เมื่อวันที่ 18 มิถุนายน 2561 ที่ผ่านมา บริษัทไมโครซอฟท์ ร่วมกับบริษัท ฟรอสต์ แอนด์ ซัลลิแวน (ประเทศไทย) จำกัด เปิดเผยรายงานวิจัยเรื่อง “ภาพรวมภัยคุกคามทางไซเบอร์ในเอเชียแปซิฟิก : การปกป้ององค์กรในโลกยุคดิจิทัล” โดยทำการสำรวจองค์กร 1,300 ราย จาก 13 ประเทศ ได้แก่ ออสเตรเลีย จีน ฮ่องกง อินโดนีเซีย อินเดีย ญี่ปุ่น เกาหลีใต้ มาเลเซีย นิวซีแลนด์ ฟิลิปปินส์ สิงคโปร์ ไต้หวัน และไทย เพื่อให้ข้อมูลเกี่ยวกับมูลค่าความเสียหายทางเศรษฐกิจที่เกิดจากภัยคุกคามทางไซเบอร์ทั่วภูมิภาค และชี้ให้เห็นช่องโหว่ในกลยุทธ์เชิงความปลอดภัยด้านไซเบอร์ขององค์กร
นายณัฐชัย จารุศิลาวงศ์ ที่ปรึกษา Mobility Practice บริษัท ฟรอสต์ แอนด์ ซัลลิแวน (ประเทศไทย) จำกัด เผยรายงานวิจัยพบว่า เมื่อปี 2017 ความเสียหายทางเศรษฐกิจในประเทศไทยที่เป็นผลกระทบมาจากความปลอดภัยทางไซเบอร์สามารถส่งผลถึง 2.86 แสนล้านบาท หรือเท่ากับ 2.2% ของผลิตภัณฑ์มวลรวมของประเทศ (จีดีพี) มูลค่า 14,360 ล้านล้านบาท
รายงานวิจัยยังพบว่า องค์กรต่างๆ ในประเทศไทยอยู่ในขั้นเสี่ยงต่อภัยการโจมตีด้านไซเบอร์เป็นอย่างมาก โดย 47% ยังไม่แน่ใจว่าข้อมูลองค์กรรั่วไหลหรือเคยถูกโจมตีหรือไม่ เพราะยังขาดกระบวนการตรวจสอบไซเบอร์ซีเคียวริตี้อย่างต่อเนื่อง
ทั้งนี้ ความเสียเสียหายที่แท้จริงจากจากภัยอันตรายบนโลกไซเบอร์ ครอบคลุมทั้งเชิงเศรษฐกิจ โอกาสทางธุรกิจ และการตกงาน รายงานวิจัยพบว่าองค์กรขนาดใหญ่ในประเทศไทยอาจประสบความเสียหายทางเศรษฐกิจถึง 408 ล้านบาท ซึ่งสูงกว่าความเสียหายขององค์กรธุรกิจขนาดกลางถึง 450 เท่า หรือราว 9 แสนบาท ขณะเดียวกัน ในช่วง 12 เดือนที่ผ่านมา ราว 3 ใน 5 ขององค์กรทั้งหมด หรือ 60% ต้องมีการปลดพนักงานออกในหลายตำแหน่ง เนื่องจากผลกระทบของภัยคุกคามทางไซเบอร์
นอกจากความสูญเสียด้านการเงินแล้ว ภัยคุกคามทางไซเบอร์ยังทำลายความสามารถขององค์กรไทยในการคว้าโอกาสทางธุรกิจในยุคแห่งเศรษฐกิจดิจิทัล โดยผลสำรวจพบว่า กว่า 73% ของผู้เข้าร่วมการสำรวจได้หยุดแผนการนำเทคโนโลยีดิจิทัลเข้ามาปฏิรูปธุรกิจ เนื่องจากมีความกังวลด้านภัยคุกคามทางไซเบอร์
“ความเสียหายต่อการโจมตีจากภัยไซเบอร์จากงานวิจัยนี้ เป็นเพียงยอดภูเขาน้ำแข็งในที่นี้มีผลกระทบทั้งทางตรงคือความเสียหายทางด้านการเงิน แต่จริงๆ แล้วยังมีผลกระทบใต้น้ำที่มหาศาลกว่านี้อีกมากทั้งทางอ้อมและทางกว้าง จึงทำให้โดยทั่วไปแล้ว มูลค่าความเสียหายที่แท้จริงของภัยไซเบอร์ถูกประเมินไว้ต่ำกว่าความเป็นจริง” นายณัฐชัยกล่าว
ส่วนภัยร้ายที่ต้องจับตาและช่องโหว่ที่ต้องจัดการ ในกลยุทธ์ด้านความปลอดภัยขององค์กรไทย รายงานวิจัยระบุว่า สำหรับองค์กรในประเทศไทย ภัยร้ายในโลกไซเบอร์ที่มีผลกระทบสูงสุดและใช้เวลาในการแก้ไขฟื้นฟูนานที่สุด คือการเลียนแบบตัวตนของแบรนด์ในโลกออนไลน์, การขโมยข้อมูล และการทำลายข้อมูล
นอกจากนี้ รายงานวิจัยยังชี้ให้เห็นถึงช่องว่างเชิงกลยุทธ์ขององค์กรต่างๆ ในการปกป้องระบบและข้อมูลให้ปลอดภัย คือ 1. ให้ความปลอดภัยเป็นแค่เรื่องทีหลัง พบว่าแม้องค์กรจำนวนมากจะผ่านการถูกจู่โจมมาแล้ว แต่กลับมีเพียง 26% เท่านั้นที่นำประเด็นด้านความปลอดภัยในโลกไซเบอร์มาพิจารณาก่อนที่จะเริ่มดำเนินงานในโครงการดิจิทัลทรานส์ฟอร์เมชัน ส่วนองค์กรที่ยังไม่เคยถูกจู่โจมนั้น มีอัตราส่วนการนำปัจจัยด้านความปลอดภัยมาพิจารณาก่อนเริ่มดำเนินงาน 37% ส่วนองค์กรที่เหลือจะเริ่มพิจารณาเรื่องความปลอดภัยหลังจากที่เริ่มดำเนินงานไปแล้ว
2. การมีระบบซับซ้อนไม่ได้แปลว่าปลอดภัย พบว่ากลุ่มองค์กรที่ใช้โซลูชันด้านความปลอดภัยรวม 26-50 โซลูชัน มีเพียง 15% เท่านั้นที่สามารถแก้ไขปัญหาและฟื้นฟูจากผลกระทบของการจู่โจมได้ภายในเวลาหนึ่งชั่วโมง ขณะที่องค์กรที่ใช้โซลูชันด้านดังกล่าวน้อยกว่า 10 โซลูชัน มีอัตราส่วนการแก้ไขปัญหาภายในหนึ่งชั่วโมงสูงกว่าที่ 22%
3. ยังขาดวิสัยทัศน์เชิงกลยุทธ์ พบว่าองค์กรถึง 33% ยังมองความปลอดภัยเป็นเพียงแค่ปัจจัยในการปกป้ององค์กรจากผู้ประสงค์ร้าย โดยมีเพียง 28% ที่เล็งเห็นว่ากลยุทธ์ด้านความปลอดภัยขององค์กรเป็นหัวใจสำคัญของกระบวนการดิจิทัลทรานส์ฟอร์เมชัน
นายโอม ศิวะดิตถ์ ผู้บริหารด้านนโยบายภาครัฐ บริษัท ไมโครซอฟท์ (ประเทศไทย) จำกัด กล่าวว่า ปัจจุบันโลกของธุรกิจอยู่ในยุคดิจิทัลทรานส์ฟอร์เมชัน หรือยุค Intelligent Cloud, Intelligent Edge ทำให้การดูแลความปลอดภัยมีความซับซ้อนมากขึ้นกว่าเดิม หากองค์กรไม่เข้าใจองค์ประกอบเรื่องต่างๆ เหล่านี้จะเกิดช่องโหว่จากภัยคุกคามไซเบอร์อย่างแน่นอน
ก่อนหน้านี้ ไมโครซอฟท์ทำงานวิจัยพบว่า เทรนด์ทางด้านภัยไซเบอร์มีอยู่ 3 เรื่อง ได้แก่ 1. บอทเน็ต (botnet) 2. ฟิชชิ่งอีเมล์ (phishing email) 3. แรนซัมแวร์ (ransomeware) ซึ่งเป็นตัวฉุดรั้งที่ทำให้การทำดิจิทัลทรานส์ฟอร์เมชันเป็นไปได้ช้าลง หรือคนและลูกค้าไม่กล้าใช้ดิจิทัล ดังนั้น ดิจิทัลทรานส์ฟอร์เมชันมีประโยชน์มากมาย แต่ขณะเดียวกันเปรียบเสมือนเป็นดาบสองคม หากใช้งานหรือดูแลไม่ดีก็สามารถเกิดโทษได้เช่นกัน
ดังนั้น ไมโครซอฟท์จึงแนะนำหลักปฏิบัติ 5 ข้อให้กับองค์กรต่างๆ ในเมืองไทยไปปรับใช้เพื่อช่วยยกระดับการป้องกันภัยคุกคามทางไซเบอร์ให้มีประสิทธิภาพยิ่งขึ้น ประกอบด้วย
1. กำหนดแนวทางและรักษาความปลอดภัยขององค์กร ไซเบอร์ซีเคียวริตี้ไม่ใช่เรื่องที่จะไปคิดทีหลัง แต่ต้องคิดตั้งแต่ต้น และไม่ใช่เรื่องของไอที แต่ควรจะเป็นเรื่องของธุรกิจ ของบอร์ดบริหาร ที่ต้องใส่ใจเรื่องนี้ตั้งแต่ต้น เพื่อให้องค์กรสามารถพลิกรูปแบบและแนวทางการรับมือกับความเสี่ยงทางไซเบอร์รูปแบบต่างๆ ในปัจจุบัน
2. ลงทุนเสริมสร้างรากฐานด้านความปลอดภัยให้แข็งแกร่งอย่างต่อเนื่อง สร้างความรู้ความเข้าใจเกี่ยวกับไซเบอร์ซีเคียวริตี้ให้กับพนักงาน ทีมงาน องค์กร เช่น นโยบายการตั้งรหัสผ่าน ควรเปลี่ยนพาสเวิร์ดทุก 3 เดือน ควรมีเลขพาสเวิร์ดขั้นต่ำ 8 หลัก หรือใส่ใจเรื่องแอนตี้ไวรัสในองค์กร เป็นต้น
3. สร้างทีมงานด้านไซเบอร์ซีเคียวริตี้ รวมทั้งจัดลำดับความสำคัญของโซลูชันที่ใช้งานให้เข้ามาช่วยเพิ่มการป้องกันความเสี่ยงได้มากขึ้น โดยไม่ต้องนำเครื่องมือจำนวนมากมาใช้อย่างเหมาะสมและเอื้อประโยชน์ซึ่งกัน ไม่ทำให้เกิดความซับซ้อนเพิ่มขึ้น
4. ประเมิน ตรวจสอบ และปฏิบัติตามกรอบข้อบังคับอย่างต่อเนื่อง เพื่อป้องกันช่องโหว่ที่อาจเกิดขึ้น และให้สามารถอุดช่องโหว่เหล่านั้นได้ ในขณะที่องค์กรกำลังเปลี่ยนแปลงไปอย่างรวดเร็ว ผู้บริหารองค์กรเองก็ควรดูแลให้องค์กรดำเนินงานตามมาตรฐานของอุตสาหกรรมนั้นๆ พร้อมนำแนวทางการรักษาความปลอดภัยที่ดีมาปรับใช้อยู่เสมอ
5. ใช้ประโยชน์จาก AI และระบบอัตโนมัติ เพื่อเพิ่มสมรรถนะและประสิทธิภาพ เพราะความก้าวหน้าของ AI ในปัจจุบันถือเป็นเครื่องบ่งชี้ถึงศักยภาพอันมหาศาลของเทคโนโลยีนี้ในอนาคต โดยนอกจากการตรวจหาภัยคุกคามที่อาจถูกมองข้ามไปแล้ว นวัตกรรมเหล่านี้ยังสามารถช่วยวิเคราะห์และตีความมาเป็นสัญญาณเตือนภัยก่อนเกิดการโจมตี และแนะนำแนวทางการปฏิบัติงาน
“ผลจากรายงานวิจัยที่ออกมาทั้งหมดนี้ ไมโครซอฟท์มองว่าจะเป็นกำลังสำคัญให้กับองค์กรในประเทศไทย ที่จะสร้างความตื่นรู้ ความเข้าใจ และให้คำแนะนำ เพื่อนำไปปรับใช้ สามารถทำดิจิทัลทรานส์ฟอร์เมชันได้อย่างดีและประสบความสำเร็จจริงๆ” นายโอมกล่าว
ข่าวหรือบทความที่เกี่ยวข้อง
