ไอบีเอ็ม ซีเคียวริตี้ ประกาศผลการศึกษาทั่วโลก พบเหตุข้อมูลรั่วไหลก่อให้เกิดมูลค่าความเสียหายแก่บริษัทที่สำรวจเฉลี่ยสูงกว่า 139 ล้านบาทต่อครั้ง ซึ่งนับว่าสูงที่สุดในรอบ 17 ปีนับแต่เริ่มทำการสำรวจ  โดยจากการวิเคราะห์เหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้นกับองค์กรกว่า 500 แห่งทั่วโลก พบมูลค่าความเสียหายของเหตุด้านไซเบอร์ซิเคียวริตี้เพิ่มขึ้น อีกทั้งยังจัดการยากขึ้น เพราะองค์กรมีการปรับรูปแบบการดำเนินงานครั้งใหญ่ อีกทั้งค่าใช้จ่ายยังเพิ่มขึ้นถึง 10% เมื่อเทียบกับปีที่ผ่านมา

ในปีที่แล้วองค์กรต่างถูกบีบให้ต้องปรับตัวและนำเทคโนโลยีมาใช้อย่างรวดเร็ว หลายบริษัทต้องให้พนักงานทำงานจากบ้าน ในขณะที่องค์กร 60% ปรับงานสู่ระบบบนคลาวด์มากขึ้นในช่วงการแพร่ระบาด [1] ผลการศึกษาล่าสุดชี้ให้เห็นว่าระบบซิเคียวริตี้ขององค์กรอาจยังปรับตัวตามระบบไอทีที่เปลี่ยนแปลงอย่างรวดเร็วไม่ทัน และกลายเป็นอุปสรรคต่อการรับมือเหตุข้อมูลรั่วไหลขององค์กร

รายงานมูลค่าความเสียหายของเหตุการณ์ข้อมูลรั่วไหลประจำปี ที่ดำเนินการโดยสถาบันโพเนมอน ภายใต้การสนับสนุนและวิเคราะห์โดยไอบีเอ็ม ซีเคียวริตี้ ระบุถึงเทรนด์สำคัญ ดังนี้

• ผลกระทบจากการทำงานระยะไกล: เห็นได้ว่าการปรับโหมดสู่การทำงานระยะไกลอย่างรวดเร็วทำให้มูลค่าความเสียหายจากเหตุการณ์ข้อมูลรั่วไหลสูงขึ้น โดยเคสที่มีปัจจัยต้นเหตุมาจากการทำงานระยะไกลสร้างความเสียหายมากกว่าเคสทั่วไปที่ไม่มีปัจจัยดังกล่าวเข้ามาเกี่ยวข้อง เฉลี่ยกว่า 35 ล้านบาท (มูลค่าความเสียหาย 162 ล้านบาท เทียบกับ 127 ล้านบาท) [2]
• ความเสียหายจากข้อมูลเฮลธ์แคร์รั่วพุ่งสูง: อุตสาหกรรมที่ต้องเผชิญกับความเปลี่ยนแปลงอย่างมากในช่วงการแพร่ระบาด อย่างเฮลธ์แคร์​ ค้าปลีก บริการ และการผลิต/กระจายสินค้าอุปโภค-บริโภค ต้องเผชิญกับค่าใช้จ่ายจากเหตุข้อมูลรั่วเพิ่มขึ้นเมื่อเทียบกับปีที่ผ่านมา โดยเหตุข้อมูลรั่วในกลุ่มเฮลธ์แคร์สร้างความเสียหายมากที่สุด คือราว 303 ล้านบาทต่อเคส ซึ่งเพิ่มขึ้นกว่า 60 ล้านบาทต่อเคสเมื่อเทียบกับปีที่ผ่านมา
• ข้อมูลรับรองตัวตนของบุคคลรั่ว นำสู่ข้อมูลรั่ว: ข้อมูลรับรองตัวตนของบุคคลที่ถูกขโมยคือต้นเหตุของข้อมูลรั่วไหลที่พบมากที่สุด โดยข้อมูลส่วนบุคคลของลูกค้า (เช่น ชื่อ อีเมล และพาสเวิร์ด) คือชุดข้อมูลที่พบมากที่สุดในเหตุข้อมูลรั่วไหล หรือราว 44% ของเหตุที่เกิดขึ้น การที่ข้อมูลชื่อผู้ใช้และพาสเวิร์ดรั่วไปพร้อมกันอาจนำสู่ผลที่ร้ายแรงกว่าที่คิด เพราะเป็นการเปิดช่องการโจมตีในอนาคตให้กับอาชญากร
• เทคโนโลยีก้าวล้ำช่วยลดมูลค่าความเสียหาย: การนำเทคโนโลยีปัญญาประดิษฐ์ (AI) ซิเคียวริตี้ อนาไลติกส์ และการเข้ารหัสมาใช้ เป็นหนึ่งในสามปัจจัยหลักที่ช่วยลดมูลค่าความเสียหายจากเหตุข้อมูลรั่วให้กับองค์กรได้ประมาณ 41-48 ล้านบาท เมื่อเทียบกับองค์กรที่ไม่ได้มีการนำเทคโนโลยีเหล่านี้มาใช้อย่างจริงจัง โดยการศึกษาเหตุการเจาะข้อมูลบนระบบคลาวด์ พบว่าองค์กรที่ใช้แนวทางไฮบริดคลาวด์มีมูลค่าความเสียหายจากเหตุข้อมูลรั่ว 118 ล้านบาท ซึ่งน้อยกว่ากลุ่มที่ใช้พับลิคคลาวด์เป็นหลัก (157 ล้านบาท) หรือกลุ่มที่ใช้ไพรเวทคลาวด์เป็นหลัก (149 ล้านบาท)

“มูลค่าความเสียหายจากเหตุข้อมูลรั่วไหลที่พุ่งสูงขึ้นกลายเป็นภาระค่าใช้จ่ายที่เพิ่มขึ้นขององค์กร ในขณะที่องค์กรเองก็ต้องปรับตัวอย่างรวดเร็วเพื่อนำเทคโนโลยีมาใช้ในช่วงการแพร่ระบาด” คริส แมคเคอร์ดี รองประธานและกรรมการผู้จัดการ ไอบีเอ็ม ซิเคียวริตี้ กล่าว “แม้ว่ามูลค่าความเสียหายจากเหตุข้อมูลรั่วไหลจะสูงเป็นประวัติการณ์ในปีที่ผ่านมา แต่ผลการศึกษาก็ชี้ให้เห็นแนวโน้มเชิงบวกจากการนำเทคโนโลยีซิเคียวริตี้ที่ก้าวล้ำเข้ามาใช้ ไม่ว่าจะเป็นเอไอ ออโตเมชัน หรือ zero trust โดยเทคโนโลยีเหล่านี้อาจนำสู่มูลค่าความเสียหายที่ลดลงในอนาคต”

ผลกระทบจากการทำงานระยะไกลและการใช้คลาวด์

หลายองค์กรปรับตัวสู่การทำงานระยะไกลและเริ่มใช้คลาวด์มากขึ้น เพื่อรองรับการใช้โลกออนไลน์ที่เพิ่มขึ้น และการที่สังคมหันพึ่งการปฏิสัมพันธ์ดิจิทัลเพิ่มขึ้นมากในช่วงการแพร่ระบาด รายงานชี้ให้เห็นว่าปัจจัยเหล่านี้ก่อให้เกิดผลกระทบ โดยองค์กรเกือบ 20% ระบุว่าการทำงานระยะไกลคือสาเหตุของเหตุข้อมูลรั่ว ซึ่งสร้างความเสียหายให้บริษัทถึง 162 ล้านบาท (สูงกว่าเหตุข้อมูลรั่วโดยเฉลี่ย 15%)

การศึกษาพบว่าบริษัทที่อยู่ในช่วง cloud migration ต้องเผชิญกับมูลค่าความเสียหายจากเหตุข้อมูลรั่วมากกว่าค่าเฉลี่ย 18.8% แต่องค์กรที่ไปไกลกว่าคืออยู่ในช่วง cloud modernization สามารถตรวจพบและตอบสนองต่อเหตุต่างๆ ได้ดีกว่า โดยใช้เวลาในการแก้ปัญหาเร็วกว่าบริษัทที่พึ่งเริ่มใช้คลาวด์ถึง 77 วัน นอกจากนี้ บริษัทที่ใช้แนวทางไฮบริดคลาวด์มีค่าใช้จ่ายจากเหตุข้อมูลรั่ว (118 ล้านบาท) ซึ่งน้อยกว่ากลุ่มที่ใช้พับลิคคลาวด์เป็นหลัก (157 ล้านบาท) หรือกลุ่มที่ใช้ไพรเวทคลาวด์เป็นหลัก (149 ล้านบาท)

ข้อมูลรับรองตัวตนของบุคคลรั่วไหล กระพือความเสี่ยง

รายงานยังชี้ให้เห็นถึงปัญหาที่ทวีความรุนแรงขึ้น จากการที่ข้อมูลลูกค้า (ซึ่งรวมถึงข้อมูลรับรองตัวตนของบุคคล) ถูกเจาะในเหตุข้อมูลรั่ว ซึ่งข้อมูลเหล่านี้อาจถูกนำมาใช้ในการโจมตีอื่นๆ ในอนาคตได้ โดย 82% ของกลุ่มบุคคลที่สำรวจยอมรับว่าใช้พาสเวิร์ดเดิมซ้ำในหลายแอคเคาท์ ซึ่งไม่เพียงแต่เป็นต้นเหตุและผลลัพธ์หลักของเหตุข้อมูลรั่ว แต่ยังเพิ่มความเสี่ยงให้กับธุรกิจต่างๆ ด้วย

• ข้อมูลส่วนบุคคลรั่วไหล:เกือบครึ่ง (44%) ของเหตุข้อมูลรั่วที่วิเคราะห์ เป็นต้นเหตุที่ทำให้ข้อมูลลูกค้าหลุดออกไป ไม่ว่าจะเป็นชื่อ อีเมล พาสเวิร์ด หรือแม้แต่ข้อมูลด้านสุขภาพ เหล่านี้เป็นชุดข้อมูลที่พบว่ามีการรั่วไหลมากที่สุด
• ข้อมูลส่วนบุคคลของลูกค้าสร้างมูลค่าความเสียหายสูงสุด:การสูญเสียข้อมูลส่วนบุคคลของลูกค้า (personal identifiable information: PII) มีมูลค่าความเสียหายสูงกว่าข้อมูลประเภทอื่นๆ (ราว 6,000 บาทต่อรายการ เมื่อเทียบกับค่าเฉลี่ย 5,300 บาทของข้อมูลประเภทอื่น)
• วิธีการโจมตีที่พบมากที่สุด:การเจาะระบบด้วยข้อมูลรับรองตัวตนของบุคคลที่รั่ว คือวิธีการเริ่มต้นโจมตีที่อาชญากรใช้มากที่สุด นับเป็น 20% ของเหตุข้อมูลรั่วไหลที่ศึกษา
• ใช้เวลาตรวจจับและควบคุมนานกว่า:เหตุข้อมูลรั่วไหลที่มีสาเหตุมาจากการเจาะข้อมูลรับรองตัวตนของบุคคล ใช้เวลานานที่สุดกว่าจะตรวจพบ คือเฉลี่ย 250 วัน (เทียบกับค่าเฉลี่ย 212 วันในเหตุทั่วไป)

ธุรกิจที่มีการปรับระบบให้ทันสมัย มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วน้อยกว่า

แม้การปรับเปลี่ยนระบบไอทีในช่วงการแพร่ระบาดจะนำสู่มูลค่าความเสียหายจากเหตุข้อมูลรั่วที่เพิ่มขึ้น แต่องค์กรที่ระบุว่าไม่ได้มีการดำเนินโครงการดิจิทัลทรานส์ฟอร์เมชันเพื่อปรับระบบปฏิบัติการทางธุรกิจให้มีความทันสมัยขึ้นแต่อย่างใด คือกลุ่มที่เผชิญกับมูลค่าความเสียหายจากเหตุข้อมูลรั่วสูงกว่า โดยสูงกว่าองค์กรอื่นประมาณ 24.6 ล้านบาทต่อเคส (16.6%)

องค์กรที่ระบุว่าใช้แนวทางซิเคียวริตี้แบบ Zero Trust มีความพร้อมในการรับมือเหตุข้อมูลรั่วไหลได้ดีกว่า โดย Zero Trust เป็นแนวทางบนพื้นฐานของสมมติฐานที่ว่า ทั้งข้อมูลระบุตัวตนของผู้ใช้และตัวเน็ตเวิร์คเองอาจถูกเจาะแล้ว ดังนั้นจึงใช้เอไอและอนาไลติกส์เข้ามาทำหน้าที่รับรองการเชื่อมต่อระหว่างผู้ใช้ ข้อมูล และทรัพยากรต่างๆ แทน โดยองค์กรที่ใช้กลยุทธ์ Zero Trust มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วเฉลี่ย 108 ล้านบาทต่อเคส ซึ่งต่ำกว่าองค์กรที่ไม่ได้ใช้แนวทางดังกล่าวราว 58 ล้านบาท

รายงานยังระบุว่าองค์กรหันมาใช้เทคโนโลยีซิเคียวริตี้แบบออโตเมชันมากขึ้นเมื่อเทียบกับปีก่อนหน้า ซึ่งช่วยลดค่าใช้จ่ายลงอย่างเห็นได้ชัด โดยประมาณ 65% ขององค์กรที่สำรวจรายงานว่าได้เริ่มใช้หรือติดตั้งออโตเมชันในระบบซิเคียวริตี้เรียบร้อยแล้ว เมื่อเทียบกับเพียง 52% เมื่อสองปีที่ผ่านมา องค์กรที่ติดตั้งระบบซิเคียวริตี้ออโตเมชันเรียบร้อยแล้ว มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วเฉลี่ย 95 ล้านบาทต่อเคส ขณะที่องค์กรที่ไม่มีการนำออโตเมชันมาใช้มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วสูงกว่าเป็นเท่าตัว คือเฉลี่ย 220 ล้านบาทต่อเคส

การลงทุนพัฒนาทีมและแผนตอบสนองต่อเหตุโจมตียังเป็นหนึ่งในแนวทางที่ช่วยลดมูลค่าความเสียหายจากเหตุข้อมูลรั่ว โดยองค์กรที่มีทีมรับมือเหตุโจมตีและมีการทดสอบแผนการรับมือ มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วเฉลี่ย 106 ล้านบาท ขณะที่องค์กรที่ไม่มีทั้งทีมงานและแผนรับมือ ต้องสูญเสียค่าใช้จ่ายจากเหตุข้อมูลรั่วเฉลี่ย 187 ล้านบาท (ต่างกัน 54.9%)

การศึกษายังชี้ให้เห็นถึงข้อมูลเพิ่มเติม ดังนี้

• เวลาที่ใช้ในการตอบสนอง:ระยะเวลาเฉลี่ยที่องค์กรใช้ในการตรวจจับและควบคุมเหตุข้อมูลรั่วนานขึ้นกว่าปีที่ผ่านมา คืออยู่ที่ 287 วัน (ใช้เวลา 212 วันกว่าจะตรวจพบ และ 75 วันในการควบคุมและแก้ไข)
• เหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่: เหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ๆ ที่มีข้อมูลรั่วระหว่าง 50-65 ล้านรายการ มีมูลค่าความเสียหายเฉลี่ย 13,100 ล้านบาท [3]  ซึ่งมากกว่าเหตุส่วนใหญ่ที่เกิดขึ้น (ข้อมูลรั่วประมาณ 1,000-100,000 รายการ) เกือบ 100 เท่า
• มองภาพอุตสาหกรรม: เหตุข้อมูลรั่วไหลในอุตสาหกรรมเฮลธ์แคร์มีมูลค่าความเสียหายสูงสุด (ราว 303 ล้านบาทต่อเคส) ตามมาด้วยอุตสาหกรรมการเงิน (188 ล้านบาท) และเภสัชกรรม (165 ล้านบาท) โดยแม้กลุ่มอุตสาหกรรมค้าปลีก สื่อ บริการ และภาครัฐ จะมีมูลค่าความเสียหายต่ำกว่า แต่ก็ถือว่ามีมูลค่าความเสียหายเพิ่มขึ้นเมื่อเทียบกับปีก่อนหน้า
• เทียบประเทศ/ภูมิภาค: สหรัฐอเมริกาต้องเผชิญกับมูลค่าความเสียหายจากเหตุข้อมูลรั่วสูงสุดที่ 297 ล้านบาทต่อเคส ตามมาด้วยกลุ่มประเทศตะวันอออกกลาง (227 ล้านบาท) และแคนาดา (177 ล้านบาท)

วิธีการศึกษาและข้อมูลสถิติเพิ่มเติม

รายงานมูลค่าความเสียหายจากเหตุการณ์ข้อมูลรั่วไหลประจำปี 2564 จากไอบีเอ็ม ซิเคียวริตี้ และสถาบันโพเนมอน มาจากการวิเคราะห์ข้อมูลที่รั่วไหลราว 100,000 รายการในเชิงลึก จากเหตุที่องค์กรกว่า 500 แห่งทั่วโลกเผชิญในช่วงระหว่างเดือนพฤษภาคม 2563 ถึงมีนาคม 2564 โดยพิจารณาจากปัจจัยที่ก่อให้เกิดความเสียหายหลายร้อยปัจจัย ตั้งแต่ปัจจัยทางกฎหมาย ระเบียบข้อบังคับ กิจกรรมเชิงเทคนิค ไปจนถึงองค์ประกอบของคุณค่าของแบรนด์ ลูกค้า และผลิตภาพของพนักงาน

ดาวน์โหลดรายงานมูลค่าความเสียหายจากเหตุการณ์ข้อมูลรั่วไหลประจำปี 2564 ได้ที่ ibm.com/databreach