แคสเปอร์สกี้ (Kaspersky) เผยค่าใช้จ่ายเฉลี่ยเมื่อองค์กรถูกละเมิดข้อมูลจากการโจมตีเพียงครั้งเดียวในอาเซียน พบองค์กรขนาดย่อม หรือ SMB สูญเงินกว่า 74,000 เหรียญสหรัฐ หรือ 2.48 ล้านบาท ขณะที่องค์กรขนาดใหญ่ หรือเอ็นเทอร์ไพรซ์สูญเงินเฉลี่ย 716,000 เหรียญ หรือราว 24.0 ล้านบาท ขณะเดียวกัน ยังมีความเสียหายอื่นที่มากกว่าเม็ดเงินด้วย
นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า ค่าใช้จ่ายจากการถูกละเมิดข้อมูลของ SMB ในภูมิภาค ส่วนใหญ่เกิดจากการที่ธุรกิจบางส่วนต้องปิดร้านค้าในช่วงภาวะฉุกเฉิน ต้องใช้เวลาสักระยะก่อนจะเปิดและเริ่มฟื้นตัวได้ใหม่ สำหรับผลกระทบทางการเงินจากการถูกละเมิดข้อมูลของเอ็นเทอร์ไพรซ์นั้นไม่ได้เพิ่มขึ้นอย่างรวดเร็ว เนื่องจากได้เห็นการปรับปรุงความสามารถในการตรวจจับภัยคุกคามของธุรกิจอย่างต่อเนื่อง
“จากการที่เราปฏิสัมพันธ์กับลูกค้าและการรายงานข่าวเกี่ยวกับการโจมตีทางอินเทอร์เน็ตที่เพิ่มขึ้น ทำให้บริษัทต่างๆ ตระหนักดีถึงราคาที่อาจจ่ายหากละเลยการรักษาความปลอดภัย อย่างไรก็ตาม เมื่อการโจมตีถูกเปิดเผยต่อสื่อมวลชน ผลที่ตามมาก็เพิ่มขึ้นอย่างมาก ผลกระทบด้านชื่อเสียงเข้ามามีบทบาท และสร้างความเสียหายมากกว่าความเสียหายทางการเงิน”
แคสเปอร์สกี้ชี้ว่า การปกป้องข้อมูลองค์กรและข้อมูลส่วนบุคคลกลายเป็นสิ่งจำเป็นสำหรับธุรกิจสมัยใหม่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ (SEA) โดยเฉพาะในช่วง 2 ปีที่ผ่านมา โดยภัยคุกคามใหม่เกิดขึ้นระหว่างการระบาดใหญ่และการทำงานจากระยะไกลอย่างต่อเนื่อง ขณะที่ธุรกิจต่างๆ ต้องจัดการกับความเสี่ยงทางการเงินภายในและภัยคุกคามทางไซเบอร์จากภายนอก ดังนั้น แคสเปอร์สกี้จึงทำการสำรวจถึงค่าใช้จ่ายที่เกิดจากการถูกละเมิดข้อมูลในปัจจุบันในภูมิภาคเอเชียตะวันออกเฉียงใต้ ทั้งด้านการเงินและด้านอื่นๆ โดยตั้งชื่อการสำรวจว่า “IT Security Economics 2021 : Managing the trend of growing IT complexity”
การสำรวจนี้แสดงให้เห็นว่าแม้จะมีภัยคุกคามใหม่ แต่ค่าใช้จ่ายจากการถูกละเมิดข้อมูลทั่วโลกนั้นไม่ได้เพิ่มขึ้นมากเกินไปในปี 2021 ซึ่งจากการสัมภาษณ์ผู้ที่ทำงานในธุรกิจที่มีพนักงานมากกว่า 50 คน จำนวนทั้งหมด 4,303 คน ใน 31 ประเทศช่วงเดือนพฤษภาคม-มิถุนายน 2021 โดยสอบถามเรื่องสถานะการรักษาความปลอดภัยด้านไอทีภายในองค์กร ประเภทของภัยคุกคามที่เจอ และค่าใช้จ่ายที่ต้องใช้ในการจัดการเมื่อฟื้นตัวจากการโจมตี ในรายงานนี้ธุรกิจต่างๆ จะเรียกว่าธุรกิจขนาดเล็กและขนาดกลาง หรือ SMB (ธุรกิจที่มีพนักงาน 50 ถึง 999 คน) และเอ็นเทอร์ไพรซ์ (ธุรกิจที่มีพนักงานมากกว่า 1,000 คน)
จากการวิจัย แคสเปอร์สกี้พบว่า ผลกระทบทางการเงินจากการถูกละเมิดข้อมูลสำหรับ SMB นั้นเพิ่มขึ้นเพียงเล็กน้อย (105,000 เหรียญสหรัฐในปี 2021 เทียบกับ 101,000 เหรียญสหรัฐในปี 2020) และสำหรับเอ็นเทอร์ไพรซ์นั้นลดลงอย่างน่าทึ่งถึง 15% เหลือ 927,000 เหรียญสหรัฐจาก 1.09 ล้านเหรียญสหรัฐในปี 2020 นับเป็นตัวเลขที่ต่ำกว่าตัวเลขต่ำสุดในปี 2017 (992,000 เหรียญสหรัฐ)
ในภูมิภาคเอเชียตะวันออกเฉียงใต้ ค่าใช้จ่ายเฉลี่ยจากการถูกละเมิดข้อมูลของเอ็นเทอร์ไพรซ์เพิ่มขึ้นเล็กน้อยที่ 716,000 เหรียญสหรัฐในปีนี้จาก 710,000 เหรียญสหรัฐในปี 2020 อย่างไรก็ตาม ผลกระทบทางการเงินที่มีต่อ SMB นั้นลดลงอย่างมาก จาก 92,000 เหรียญสหรัฐเมื่อ 2 ปีที่แล้ว เหลือเพียง 74,000 เหรียญสหรัฐในปี 2021
สำหรับการจำแนกค่าใช้จ่ายเพิ่มเติมโดยเฉลี่ยจากการถูกละเมิดข้อมูลของเอ็นเทอร์ไพรซ์ในภูมิภาค แสดงให้เห็นว่าเงินจำนวนมากถูกนำไปใช้ในการปรับปรุงซอฟต์แวร์และโครงสร้างพื้นฐาน (98,000 เหรียญสหรัฐ) การประชาสัมพันธ์เพิ่มเติมเพื่อแก้ไขความเสียหายของแบรนด์ (93,000 เหรียญสหรัฐ) การฝึกอบรมพนักงาน (90,000 เหรียญสหรัฐ) การจ้างผู้เชี่ยวชาญภายนอก (88,000 เหรียญสหรัฐ) และความเสียหายต่ออันดับเครดิตหรือเบี้ยประกัน (84,000 เหรียญสหรัฐ)
งานวิจัยอีกชิ้นของแคสเปอร์สกี้ได้พิสูจน์ว่าความเสียหายต่อชื่อเสียงที่เกิดจากการถูกละเมิดข้อมูลเพียงครั้งเดียวสามารถทำให้บริษัทเสียหายได้ นั่นคือการวิจัยเรื่อง “Mapping a secure path for the future of digital payments in APAC” พบว่าผู้ใช้ในเอเชียตะวันออกเฉียงใต้จำนวนเกือบครึ่ง (42%) จะไม่ซื้อสินค้าจากผู้ให้บริการอีคอมเมิร์ซ หรือผู้ขายที่ถูกละเมิดข้อมูลหรือถูกโจมตีทางไซเบอร์
ขณะเดียวกัน บริษัทที่มีประวัติข้อมูลรั่วไหลก็เช่นเดียวกันในการเลือกใช้วอลเล็ต ผู้ใช้จำนวนเกือบสองในห้าระบุว่า จะเลือกใช้ผู้ให้บริการชำระเงินดิจิทัลที่ไม่เกี่ยวข้องกับการถูกละเมิดข้อมูลหรือการโจมตีใดๆ มาก่อน ดังนั้น แคสเปอร์สกี้จึงแนะนำให้ SMB และเอ็นเทอร์ไพรซ์ปฏิบัติตามคำแนะนำ เพื่อช่วยบรรเทาการโจมตีทางไซเบอร์และลดค่าใช้จ่ายหากประสบกับการถูกละเมิดข้อมูล
คำแนะนำประกอบด้วย 1.ตรวจสอบว่าองค์กรได้ใช้ระบบปฏิบัติการเวอร์ชันล่าสุด โดยเปิดการอัปเดตอัตโนมัติเพื่อให้แน่ใจว่าซอฟต์แวร์เป็นเวอร์ชันล่าสุดเสมอ 2.ใช้โซลูชันสำหรับเอ็นด์พอยต์ เช่น Kaspersky Integrated Endpoint Security ที่ช่วยประเมินช่องโหว่และจัดการแพตช์ เพื่อลดความเสี่ยงที่ช่องโหว่จะถูกโจมตีโดยอาชญากรไซเบอร์ สามารถขจัดช่องโหว่ในซอฟต์แวร์โครงสร้างพื้นฐานได้โดยอัตโนมัติ สามารถแพตช์เชิงรุกและดาวน์โหลดการอัปเดตซอฟต์แวร์ที่จำเป็น นอกจากนี้ ยังสามารถตรวจจับพฤติกรรมและป้องกันการใช้ประโยชน์ และหยุดกิจกรรมที่น่าสงสัยได้
3.ให้ความรู้พนักงานเรื่องความสำคัญของการอัปเดตเทคโนโลยีและซอฟต์แวร์อย่างสม่ำเสมอ ตัวอย่างหลักสูตรการฝึกอบรมด้านไอที Kaspersky Automated Security Awareness Platform และ Kaspersky Adaptive Online Training 4.พัฒนาแผนการจัดการวิกฤตกรณีพิเศษสำหรับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ โดยรวมผู้เข้าร่วมจากแผนกสำคัญๆ เข้าไว้ด้วยกัน ซึ่งรวมถึงฝ่ายไอที ฝ่ายความปลอดภัยไอที ฝ่ายกฎหมาย ฝ่ายความสัมพันธ์กับรัฐบาล นักลงทุนสัมพันธ์ ฝ่ายสนับสนุนลูกค้า และฝ่ายสื่อสารองค์กร และ 5.พิจารณาการฝึกอบรมเฉพาะสำหรับทุกๆ ฝ่ายที่เกี่ยวข้อง รวมถึงผู้เชี่ยวชาญด้านการสื่อสารและหัวหน้าฝ่ายความปลอดภัยไอที