สำรวจพบจำนวนภัยคุกคามข้อมูลสารสนเทศและอาชญากรรมไซเบอร์ทั่วโลกขยายตัว 25% ในปีที่ผ่านมา ภาคธุรกิจต้องตื่นตัวและตระหนักถึงภัยคุกคามความปลอดภัยข้อมูลขององค์กร ย้ำบริษัทไทยต้องเร่งปรับกลยุทธ์ พร้อมกำหนดนโยบายรักษาความปลอดภัยที่ทันสมัย เพื่อบริหารความเสี่ยงและรับมือกับมิจฉาชีพและการโจรกรรมข้อมูลที่ซับซ้อน พร้อมเตรียมตัวกับการเปิดประชาคมเศรษฐกิจอาเซียนที่กำลังจะมาถึง คาดแนวโน้มภัยมืดโตต่อในอีก 2-3 ปีข้างหน้า
บริษัท PwC ประเทศไทย (ไพร้ซวอเตอร์เฮาส์คูเปอร์ส) เปิดเผยถึงผลสำรวจสถานะความปลอดภัยข้อมูลสารสนเทศทั่วโลกประจำปีพ.ศ.2557 ว่า ปัญหาภัยคุกคามข้อมูลสารสนเทศ (Information security) มีแนวโน้มที่จะขยายตัวเพิ่มขึ้นในระยะ 2-3 ปีข้างหน้า หลังผลสำรวจผู้บริหารกว่า 9,600 ราย ระบุว่า จำนวนภัยคุกคามความปลอดภัยข้อมูลและอาชญากรรมไซเบอร์ทั่วโลกขยายตัวสูงขึ้นถึง 25% ในปีที่ผ่านมา แม้ภาคธุรกิจจะมีการลงทุนเพิ่มเพื่อพัฒนาระบบฯ และมีบริษัทเพียง 17% เท่านั้นที่มีมาตรฐานการรักษาความปลอดภัยข้อมูลอยู่ในระดับสูงอย่างแท้จริง
ดังนั้น ภาคธุรกิจและรัฐบาลไทยต้องหันมาตื่นตัวในการแก้ปัญหาอย่างจริงจัง พร้อมมีมาตรการในการรักษาความปลอดภัยข้อมูลอย่างชัดเจนและเป็นระบบ เพื่อสร้างศักยภาพในการแข่งขันและเตรียมความพร้อมก่อนการเปิดประชาคมเศรษฐกิจอาเซียนในปลายปี 2558
สำหรับผลสำรวจสถานะความปลอดภัยข้อมูลสารสนเทศทั่วโลก ประจำปี 2557 (The Global State of Information Security® Survey 2014) พบว่า มีผู้บริหารด้านไอทีทั่วโลกถึง 74% ที่มั่นใจว่าธุรกิจของตน มีการบริหารจัดการข้อมูลสารสนเทศอย่างรัดกุมและมีประสิทธิภาพ ในจำนวนนี้ยังมีผู้บริหารระดับสูงกว่าครึ่ง หรือ 50% ที่หลงคิดว่าองค์กรของตนมีการประยุกต์ใช้กลยุทธ์และการวางแผนระบบรักษาความปลอดภัยข้อมูลที่ดีเลิศอยู่ในอันดับต้นๆ หรือที่เรียกว่า Front runners
PwC ให้คำจำกัดความของคำว่า Front runners หรือ ‘องค์กรที่มีความมั่นคงด้านความปลอดภัยข้อมูล’ โดยวัดจากบริษัทที่มีการดำเนินการในด้านต่างๆ ประกอบไปด้วย การมีกลยุทธ์การรักษาความปลอดภัยข้อมูลสารสนเทศของบริษัทที่ครอบคลุม มีผู้บริหารฝ่ายรักษาความปลอดภัยข้อมูล (Chief Information Security Officer: CISO) หรือเทียบเท่า รายงานตรงต่อซีอีโอ ประธานเจ้าหน้าที่บริหารฝ่ายการเงิน ประธานเจ้าหน้าที่บริหารฝ่ายปฏิบัติการ หรือผู้ให้คำปรึกษาทางด้านกฎหมาย มีการวัดผลและประเมินประสิทธิภาพของระบบรักษาความปลอดภัยอย่างสม่ำเสมอ และมีความรู้ความเข้าใจอย่างถ่องแท้ถึงภัยคุกคามข้อมูลสารสนเทศประเภทต่างๆ
นางสาววิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา บริษัท PwC Consulting (ประเทศไทย) กล่าวว่า จำนวนภัยคุกคามข้อมูลสารสนเทศและอาชญากรรมไซเบอร์ทั่วโลกในปีที่ผ่านมา มีจำนวนเพิ่มขึ้นเป็น 3,741 เหตุการณ์ หรือเติบโต 25% จากปีก่อน ในขณะที่ความเสียหายทางการเงิน (Financial losses) ที่เกิดจากภัยคุกคามข้อมูลองค์กรก็เติบโตในทิศทางเดียวกัน โดยปรับตัวเพิ่มขึ้น 18% ในช่วงเดียวกันของปีก่อน
ทั้งนี้ งบค่าใช้จ่ายด้านการรักษาความปลอดภัยข้อมูล (Information security budget) องค์กรทั่วโลก มีมูลค่าเฉลี่ยที่ 4.3 ล้านเหรียญสหรัฐฯ โดยปรับตัวสูงขึ้นอย่างมีนัยสำคัญจากปีก่อนถึง 51% อย่างไรก็ตาม งบลงทุนฯ ด้านนี้คิดเป็นสัดส่วนเพียง 3.8% ของงบลงทุนด้านไอทีทั้งหมด
“เราจะเห็นได้ว่าจำนวนภัยคุกคามข้อมูลสารสนเทศและอาชญากรรมไซเบอร์ทั่วโลกมีการปรับตัวเพิ่มขึ้นเรื่อยๆ แม้ว่าภาคธุรกิจจะมีการลงทุนในด้านนี้เพิ่มเติมในช่วงที่ผ่านมา สะท้อนให้เห็นว่าการรักษาความปลอดภัยที่ไม่ได้ประสิทธิภาพประกอบกับการใช้กลยุทธ์ที่ล้าสมัย ถือเป็นปัจจัยถ่วงที่ทำให้องค์กรทั่วโลกส่วนใหญ่ มีการบริหารจัดการความปลอดภัยข้อมูลอย่างไม่ตรงจุด และเป็นที่มาของความเสี่ยงทางธุรกิจที่เพิ่มขึ้น”นางสาววิไลพรกล่าว
“ผู้บริหารบริษัททั่วโลกส่วนใหญ่ที่เราสำรวจ ยังคงประเมินตัวเองสูงเกินไป หลายๆ คนคิดว่า ตนมีระบบความปลอดภัยข้อมูลที่รัดกุมและเพียงพอ น่าสนใจว่า มี 30% ของผู้บริหารเหล่านี้ล้วนมาจากองค์กรขนาดใหญ่ที่มีรายได้มากกว่า 1 พันล้านเหรียญฯ ทั้งสิ้น”
นางสาววิไลพรกล่าวต่อว่า ยิ่งผู้ประกอบการฯ ประเมินความเสี่ยงในเรื่องนี้ต่ำเกินไป ก็จะยิ่งเป็นการเปิดช่องโหว่ให้ธุรกิจเกิดความเสี่ยงจากการประพฤติมิชอบ ก่อให้เกิดความเสียหายเป็นมูลค่ามหาศาล
ผลสำรวจยังพบว่า จำนวนของบริษัทที่ไม่รู้ว่ามีภัยคุกคามข้อมูลเกิดขึ้นกับบริษัทของตน ปรับตัวเพิ่มขึ้นเป็น 2 เท่าในช่วง 2 ปีที่ผ่านมา สะท้อนให้เห็นว่า มีบริษัทเป็นจำนวนมากที่ใช้กลยุทธ์ป้องกันความปลอดภัยข้อมูลที่ล้าสมัย และมีผู้บริหารจากการสำรวจทั่วโลกเพียง 17% เท่านั้นที่มีคุณสมบัติเข้าข่ายการเป็นผู้นำความปลอดภัยข้อมูลอย่างแท้จริง (True information security leaders)
‘แฮ็กเกอร์’ แชมป์วายร้ายจารกรรมข้อมูลนอกองค์กร
ผลจากการสำรวจระบุว่า อินไซเดอร์ (Insider) หรือบรรดากลุ่มผู้ใช้ข้อมูลภายใน ได้แก่ พนักงานบริษัทในปัจจุบัน (31%) และพนักงานเก่าของบริษัท (27%) มีแนวโน้มที่จะประกอบการโจรกรรมข้อมูลภายในองค์กรมากที่สุด
ในขณะเดียวกัน ผู้บริหารถึง 32% มองว่า แฮ็กเกอร์ (Hacker) เป็นอาชญากรข้อมูลนอกองค์กรอันดับ 1 ตามด้วยคู่แข่ง (14%), อาชญากรรมแบบมีการวางแผนและจัดการล่วงหน้า หรือออร์แกไนซ์คราม (12%), กลุ่มนักเคลื่อนไหว นักต่อต้าน (10%), ผู้ก่อการร้าย (8%), และอื่นๆ
อเมริกาใต้-เอเชียแปซิฟิกขึ้นแท่นผู้นำลงทุนความปลอดภัยข้อมูลปี ’57
อย่างไรก็ตาม เมื่อมองแนวโน้มการลงทุนด้านความปลอดภัยข้อมูลสารสนเทศ (Information security spending) ในแต่ละภูมิภาคทั่วโลกพบว่า แนวโน้มการใช้จ่ายเพื่อลงทุนด้านความปลอดภัยข้อมูลของผู้บริหารในทวีปอเมริกาใต้ และเอเชียแปซิฟิกมีความร้อนแรง แซงหน้าธุรกิจในแถบอเมริกาเหนือ และยุโรป ที่ยังคงเผชิญกับการชะลอตัวทางเศรษฐกิจและการฟื้นตัวอย่างช้าๆ จากปัญหาวิกฤตหนี้
โดยจะเห็นได้ว่ามีผู้บริหารฯ บริษัทในเอเชียถึง 60% ที่ยังคงความมั่นใจในการลงทุนเพิ่มเพื่อพัฒนาความปลอดภัยข้อมูลองค์กรในระยะข้างหน้า เปรียบเทียบกับ 61% ในปีก่อน ซึ่งถึงแม้จะลดลงนิดหน่อย แต่ยังถือว่าเป็นทวีปที่มีอัตราสูงสุดเป็นอันดับสองรองจากทวีปอเมริกาใต้ที่ 66% และนำหน้ายุโรปที่ 46% และอเมริกาเหนือที่ 38% ตามลำดับ
ด้านนายศิระ อินทรกำธชัย ประธานกรรมการบริหาร บริษัท PwC ประเทศไทย กล่าวเสริมว่า ในยุคที่นวัตกรรมไอที ไม่ว่าจะเป็นอุปกรณ์สื่อสารที่ทันสมัย สื่อสังคมออนไลน์ (Social media) คลาวน์คอมพิวติ้ง (Cloud computing) และแนวคิดของการนำอุปกรณ์สื่อสารส่วนตัวมาใช้ในการทำงาน (Bring your own device: BYOD) เข้ามามีบทบาทต่อการดำเนินธุรกิจในปัจจุบัน ความเสี่ยงทางธุรกิจที่พบมากเป็นอันดับต้นๆ คือการรับเอาเทคโนโลยีมาใช้โดยไม่ได้คำนึงถึงการรักษาความปลอดภัยของข้อมูลในระดับที่เพียงพอควบคู่กันไปด้วย
“การใช้งานระบบสารสนเทศอย่างแพร่หลายในชีวิตประจำวัน ทำให้เกิดการคาบเกี่ยวของการใช้งานอุปกรณ์ไอทีสำหรับการทำงานและเรื่องส่วนตัว ซึ่งถือเป็นโจทย์ใหญ่ขององค์กรหลายแห่งทั่วโลกในปัจจุบัน ว่าจะมีวิธีบริหารจัดการอย่างไรเพื่อให้การทำงานแบบเคลื่อนที่ หรือแนวคิดแบบ BYOD ที่สามารถเรียกใช้ข้อมูลจากที่ไหน เมื่อไหร่ก็ได้ ตามที่ต้องการ มีความปลอดภัย และป้องกันการสูญหายของข้อมูลได้มากที่สุด”นายศิระกล่าว
ผลสำรวจพบว่า มีบริษัทมากเกือบครึ่งหรือ 47% ทั่วโลกที่มีการใช้ระบบคลาวน์คอมพิวติ้ง แต่ในทางตรงกันข้าม มีเพียง 18% ที่มีโซลูชั่นรักษาความปลอดภัยข้อมูลบนระบบคลาวด์
“จริงอยู่ที่เราจะเห็นบริษัทส่วนใหญ่นำระบบป้องกันความปลอดภัยข้อมูลที่รู้จักกันดีมาใช้ในปัจจุบัน ไม่ว่าจะเป็นการใช้วีพีเอ็น(VPN) การตั้งค่าไฟร์วอล(Firewall) หรือการป้องกันข้อมูลด้วยการเอ็นคริปชั่นเครื่องคอมพิวเตอร์ตั้งโต๊ะ (Encryption of desktop PCs) แต่นั่นยังไม่เพียงพอ มีบริษัทเพียงน้อยรายเท่านั้นที่นำเครื่องมือตรวจสอบข้อมูลและเครือข่าย ที่สามารถวิเคราะห์ความเสี่ยงแบบเรียลไทม์ (Real-time) มาใช้ควบคู่ไปด้วย”
นายศิระกล่าวว่า เมื่อมองไปข้างหน้า อุปสรรคสำคัญในการปรับปรุงระบบความปลอดภัยของข้อมูลองค์กรทั่วโลกมีอยู่ด้วยกัน 3 ประการ ได้แก่ 1. การขาดแคลนของแหล่งเงินทุน 2. ความเข้าใจที่ไม่เพียงพอของภาคธุรกิจที่มีผลกระทบต่อความปลอดภัยข้อมูลสารสนเทศในระยะยาว และ3. การขาดวิสัยทัศน์หรือการสนับสนุนอย่างจริงจังจากผู้นำ ได้แก่ ซีอีโอ ผู้บริหารระดับสูง ไปจนถึงคณะกรรมการบริษัท
เมื่อมองแนวโน้มในระยะข้างหน้า นายศิระกล่าวว่า “ถือเป็นเรื่องจำเป็นอย่างยิ่งที่ภาคธุรกิจไทยต้องทบทวนบทบาทและหยุดนำแนวคิดเก่าๆ ในการรักษาความปลอดภัยข้อมูลมาใช้กับองค์กรของตน เอกชนไทยต้องมีการปรับกลยุทธ์โดยหันมาให้ความสำคัญกับเทคโนโลยีสารสนเทศเพื่อสร้างความได้เปรียบทางธุรกิจ ขยายฐานลูกค้า และหาตลาดใหม่ๆ ในยามที่เราทุกคนกำลังเตรียมความพร้อมก่อนการเปิดเออีซี”
“นอกจากนี้ ผู้บริหารระดับสูงยังจะต้องเร่งสร้าง Awareness ในเรื่องการรักษาความปลอดภัยข้อมูลให้เกิดแก่พนักงาน ลูกจ้างและ Stakeholder อื่นๆ รวมทั้ง ปลูกฝังจริยธรรมในการเผยแพร่ข้อมูลซึ่งถือเป็น Asset ที่สำคัญของบริษัทออกไปภายนอกอีกด้วย”