คลังเก็บ

ความเสียหายที่มากกว่าเม็ดเงินเมื่อองค์กรถูกละเมิดข้อมูล

การปกป้องข้อมูลองค์กรและข้อมูลส่วนบุคคลกลายเป็นสิ่งจำเป็นสำหรับธุรกิจสมัยใหม่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ (SEA) โดยเฉพาะในช่วงสองปีที่ผ่านมา น่าเสียดายที่ภัยคุกคามใหม่ ๆ เกิดขึ้นระหว่างการระบาดใหญ่และการทำงานจากระยะไกลอย่างต่อเนื่อง ธุรกิจต่างๆ ต้องจัดการกับความเสี่ยงทางการเงินภายในและภัยคุกคามทางไซเบอร์จากภายนอก วันนี้ แคสเปอร์สกี้จะเจาะลึกถึงค่าใช้จ่ายที่เกิดจากการถูกละเมิดข้อมูลในปัจจุบันในภูมิภาคเอเชียตะวันออกเฉียงใต้ ทั้งด้านการเงินและด้านอื่น ๆ

รายงานของแคสเปอร์สกี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ระดับโลก เรื่อง ‘IT Security Economics 2021: Managing the trend of growing IT complexity’ แสดงให้เห็นว่าแม้จะมีภัยคุกคามใหม่ๆ แต่ค่าใช้จ่ายจากการถูกละเมิดข้อมูลทั่วโลกก็ไม่ได้เพิ่มขึ้นมากเกินไปในปี 2021

Kaspersky

จากการสัมภาษณ์ผู้ที่ทำงานในธุรกิจที่มีพนักงานมากกว่าห้าสิบคน จำนวนทั้งหมด 4,303 คน ใน 31 ประเทศช่วงเดือนพฤษภาคม – มิถุนายน 2021 โดยสอบถามเรื่องสถานะการรักษาความปลอดภัยด้านไอทีภายในองค์กร ประเภทของภัยคุกคามที่เจอ และค่าใช้จ่ายที่ต้องใช้ในการจัดการเมื่อฟื้นตัวจากการโจมตี ในรายงานนี้ ธุรกิจต่างๆ จะเรียกว่า ธุรกิจขนาดเล็กและขนาดกลางหรือ SMB (ธุรกิจที่มีพนักงาน 50 ถึง 999 คน) และเอ็นเทอร์ไพรซ์ (ธุรกิจที่มีพนักงานมากกว่า 1,000 คน)

จากการวิจัยแคสเปอร์สกี้พบว่าผลกระทบทางการเงินจากการถูกละเมิดข้อมูลสำหรับ SMB นั้นเพิ่มขึ้นเพียงเล็กน้อย (105,000 เหรียญสหรัฐในปี 2021 เทียบกับ 101,000 เหรียญสหรัฐในปี 2020) และสำหรับเอ็นเทอร์ไพรซ์นั้นลดลงอย่างน่าทึ่งถึง 15% เหลือ 927,000 เหรียญสหรัฐจาก 1.09 ล้านเหรียญสหรัฐในปี 2020 นับเป็นตัวเลขที่ต่ำกว่าตัวเลขต่ำสุดในปี 2017 (992,000 เหรียญสหรัฐ)

ในภูมิภาคเอเชียตะวันออกเฉียงใต้ ค่าใช้จ่ายเฉลี่ยจากการถูกละเมิดข้อมูลของเอ็นเทอร์ไพรซ์เพิ่มขึ้นเล็กน้อยที่ 716,000 เหรียญสหรัฐในปีนี้จาก 710,000 เหรียญสหรัฐในปี 2020 อย่างไรก็ตาม ผลกระทบทางการเงินที่มีต่อ SMB นั้นลดลงอย่างมาก จาก 92,000 เหรียญสหรัฐเมื่อสองปีที่แล้ว เหลือเพียง 74,000 เหรียญสหรัฐในปี 2021

นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “ค่าใช้จ่ายที่ลดลงอย่างมากจากการถูกละเมิดข้อมูลของ SMB ในภูมิภาคเกิดจากการที่ธุรกิจบางส่วนต้องปิดร้านค้าในช่วงภาวะฉุกเฉินด้านสุขภาพ ต้องใช้เวลาสักระยะก่อนจะเปิดและเริ่มฟื้นตัวได้ใหม่ สำหรับผลกระทบทางการเงินจากการถูกละเมิดข้อมูลของเอ็นเทอร์ไพรซ์นั้นไม่ได้เพิ่มขึ้นอย่างรวดเร็ว นั่นเพราะเราเห็นการปรับปรุงความสามารถในการตรวจจับภัยคุกคามของธุรกิจอย่างต่อเนื่อง”

“จากการที่เราปฏิสัมพันธ์กับลูกค้าและการรายงานข่าวเกี่ยวกับการโจมตีทางอินเทอร์เน็ตที่เพิ่มขึ้น ทำให้บริษัทต่างๆ ตระหนักดีถึงราคาที่อาจจ่ายหากละเลยการรักษาความปลอดภัย อย่างไรก็ตาม เมื่อการโจมตีถูกเปิดเผยต่อสื่อมวลชน ผลที่ตามมาก็เพิ่มขึ้นอย่างมาก ผลกระทบด้านชื่อเสียงเข้ามามีบทบาท และสร้างความเสียหายมากกว่าความเสียหายทางการเงิน”

การจำแนกค่าใช้จ่ายเพิ่มเติมโดยเฉลี่ยจากการถูกละเมิดข้อมูลของเอ็นเทอร์ไพรซ์ในภูมิภาค แสดงให้เห็นว่าเงินจำนวนมากถูกนำไปใช้ในการปรับปรุงซอฟต์แวร์และโครงสร้างพื้นฐาน (98,000 เหรียญสหรัฐ) การประชาสัมพันธ์เพิ่มเติมเพื่อแก้ไขความเสียหายของแบรนด์ (93,000 เหรียญสหรัฐ) การฝึกอบรมพนักงาน (90,000 เหรียญสหรัฐ) การจ้างผู้เชี่ยวชาญภายนอก (88,000 เหรียญสหรัฐ) และความเสียหายต่ออันดับเครดิตหรือเบี้ยประกัน (84,000 เหรียญสหรัฐ)

งานวิจัยอีกชิ้นของแคสเปอร์สกี้ได้พิสูจน์ว่าความเสียหายต่อชื่อเสียงที่เกิดจากการถูกละเมิดข้อมูลเพียงครั้งเดียวสามารถทำให้บริษัทเสียหายได้

การวิจัยเรื่อง “Mapping a secure path for the future of digital payments in APAC” พบว่าผู้ใช้ในเอเชียตะวันออกเฉียงใต้จำนวนเกือบครึ่ง (42%) จะไม่ซื้อสินค้าจากผู้ให้บริการอีคอมเมิร์ซหรือผู้ขายที่ถูกละเมิดข้อมูลหรือถูกโจมตีทางไซเบอร์

บริษัทที่มีประวัติข้อมูลรั่วไหลก็เช่นเดียวกันในการเลือกใช้วอลเล็ต ผู้ใช้จำนวนเกือบสองในห้าระบุว่าจะเลือกใช้ผู้ให้บริการชำระเงินดิจิทัลที่ไม่เกี่ยวข้องกับการถูกละเมิดข้อมูลหรือการโจมตีใดๆ มาก่อน

แคสเปอร์สกี้ขอแนะนำให้ SMB และเอ็นเทอร์ไพรซ์ปฏิบัติตามคำแนะนำด้านล่าง เพื่อช่วยบรรเทาการโจมตีทางไซเบอร์และลดค่าใช้จ่ายหากประสบกับการถูกละเมิดข้อมูล ดังต่อไปนี้

  • ตรวจสอบว่าองค์กรได้ใช้ระบบปฏิบัติการเวอร์ชันล่าสุด โดยเปิดการอัปเดตอัตโนมัติเพื่อให้แน่ใจว่าซอฟต์แวร์เป็นเวอร์ชันล่าสุดเสมอ
  • ใช้โซลูชันสำหรับเอ็นด์พอยต์ เช่น Kaspersky Integrated Endpoint Security ที่ช่วยประเมินช่องโหว่และจัดการแพตช์ เพื่อลดความเสี่ยงที่ช่องโหว่จะถูกโจมตีโดยอาชญากรไซเบอร์ สามารถขจัดช่องโหว่ในซอฟต์แวร์โครงสร้างพื้นฐานได้โดยอัตโนมัติ สามารถแพตช์เชิงรุกและดาวน์โหลดการอัปเดตซอฟต์แวร์ที่จำเป็น นอกจากนี้ยังสามารถตรวจจับพฤติกรรมและป้องกันการใช้ประโยชน์ และหยุดกิจกรรมที่น่าสงสัยได้
  • ให้ความรู้พนักงานเรื่องความสำคัญของการอัปเดตเทคโนโลยีและซอฟต์แวร์อย่างสม่ำเสมอ ตัวอย่างหลักสูตรการฝึกอบรมด้านไอที Kaspersky Automated Security Awareness Platform และ Kaspersky Adaptive Online Training 
  • พัฒนาแผนการจัดการวิกฤตกรณีพิเศษสำหรับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ โดยรวมผู้เข้าร่วมจากแผนกสำคัญๆ เข้าไว้ด้วยกัน ซึ่งรวมถึงฝ่ายไอที ฝ่ายความปลอดภัยไอที ฝ่ายกฎหมาย ฝ่ายความสัมพันธ์กับรัฐบาล นักลงทุนสัมพันธ์ ฝ่ายสนับสนุนลูกค้า และฝ่ายสื่อสารองค์กร
  • พิจารณาการฝึกอบรมเฉพาะสำหรับทุกๆ ฝ่ายที่เกี่ยวข้อง รวมถึงผู้เชี่ยวชาญด้านการสื่อสารและหัวหน้าฝ่ายความปลอดภัยไอที ตัวอย่างเช่น Kaspersky Incident Communications