‘บลูบิค’ คาดข้อมูลรั่วไหลทั่วโลกปี 2023 จ่อทำแนวโน้มสูงสุดในประวัติศาสตร์ เผยอุตสาหกรรมเสี่ยงพร้อมแนวทางป้องกันที่ควรรู้

จากเหตุการณ์ที่แฮกเกอร์นามแฝง 9 Near อ้างว่าตนสามารถแฮ็กและครอบครองข้อมูลส่วนตัวต่างๆ ของคนไทยได้กว่า 55 ล้านราย สร้างความไม่สบายใจให้กับประชาชนที่เริ่มห่วง ‘ความเป็นส่วนตัวและความปลอดภัย’ ของข้อมูลตัวเอง ปัจจุบันข้อมูลของเรากระจายอยู่ในหลายที่จำนวนมาก ไม่ว่าจะกับหน่วยงานรัฐ บริษัทที่เราทำงาน หรือเว็บไซต์ช้อปปิ้งออนไลน์ เป็นต้น

ในโลกที่ทุกอย่างเริ่มเคลื่อนไปสู่แพลตฟอร์มดิจิทัลมากขึ้น เราและองค์กรต่างๆ จึงจำเป็นที่จะต้องระมัดระวังและตระหนักถึงความเสี่ยงที่อาจทำให้เกิดข้อมูลรั่วไหลให้มากขึ้นเพื่อปกป้องความปลอดภัยและลดความเสียหายที่สามารถเกิดขึ้นจากการถูกแฮ็กให้อยู่ในระดับน้อยที่สุด

ปัญหาข้อมูลรั่วไหลเพิ่มสูงขึ้นทั่วโลก

พลสุธี ธเนศนิรัตศัย ผู้อำนวยการบริษัท บลูบิค ไททันส์ (Bluebik Titans) จำกัด ผู้นำด้านที่ปรึกษาและ Digital Transformation ทางธุรกิจ ซึ่งเป็นบริษัทลูกของ บมจ.บลูบิค กรุ๊ป หรือ BBIK ได้เปิดเผยถึงตัวเลขแบบรายปีของจำนวนเหตุการณ์ที่มีการพบช่องโหว่ทางความปลอดภัยในระบบสารสนเทศ (Security Bugs) ซึ่งสามารถให้การเข้าถึงข้อมูลกับบุคคลที่ไม่ควรจะมีสิทธิ์และอาจนำไปสู่การรั่วไหลของข้อมูลได้

จากตัวเลขสถิติเราจะสามารถเห็นได้ว่าตั้งแต่ปี 2017 จำนวนช่องโหว่ของระบบซอฟต์แวร์ทั่วโลกมีจำนวนที่เพิ่มขึ้นมากอย่างน่าตกใจและเพิ่มขึ้นเรื่อยๆ ในปีถัดๆ มาโดยมีอัตราเพิ่มขึ้นประมาณ 12-15% จากจำนวนของปีที่ก่อนหน้า

พลสุธี ธเนศนิรัตศัย ผู้อำนวยการบริษัท บลูบิค ไททันส์ (Bluebik Titans) จำกัด

ตัวเลขสูงสุดต่อปี ณ ตอนนี้อยู่ที่ 25,101 รายการ ในปี 2022 ที่เพิ่งผ่านมา บลูบิคคาดว่าสำหรับปี 2023 ตัวเลขมีแนวโน้มที่จะพุ่งสูงขึ้นไปอยู่ที่ประมาณ 27,000 รายการในสิ้นปี หากคาดการณ์จากเทรนด์ปัจจุบันที่มีจำนวนเกือบ 9,000 รายการแล้ว ตามข้อมูล ณ วันที่ 23 เมษายน 2566

ข้อมูลสถิติรายปีของจำนวนรายการ Security Bugs ที่เกิดขึ้นตั้งแต่ปี 1999 จนถึงปัจจุบัน

นอกจากความไม่ปลอดภัยของเจ้าของข้อมูล ผลกระทบที่ตามมาเมื่อองค์กรหรือธุรกิจพบว่าข้อมูลมีการรั่วไหลออกไปคือความเสียหายไม่ว่าจะเป็นด้านการทำงานที่ถูกรบกวน, ความเชื่อมั่นจากคู่ค้า, หรือความเสียหายทางการเงิน รายงานพบว่า 58% ขององค์กรที่ถูกแฮ็กข้อมูลไปยอมจ่ายเงินค่าไถ่โดยหวังจะได้ข้อมูลคืนจากแฮกเกอร์ โดยในไตรมาสที่ 3 ปี 2022 ค่าเฉลี่ยของจำนวนเงินที่ผู้เสียหายต่อรายยอมจ่ายมีมูลค่าที่ 250,000 ดอลลาร์สหรัฐ (8.5 ล้านบาท)

อย่างไรก็ตาม พลสุธีมองว่าค่าเฉลี่ยนี้มีแนวโน้มต่ำลงในอนาคต ที่ไม่ใช่เพราะจากการลดลงของเหยื่อหรือผู้เสียหาย แต่มาจากเหตุผลที่บริษัทใหญ่ๆ เริ่มจริงจังกับการป้องกันปัญหานี้มากขึ้นด้วยความสามารถทางทุนทรัพย์ที่มีมากกว่าธุรกิจขนาดเล็กถึงกลาง ทำให้แฮกเกอร์น่าจะเปลี่ยนความสนใจไปที่กลุ่มนั้นจากระบบการป้องกันที่อาจยังไม่ทันสมัยหรือแข็งแรงเท่ากับของบริษัทใหญ่ๆ ซึ่งตัวเลขค่าไถ่ 250,000 ดอลลาร์สหรัฐ ที่มีแนวโน้มลดลงมาจากการคำนวณค่าไถ่ โดยแฮกเกอร์ที่จะเรียกเก็บตามผลประกอบการของบริษัทผู้เสียหายนั้นๆ เพราะหากเรียกสูงเกินไปผู้เสียหายก็จะไม่มีกำลังจ่าย ทำให้แฮกเกอร์อาจจะไม่ได้เงิน ฉะนั้นมูลค่าต้องอยู่ในจำนวนที่เหมาะสม เป็นการเพิ่มโอกาสที่จะได้เงินค่าไถ่นั้นมากขึ้น

หลังจากความเสียหายจากการสูญเสียข้อมูล รายงานพบว่ามีสัดส่วนขององค์กรถึง 69% ที่ใช้เวลานานกว่า 1 เดือนในการพยายามจัดการปัญหาต่างๆ ให้ธุรกิจสามารถกลับมาอยู่ในสภาวะปกติได้ก่อนมีการถูกแฮ็กข้อมูล

องค์กรไทยยังมีความเสี่ยงในการตกเป็นเหยื่อ

ในส่วนของไทยมีบริษัทในประเทศกว่า 48 รายที่ตกเป็นเหยื่อของการถูกแฮ็กข้อมูลในปี 2022 จากหลากหลายอุตสาหกรรมตามรายงานข้อมูลของบลูบิค โดยมาจากกลุ่มธุรกิจค้าปลีก (อาหารและเครื่องดื่ม, ธุรกิจสินค้าเสริมความงาม, ศูนย์จำหน่ายอุปกรณ์เครื่องใช้ในบ้าน เป็นต้น) ที่มีสัดส่วนค่อนข้างสูง ส่วนที่เหลือมาจากการบิน, อสังหาริมทรัพย์, หน่วยงานรัฐ และอื่นๆ อีกหลายอุตสาหกรรมคละกันไป

5 เช็กลิสต์สำหรับแนวทางป้องเบื้องต้น

จากสถิติที่คาดการณ์แนวโน้มที่เพิ่มขึ้นทางการโจรกรรมข้อมูลและความเสียหายที่อาจเกิดขึ้นจากเหตุการณ์ดังกล่าว องค์กรและธุรกิจจึงจำเป็นที่จะต้องทำการชั่งน้ำหนักความสำคัญในการประเมินระหว่างค่าใช้จ่ายในการลงทุนเพื่อป้องกันการรั่วไหลของข้อมูลกับความเสียหายที่อาจเกิดขึ้นจากการรั่วไหลดังกล่าว หรือ ‘กันไว้ดีกว่าแก้’ ทางบลูบิคให้เช็กลิสต์มาหลักๆ 5 ข้อในการตรวจเช็กสุขภาพความปลอดภัยของฐานข้อมูลดังนี้

Secure Authentication + MFA: การยืนยันตัวตนการเข้าถึงข้อมูลที่ปลอดภัย เช่น การเปลี่ยนพาสเวิร์ดเมื่อเวลาผ่านไป หรือการยืนยันตัวตนเพิ่มด้วยรหัสผ่านอีกชั้นทาง SMS หรืออีเมล
Vulnerability and patch management: การจัดการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอเมื่อมีการแจ้งเตือนเพื่อป้องกัน Security Bugs
Endpoint Security: ความปลอดภัยของฮาร์ดแวร์และซอฟต์แวร์โดยรวม เช่น การมีซอฟต์แวร์ตรวจจับไวรัสไว้กับคอมพิวเตอร์ หรือการแจ้งเตือนความผิดปกติในระบบ
Email Security: การใช้ 2FA เพื่อเข้าถึงอีเมลหรือเครื่องมือการป้องกันการโดนฟิชชิง (วิธีที่ผู้ประสงค์ร้ายหลอกล่อให้เหยื่อเปิดเผยข้อมูลความลับทั้งของบริษัทและส่วนตัว)
User Awareness: ความรู้ความเข้าใจของพนักงานเอง ผ่านการให้ความรู้ในการสร้างรหัสผ่านที่แข็งแกร่ง การจัดเก็บข้อมูลให้ปลอดภัย และความเข้าใจลักษณะของรูปแบบการหลอกลวง เป็นต้น

นอกจากนี้ บลูบิคยังแนะนำแผนสำรองในการเก็บสำรองข้อมูลด้วยสูตร 3, 2, 1 ดังนี้

ควรมี 3 ชุดข้อมูลที่เก็บสำรองไว้
ควรมี 2 สื่อที่เก็บบันทึกข้อมูล เช่น ฮาร์ดดิสก์ที่เอาไว้ทำงานและตัวสำรอง
ควรมี 1 ชุดข้อมูลที่ไม่ได้ต่อออนไลน์ตลอดเวลา หรือเก็บรักษาไว้ในรูปแบบออฟไลน์

สำหรับข้อควรระวังและข้อผิดพลาดที่พบได้บ่อย ณ ปัจจุบัน พลสุธีได้กล่าวถึงการที่ตัวองค์กรหรือผู้ที่รับผิดชอบดูแลละเลยการแจ้งเตือนอัปเดตของระบบ ทำให้สิ่งที่สามารถป้องกันได้กลายเป็นปัญหาที่สร้างความวุ่นวายให้กับองค์กร หรือการใช้ซอฟต์แวร์ที่ไม่ได้มาจากแหล่งผู้ผลิตที่น่าเชื่อถือ ซอฟต์แวร์เก่าที่ใช้งานมานานเกินไปซึ่งระบบความปลอดภัยมักจะไม่ถูกรองรับหรืออัปเดตจากผู้ผลิตแล้ว

ในส่วนของปัจจัยด้านบุคลากรทั้งภายในและภายนอก องค์กรควรมีขอบเขตความรับผิดชอบที่ชัดเจนของแต่ละบุคคลเพื่อลดปัญหาความสับสนในหน้าที่ ซึ่งอาจนำไปสู่การเพิกเฉยเพราะคิดว่าสิ่งนี้ไม่ใช่หน้าที่ของเรา ซึ่งสาเหตุนี้สามารถเกิดขึ้นได้ทั้งภายในองค์กรและภายนอกจากการว่าจ้างบุคคลที่ 3 ดังนั้น ทำความเข้าใจถึงขอบเขตหน้าที่อย่างชัดเจนเป็นหนึ่งในปัจจัยสำคัญที่จะป้องกัน

ทั้งนี้บริษัทต่างๆ ควรจะเช็กสุขภาพความปลอดภัยของระบบสารสนเทศในองค์กรอย่างสม่ำเสมอ เพื่อที่จะสามารถรับรู้ถึงช่องโหว่ต่างๆ ที่อาจเกิดขึ้นและป้องกันได้ทันท่วงที โดยผู้บริหารองค์กรควรมีการพูดคุยอัปเดตถึงสถานะระบบการเก็บรักษาข้อมูลปัจจุบันว่าได้มาตรฐานของ NIST Cybersecurity Framework หรือไม่ เตรียมแผนสำรองและแผนการรับมือ รวมถึงการให้ความรู้ความเข้าใจกับพนักงานในองค์กรเพื่อลดความเสี่ยง หรือ ‘กันไว้ดีกว่าแก้’ นั่นเอง

ข่าวที่เกี่ยวข้อง: