สาเหตุหลักสามอันดับแรกของกรณีละเมิดข้อมูล ได้แก่ การที่พนักงานทำแล็ปท็อปหรือุปกรณ์มือถือที่มีข้อมูลสำคัญอยู่หายไป (35%) เหตุการณ์ประสงค์ร้ายหรือความผิดพลาดจากบุคคลอื่น (32%) และความบกพร่องของระบบ (29%) โดยเกือบ 70% ของผู้ตอบแบบสำรวจเห็นด้วยหรือเห็นด้วยเป็นอย่างยิ่งว่าการรักษาความปลอดภัยขององค์กรของตนในปัจจุบันนั้นยังไม่เพียงพอที่จะหยุดการโจมตีแบบมีเป้าหมายหรือหยุดเหล่าแฮกเกอร์ได้ สำหรับการศึกษาในครั้งนี้เป็นการสำรวจผู้ปฏิบัติงานด้านการรักษาความปลอดภัยระบบไอทีและฝ่ายไอทีจำนวน 709 คนในประเทศสหรัฐอเมริกา
รายงานฉบับนี้ยังเปิดเผยด้วยว่ามีพนักงานกระทำความผิดโดยไม่ตั้งใจในสัดส่วนที่ค่อนข้างสูง โดยจากรายงานพบว่าการละเมิดส่วนใหญ่ที่เกิดขึ้นโดยไม่ตั้งใจนั้นมีจำนวนมากถึง 56% และมีเพียง 19% ของผู้ตอบแบบสอบถามเท่านั้นที่ระบุว่าพนักงานได้รายงานการละเมิดข้อมูลด้วยตนเอง ซึ่งนั่นทำให้การแก้ไขปัญหาดังกล่าวได้อย่างทันท่วงทีนั้นเป็นเรื่องยุ่งยาก นอกจากนี้ 37% ยังระบุด้วยว่าการตรวจสอบและการประเมินภายในองค์กรช่วยเปิดเผยให้เห็นถึงกรณีของการละเมิดที่เกิดขึ้น และ 36% ระบุว่าเทคโนโลยีการป้องกันข้อมูลช่วยเปิดเผยให้เห็นถึงการละเมิดได้ด้วยเช่นกัน
ความเสียหายที่เกิดขึ้นกับธุรกิจขนาดกลางและเล็ก (เอสเอ็มบี)
สำหรับธุรกิจเอสเอ็มบีที่พนักงานจัดการข้อมูลผิดพลาดนั้นจะมีความเสี่ยงมากกว่าองค์กรขนาดใหญ่ ซึ่งได้รับการยืนยันจากข้อมูลที่ได้รับมาจากผู้ตอบแบบสอบถามในองค์กรที่มีพนักงานไม่ถึง 100 คน โดยรวมแล้วธุรกิจเอสเอ็มบีจะมีอัตราการละเมิดข้อมูลสูงกว่าเล็กน้อยที่ระดับ 81% ต่อ 78% อันเป็นผลมาจากการที่พนักงานดำเนินการกับข้อมูลสำคัญอย่างไม่ถูกต้อง
อีกทั้งพนักงานเอสเอ็มบียังมีแนวโน้มที่จะมีพฤติกรรม “เสี่ยง” มากกว่า โดย 58% ให้ข้อมูลว่าพวกเขาได้เปิดไฟล์แนบในอีเมลหรือคลิกลิงก์ของเว็บไซต์ในสแปม ซึ่งมีสัดส่วนมากกว่าองค์กรขนาดใหญ่ที่มีเพียง 39% นอกจากนี้ยังมีพนักงานเอสเอ็มบี 77% ที่ปล่อยให้เครื่องคอมพิวเตอร์ของตนสามารถติดตั้งโปรแกรมต่างๆ ได้โดยอัตโนมัติ ขณะที่องค์กรขนาดใหญ่มีสัดส่วนเพียง 62% ซึ่งการสำรวจในครั้งนี้ยังพบด้วยว่าพนักงาน เอสเอ็มบีในจำนวนกว่าครึ่ง (55%) มีแนวโน้มที่จะเข้าไปยังเว็บไซต์ต้องห้ามเมื่อเทียบกับพนักงานขององค์กรขนาดใหญ่ที่มีสัดส่วนเพียง 43%
องค์กรขนาดเล็กส่วนใหญ่ (65%) ระบุว่า โดยทั่วไปแล้วข้อมูลสำคัญทางธุรกิจขององค์กรของตนไม่ได้ถูกเข้ารหัสลับไว้หรือไม่ได้รับการป้องกันจากเทคโนโลยีการป้องกันข้อมูลสูญหาย นอกจากนี้ พนักงานในองค์กรขนาดเล็กยังมีแนวโน้มที่จะใช้เวลาน้อยมากในการป้องกันข้อมูลหรือใช้เทคโนโลยีที่มีความเหมาะสมน้อยมากในการป้องกันไม่ให้ข้อมูลสูญหาย โดย 62% ขององค์กรเชื่อว่าข้อมูลของตนยังไม่ได้รับการป้องกัน และผู้ตอบแบบสอบถามกว่า 65% ระบุว่าเนื่องจากเทคโนโลยีการป้องกันข้อมูลสูญหายมีค่าใช้จ่ายสูงเกินไป และ 54% ระบุว่าเทคโนโลยีมีความซับซ้อนมากเกินไป
“ข้อสรุปที่เราได้รับก็คือภัยคุกคามส่วนใหญ่ซึ่งเกิดจากพนักงานและเกิดขึ้นภายในบริษัทนั้นกำลัง ขยายตัวเพิ่มมากขึ้น สืบเนื่องมาจากความคล่องตัวในการทำงานนอกสถานที่ของพนักงาน ความแพร่หลายของอุปกรณ์พกพาที่จัดเก็บข้อมูลสำคัญไว้ ปรากฎการณ์ต่างๆ ที่ขับเคลื่อนโดยผู้บริโภคในแวดวงไอที และการใช้สื่อสังคมออนไลน์ในที่ทำงาน เราพบว่าผู้ตอบแบบสำรวจส่วนใหญ่เชื่อว่าบริษัทของตนยังดำเนินการได้ไม่ดีพอเกี่ยวกับโครงสร้างพื้นฐานด้านการรักษาความปลอดภัยที่มีประสิทธิภาพเพื่อรับมือกับแฮกเกอร์และการโจมตีแบบมีเป้าหมาย ซึ่งนอกจากเทคโนโลยีรักษาความปลอดภัยที่มีข้อมูลเป็นศูนย์กลางแล้ว การให้ความรู้และการตื่นตัวในกลุ่มพนักงานก็เป็นสิ่งที่มีความสำคัญด้วยเช่นกัน” ดร.ลาร์รี โพเนมอน ประธานและผู้ก่อตั้งสถาบัน โพเนมอน กล่าว
คำแนะนำสำหรับการลดความเสี่ยงอันเกิดจากปัจจัยด้านมนุษย์ มีดังนี้
- ทำความเข้าใจว่าในยุคหลังพีซีนี้ ข้อมูลและอุปกรณ์ต่างๆ มักจะถูกเปิดเผยได้โดยง่าย องค์กรจึงจำเป็นที่จะต้องแน่ใจให้ได้ว่าสามารถเข้าถึงระบบการรักษาความปลอดภัยได้อย่างครอบคลุม รวมทั้งให้ความสำคัญกับการรักษาความปลอดภัยที่มี “ข้อมูลเป็นศูนย์กลาง” ด้วยการผสานรวมความสามารถด้านการป้องกันข้อมูลและภัยคุกคามภายในเฟรมเวิร์กเดียวเพื่อให้สามารถรับรู้ได้ว่ามีผู้ใดกำลังเข้าถึงข้อมูลอะไรอยู่ เกิดขึ้นเมื่อใด ที่ไหน และอย่างไร
- สร้างความตระหนักในกลุ่มพนักงานและบุคคลในแวดวงเกี่ยวกับความจำเป็นที่จะต้องใช้เวลาและความพยายามที่มากขึ้นในการดำเนินการป้องกันข้อมูล
- ตรวจสอบให้แน่ใจว่านโยบายการป้องกันข้อมูลนั้นครอบคลุมในพื้นที่ต่างๆ ที่องค์กรพบว่าเป็นช่องโหว่ที่นำไปสู่การละเมิดข้อมูลได้
- ตรวจสอบโซลูชั่นการควบคุมและเทคโนโลยีต่างๆ ว่ามีประสิทธิภาพและคุ้มค่า เช่น การป้องกันการสูญเสียข้อมูลทางอีเมล การเข้ารหัสอีเมล และการแบ่งปันไฟล์ที่ปลอดภัย
- ตรวจสอบให้แน่ใจว่าผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูลรับรู้ถึงความเสี่ยงต่างๆ แล้ว
- จำเป็นต้องแจ้งให้ทราบทันทีในกรณีที่อุปกรณ์มือถือที่มีข้อมูลสำคัญและเป็นความลับหายหรือถูกขโมยไป
- สร้างนโยบายสำหรับการใช้สื่อสังคมออนไลน์ในที่ทำงาน
ข้อมูลสนับสนุน:
- สำหรับรายงานฉบับสมบูรณ์ โปรดไปที่: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ponemon-survey-2012.pdf
- สำหรับข้อมูลสรุปของผู้บริหาร โปรดไปที่: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ponemon-executive-summary.pdf
- เมื่อต้องการใช้ระบบคำนวณความเสี่ยงเกี่ยวกับข้อมูลทางออนไลน์ โปรดไปที่: http://www.trendmicro.com/datariskcalculator
วิธีการสำรวจ
การศึกษาในครั้งนี้เป็นการสำรวจผู้ปฏิบัติงานด้านการรักษาความปลอดภัยระบบไอทีและฝ่ายไอทีจำนวน 709 คนในประเทศสหรัฐอเมริกาโดยเฉลี่ยแล้ว ผู้ตอบแบบสอบถามมีประสบการณ์เกี่ยวข้องในด้านการรักษาความปลอดภัยเป็นเวลาที่มากกว่า 10 ปี และเฉพาะผู้ปฏิบัติงานด้านไอทีที่มีหน้าที่รับผิดชอบในด้านการป้องกันข้อมูลในองค์กรเท่านั้นที่เข้าร่วมในการศึกษาครั้งนี้ โดย 45% ของผู้ตอบแบบสำรวจเป็นระดับผู้จัดการหรือสูงกว่าในองค์กร และ 78% อยู่ในองค์กรที่มีจำนวนพนักงานระหว่าง 100 ถึง 5,000 คน นอกจากนี้ สถาบันโพเนมอนยังตรวจพบความแตกต่างเกี่ยวกับความเสี่ยงจากปัจจัยด้านมนุษย์ระหว่างองค์กรที่เป็นองค์กรขนาดใหญ่ (มีพนักงานมากกว่า 100 คน) และองค์กรขนาดเล็ก (ธุรกิจขนาดกลางและเล็ก หรือเอสเอ็มบี) ด้วย