริตี้ ระบุถึงเทรนด์สำคัญ ดังนี้
- ผลกระทบจากการทำงานระยะไกล: เห็นได้ว่าการปรับโหมดสู่การทำงานระยะไกลอย่างรวดเร็วทำให้มูลค่าความเสียหายจากเหตุการณ์ข้อมูลรั่วไหลสูงขึ้น โดยเคสที่มีปัจจัยต้นเหตุมาจากการทำงานระยะไกลสร้างความเสียหายมากกว่าเคสทั่วไปที่ไม่มีปัจจัยดังกล่าวเข้ามาเกี่ยวข้อง เฉลี่ยกว่า 35 ล้านบาท (มูลค่าความเสียหาย 162 ล้านบาท เทียบกับ 127 ล้านบาท) [2]
- ความเสียหายจากข้อมูลเฮลธ์แคร์รั่วพุ่งสูง: อุตสาหกรรมที่ต้องเผชิญกับความเปลี่ยนแปลงอย่างมากในช่วงการแพร่ระบาด อย่างเฮลธ์แคร์ ค้าปลีก บริการ และการผลิต/กระจายสินค้าอุปโภค-บริโภค ต้องเผชิญกับค่าใช้จ่ายจากเหตุข้อมูลรั่วเพิ่มขึ้นเมื่อเทียบกับปีที่ผ่านมา โดยเหตุข้อมูลรั่วในกลุ่มเฮลธ์แคร์สร้างความเสียหายมากที่สุด คือราว 303 ล้านบาทต่อเคส ซึ่งเพิ่มขึ้นกว่า 60 ล้านบาทต่อเคสเมื่อเทียบกับปีที่ผ่านมา
- ข้อมูลรับรองตัวตนของบุคคลรั่ว นำสู่ข้อมูลรั่ว: ข้อมูลรับรองตัวตนของบุคคลที่ถูกขโมยคือต้นเหตุของข้อมูลรั่วไหลที่พบมากที่สุด โดยข้อมูลส่วนบุคคลของลูกค้า (เช่น ชื่อ อีเมล และพาสเวิร์ด) คือชุดข้อมูลที่พบมากที่สุดในเหตุข้อมูลรั่วไหล หรือราว 44% ของเหตุที่เกิดขึ้น การที่ข้อมูลชื่อผู้ใช้และพาสเวิร์ดรั่วไปพร้อมกันอาจนำสู่ผลที่ร้ายแรงกว่าที่คิด เพราะเป็นการเปิดช่องการโจมตีในอนาคตให้กับอาชญากร
- เทคโนโลยีก้าวล้ำช่วยลดมูลค่าความเสียหาย: การนำเทคโนโลยีปัญญาประดิษฐ์ (AI), Security, Analytics และการเข้ารหัสมาใช้ เป็นหนึ่งในสามปัจจัยหลักที่ช่วยลดมูลค่าความเสียหายจากเหตุข้อมูลรั่วให้กับองค์กรได้ประมาณ 41-48 ล้านบาท เมื่อเทียบกับองค์กรที่ไม่ได้มีการนำเทคโนโลยีเหล่านี้มาใช้อย่างจริงจัง โดยการศึกษาเหตุการเจาะข้อมูลบนระบบคลาวด์ พบว่าองค์กรที่ใช้แนวทาง Hybrid Cloud มีมูลค่าความเสียหายจากเหตุข้อมูลรั่ว 118 ล้านบาท ซึ่งน้อยกว่ากลุ่มที่ใช้ Public Cloud เป็นหลัก (157 ล้านบาท) หรือกลุ่มที่ใช้ Private Cloud เป็นหลัก (149 ล้านบาท)
นายคริส แมคเคอร์ดี รองประธานและกรรมการผู้จัดการ ไอบีเอ็ม ซิเคียวริตี้ กล่าวว่า “มูลค่าความเสียหายจากเหตุข้อมูลรั่วไหลที่พุ่งสูงขึ้นกลายเป็นภาระค่าใช้จ่ายที่เพิ่มขึ้นขององค์กร ในขณะที่องค์กรเองก็ต้องปรับตัวอย่างรวดเร็วเพื่อนำเทคโนโลยีมาใช้ในช่วงการแพร่ระบาด”
“แม้ว่ามูลค่าความเสียหายจากเหตุข้อมูลรั่วไหลจะสูงเป็นประวัติการณ์ในปีที่ผ่านมา แต่ผลการศึกษาก็ชี้ให้เห็นแนวโน้มเชิงบวกจากการนำเทคโนโลยี Security ที่ก้าวล้ำเข้ามาใช้ ไม่ว่าจะเป็น AI, Automation หรือ Zero Trust โดยเทคโนโลยีเหล่านี้อาจนำสู่มูลค่าความเสียหายที่ลดลงในอนาคต” นายคริส กล่าว
ผลกระทบจากการทำงานระยะไกลและการใช้คลาวด์
หลายองค์กรปรับตัวสู่การทำงานระยะไกลและเริ่มใช้คลาวด์มากขึ้น เพื่อรองรับการใช้โลกออนไลน์ที่เพิ่มขึ้น และการที่สังคมหันพึ่งการปฏิสัมพันธ์ดิจิทัลเพิ่มขึ้นมากในช่วงการแพร่ระบาด รายงานชี้ให้เห็นว่าปัจจัยเหล่านี้ก่อให้เกิดผลกระทบ โดยองค์กรเกือบ 20% ระบุว่าการทำงานระยะไกลคือสาเหตุของเหตุข้อมูลรั่ว ซึ่งสร้างความเสียหายให้บริษัทถึง 162 ล้านบาท (สูงกว่าเหตุข้อมูลรั่วโดยเฉลี่ย 15%)
การศึกษาพบว่าบริษัทที่อยู่ในช่วง cloud migration ต้องเผชิญกับมูลค่าความเสียหายจากเหตุข้อมูลรั่วมากกว่าค่าเฉลี่ย 18.8% แต่องค์กรที่ไปไกลกว่าคืออยู่ในช่วง cloud modernization สามารถตรวจพบและตอบสนองต่อเหตุต่างๆ ได้ดีกว่า โดยใช้เวลาในการแก้ปัญหาเร็วกว่าบริษัทที่พึ่งเริ่มใช้คลาวด์ถึง 77 วัน นอกจากนี้ บริษัทที่ใช้แนวทางไฮบริดคลาวด์มีค่าใช้จ่ายจากเหตุข้อมูลรั่ว (118 ล้านบาท) ซึ่งน้อยกว่ากลุ่มที่ใช้พับลิคคลาวด์เป็นหลัก (157 ล้านบาท) หรือกลุ่มที่ใช้ไพรเวทคลาวด์เป็นหลัก (149 ล้านบาท)
ข้อมูลรับรองตัวตนของบุคคลรั่วไหล กระพือความเสี่ยง
รายงานยังชี้ให้เห็นถึงปัญหาที่ทวีความรุนแรงขึ้น จากการที่ข้อมูลลูกค้า (ซึ่งรวมถึงข้อมูลรับรองตัวตนของบุคคล) ถูกเจาะในเหตุข้อมูลรั่ว ซึ่งข้อมูลเหล่านี้อาจถูกนำมาใช้ในการโจมตีอื่นๆ ในอนาคตได้
โดย 82% ของกลุ่มบุคคลที่สำรวจยอมรับว่าใช้พาสเวิร์ดเดิมซ้ำในหลายแอคเคาท์ ซึ่งไม่เพียงแต่เป็นต้นเหตุและผลลัพธ์หลักของเหตุข้อมูลรั่ว แต่ยังเพิ่มความเสี่ยงให้กับธุรกิจต่างๆ ด้วย
- ข้อมูลส่วนบุคคลรั่วไหล: เกือบครึ่ง (44%) ของเหตุข้อมูลรั่วที่วิเคราะห์ เป็นต้นเหตุที่ทำให้ข้อมูลลูกค้าหลุดออกไป ไม่ว่าจะเป็นชื่อ อีเมล พาสเวิร์ด หรือแม้แต่ข้อมูลด้านสุขภาพ เหล่านี้เป็นชุดข้อมูลที่พบว่ามีการรั่วไหลมากที่สุด
- ข้อมูลส่วนบุคคลของลูกค้าสร้างมูลค่าความเสียหายสูงสุด: การสูญเสียข้อมูลส่วนบุคคลของลูกค้า (personal identifiable information: PII) มีมูลค่าความเสียหายสูงกว่าข้อมูลประเภทอื่นๆ (ราว 6,000 บาทต่อรายการ เมื่อเทียบกับค่าเฉลี่ย 5,300 บาทของข้อมูลประเภทอื่น)
- วิธีการโจมตีที่พบมากที่สุด: การเจาะระบบด้วยข้อมูลรับรองตัวตนของบุคคลที่รั่ว คือวิธีการเริ่มต้นโจมตีที่อาชญากรใช้มากที่สุด นับเป็น 20% ของเหตุข้อมูลรั่วไหลที่ศึกษา
- ใช้เวลาตรวจจับและควบคุมนานกว่า: เหตุข้อมูลรั่วไหลที่มีสาเหตุมาจากการเจาะข้อมูลรับรองตัวตนของบุคคล ใช้เวลานานที่สุดกว่าจะตรวจพบ คือเฉลี่ย 250 วัน (เทียบกับค่าเฉลี่ย 212 วันในเหตุทั่วไป)
ธุรกิจที่มีการปรับระบบให้ทันสมัย มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วน้อยกว่า
แม้การปรับเปลี่ยนระบบไอทีในช่วงการแพร่ระบาดจะนำสู่มูลค่าความเสียหายจากเหตุข้อมูลรั่วที่เพิ่มขึ้น แต่องค์กรที่ระบุว่าไม่ได้มีการดำเนินโครงการ Digital Transformation เพื่อปรับระบบปฏิบัติการทางธุรกิจให้มีความทันสมัยขึ้นแต่อย่างใด คือกลุ่มที่เผชิญกับมูลค่าความเสียหายจากเหตุข้อมูลรั่วสูงกว่า โดยสูงกว่าองค์กรอื่นประมาณ 24.6 ล้านบาทต่อเคส (16.6%)
องค์กรที่ระบุว่าใช้แนวทาง Security แบบ Zero Trust มีความพร้อมในการรับมือเหตุข้อมูลรั่วไหลได้ดีกว่า โดย Zero Trust เป็นแนวทางบนพื้นฐานของสมมติฐานที่ว่า ทั้งข้อมูลระบุตัวตนของผู้ใช้และตัวเน็ตเวิร์คเองอาจถูกเจาะแล้ว ดังนั้นจึงใช้ AI และ Analytics เข้ามาทำหน้าที่รับรองการเชื่อมต่อระหว่างผู้ใช้ ข้อมูล และทรัพยากรต่างๆ แทน โดยองค์กรที่ใช้กลยุทธ์ Zero Trust มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วเฉลี่ย 108 ล้านบาทต่อเคส ซึ่งต่ำกว่าองค์กรที่ไม่ได้ใช้แนวทางดังกล่าวราว 58 ล้านบาท
รายงานยังระบุว่าองค์กรหันมาใช้เทคโนโลยี Security แบบ Automation มากขึ้นเมื่อเทียบกับปีก่อนหน้า ซึ่งช่วยลดค่าใช้จ่ายลงอย่างเห็นได้ชัด โดยประมาณ 65% ขององค์กรที่สำรวจรายงานว่าได้เริ่มใช้หรือติดตั้งออโตเมชันในระบบ Security เรียบร้อยแล้ว เมื่อเทียบกับเพียง 52% เมื่อสองปีที่ผ่านมา องค์กรที่ติดตั้งระบบซิเคียวริตี้ออโตเมชันเรียบร้อยแล้ว มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วเฉลี่ย 95 ล้านบาทต่อเคส ขณะที่องค์กรที่ไม่มีการนำ Automation มาใช้มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วสูงกว่าเป็นเท่าตัว คือเฉลี่ย 220 ล้านบาทต่อเคส
การลงทุนพัฒนาทีมและแผนตอบสนองต่อเหตุโจมตียังเป็นหนึ่งในแนวทางที่ช่วยลดมูลค่าความเสียหายจากเหตุข้อมูลรั่ว โดยองค์กรที่มีทีมรับมือเหตุโจมตีและมีการทดสอบแผนการรับมือ มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วเฉลี่ย 106 ล้านบาท ขณะที่องค์กรที่ไม่มีทั้งทีมงานและแผนรับมือ ต้องสูญเสียค่าใช้จ่ายจากเหตุข้อมูลรั่วเฉลี่ย 187 ล้านบาท (ต่างกัน 54.9%)
การศึกษายังชี้ให้เห็นถึงข้อมูลเพิ่มเติม ดังนี้
- เวลาที่ใช้ในการตอบสนอง: ระยะเวลาเฉลี่ยที่องค์กรใช้ในการตรวจจับและควบคุมเหตุข้อมูลรั่วนานขึ้นกว่าปีที่ผ่านมา คืออยู่ที่ 287 วัน (ใช้เวลา 212 วันกว่าจะตรวจพบ และ 75 วันในการควบคุมและแก้ไข)
- เหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่: เหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ๆ ที่มีข้อมูลรั่วระหว่าง 50-65 ล้านรายการ มีมูลค่าความเสียหายเฉลี่ย 13,100 ล้านบาท [3] ซึ่งมากกว่าเหตุส่วนใหญ่ที่เกิดขึ้น (ข้อมูลรั่วประมาณ 1,000-100,000 รายการ) เกือบ 100 เท่า
- มองภาพอุตสาหกรรม: เหตุข้อมูลรั่วไหลในอุตสาหกรรมเฮลธ์แคร์มีมูลค่าความเสียหายสูงสุด (ราว 303 ล้านบาทต่อเคส) ตามมาด้วยอุตสาหกรรมการเงิน (188 ล้านบาท) และเภสัชกรรม (165 ล้านบาท) โดยแม้กลุ่มอุตสาหกรรมค้าปลีก สื่อ บริการ และภาครัฐ จะมีมูลค่าความเสียหายต่ำกว่า แต่ก็ถือว่ามีมูลค่าความเสียหายเพิ่มขึ้นเมื่อเทียบกับปีก่อนหน้า
- เทียบประเทศ/ภูมิภาค: สหรัฐอเมริกาต้องเผชิญกับมูลค่าความเสียหายจากเหตุข้อมูลรั่วสูงสุดที่ 297 ล้านบาทต่อเคส ตามมาด้วยกลุ่มประเทศตะวันอออกกลาง (227 ล้านบาท) และแคนาดา (177 ล้านบาท)
ดาวน์โหลดรายงานมูลค่าความเสียหายจากเหตุการณ์ข้อมูลรั่วไหลประจำปี 2564 ได้ที่ ibm.com/databreach
ข้อมูลอ้างอิง:
[1] IBM Institute for Business Value: COVID-19 and the future of business
[2] Average cost of $4.96 million for those surveyed where remote work was a factor vs. $3.89 million when remote work was not a factor
[3] The 2021 Cost of a Data Breach Report examines the cost of a mega breach based on a separate analysis of a specific sample involving loss or theft of one million records or more. The mega breach sample is not included in the overall average data breach report calculations, which examines data breaches ranging from 1,000-100,000 records.