ไซแมนเทค คอร์ป (NASDAQ: SYMC) และสถาบัน โพเนมอน เผยรายงานการศึกษาวิเคราะห์ความเสียหายจากเหตุการณ์ข้อมูลรั่วไหลทั่วโลก ประจำปี 2013 (2013 Cost of Data Breach Study: Global Analysis) ซึ่งแสดงให้เห็นว่าความผิดพลาดของมนุษย์และปัญหาของระบบเป็นต้นเหตุสำคัญถึงสองในสามของปัญหาข้อมูลรั่วไหลในปี พ.ศ.2555 และส่งผลให้ค่าเฉลี่ยความเสียหายทั่วโลกสูงถึง 136 ดอลลาร์ต่อชุดข้อมูล 1 ชุด1 โดยระบุว่าปัญหาส่วนใหญ่เกิดจากขาดการควบคุมข้อมูลที่มีชั้นความลับกับพนักงาน ขาดการควบคุมระบบ และไม่ทำตามข้อกำหนดกฎหมายหรือระเบียบที่เหมาะสม โดยภาคธุรกิจที่ได้รับผลกระทบมากที่สุดคือ ภาคธุรกิจสาธารณสุข การเงินและเภสัชกรรม ซึ่งมีค่าความเสียหายสูงกว่าภาคธุรกิจอื่นๆ กว่า 70 เปอร์เซ็นต์
มูลค่าความเสียหายทั่วโลกจากลูกค้าที่ข้อมูลถูกโจรกรรมเพิ่มสูงขึ้นกว่าปีที่แล้ว แต่ในสหรัฐอเมริกาค่าความเสียหายจากข้อมูลถูกโจรกรรมกลับลดลงเป็นมูลค่ากว่า 5.4 ล้านดอลลาร์ อันเป็นผลมาจากองค์กรส่วนใหญ่เริ่มใส่ใจและแต่งตั้งบุคลากรเพื่อทำหน้าที่เป็น ผู้บริหารด้านความปลอดภัยของข้อมูลสารสนเทศระดับสูง หรือ Chief Information Security Officers (CISOs) ทำหน้าที่ดูแลรับผิดชอบและตอบสนองต่อภัยคุกคามต่างๆ การวางแผนรับมือและสร้างความปลอดภัยในภาพรวมให้แข็งแกร่งยิ่งขึ้น
Click to Tweet: รายงานความเสียหายจากปัญหาข้อมูลรั่วไหล 2013: พบว่าความประมาทของบุคลากรและความผิดพลาดของระบบเป็นหัวใจสำคัญที่ทำให้ข้อมูลถูกโจรกรรมเมื่อปีที่แล้ว : http://bit.ly/14gaIRR
[1] The Ponemon Institute considers customer or consumer data (including payment transactional information), employee records, citizen, patient and student information as a data record. The cost per record is the average cost per compromised data record of direct and indirect expenses incurred by the organization.
“ในขณะที่ผู้บุกรุกจากภายนอกกำลังพยายามหาช่องทางเจาะเข้าระบบขององค์กรเพื่อสร้างความเสียหายอย่างใหญ่หลวง อันตรายจากบุคลากรภายในที่ประสงค์ร้ายก็อาจสร้างความเสียหายและทำลายได้มากมายเท่าเทียมกัน” มร.ลาร์รี่ โพเนมอน (Larry Ponemon) ประธาน สถาบันโพเนมอน กล่าว “สถาบันฯ ได้ทำการวิจัยความเสียหายจากการโจรกรรมข้อมูลเป็นเวลากว่า 8 ปี แสดงให้เห็นว่าพฤติกรรมของพนักงานกลายเป็นปัญหาสำคัญที่องค์กรกำลังเผชิญ และเพิ่มขึ้นมากกว่า 22 เปอร์เซ็นต์จากการวิจัยครั้งแรก”
“พบว่าองค์กรที่มีแผนจัดการกับภัยคุกคามและมีระบบรักษาความปลอดภัยที่เข้มแข็ง นั้นมีความเสียหายน้อยกว่าองค์กรอื่นๆ มากกว่า 20 เปอร์เซ็นต์ โดยปัจจัยที่สำคัญคือการประสานงานที่ดีและการโต้ตอบแบบองค์รวมที่ชัดเจน” มร.เอนิล ชาคราวาร์ตี้ (Anil Chakravarthy) รองประธานบริหาร กลุ่มความปลอดภัยข้อมูลสารสนเทศที่ไซแมนเทค กล่าว “องค์กรทั้งหลายต้องปกป้องข้อมูลสำคัญของลูกค้า ไม่ว่าข้อมูลนั้นจะอยู่ในคอมพิวเตอร์ส่วนบุคคล โทรศัพท์มือถือ เครือข่ายองค์กรหรือดาต้าเซ็นเตอร์”
จากรายงานประจำปี ฉบับที่ 8 ซึ่งเก็บรวบรวมข้อมูลเกี่ยวกับการโจรกรรมข้อมูลที่เกิดขึ้นจริงของบริษัท 277 แห่งใน 9 ประเทศ ประกอบด้วย สหรัฐอเมริกา อังกฤษ ฝรั่งเศส เยอรมนี อิตาลี อินเดีย ญี่ปุ่น ออสเตรเลียและบราซิล สามารถอ่านรายงานสรุปของภาพรวมทั่วโลกและ 9 ประเทศนี้ได้ที่ http://bit.ly/10FjDik โดยปัญหาข้อมูลรั่วไหลทั้งหมดที่ได้รับการวิเคราะห์นี้เกิดขึ้นในช่วงปี พ.ศ. 2556 และเพื่อให้การศึกษาแนวโน้มของทิศทางที่ชัดเจน สถาบันโพเนมอนจึงไม่รวมภัยคุกคามขนาดใหญ่ ที่มีการโจรกรรมข้อมูลมากกว่า 100,000 รายการ เข้าไว้ในการศึกษาครั้งนี้ด้วย
โดยบริษัทที่สนใจวิเคราะห์ความเสี่ยงของตนเอง สามารถเข้าเยี่ยมชมและใช้เครื่องมือ Symantec’s Data Breach Risk Calculator ที่ใช้คำนวณความเสี่ยงตามขนาดองค์กร ประเภทธุรกิจ ตำแหน่งที่อยู่ และข้อมูลพื้นฐานด้านความปลอดภัยต่างๆที่จะนำมาพิจารณาร่วมกันเพื่อคำนวณและประเมินภาพรวมองค์กร
นอกจากนี้ในรายงานนี้ยังได้ค้นพบข้อมูลสำคัญได้แก่:
- มูลค่าความเสียหายโดยเฉลี่ยจากการถูกโจรกรรมข้อมูลแตกต่างกันไปตามแต่ละภูมิภาคทั่วโลก ความแตกต่างขึ้นอยู่กับชนิดของภัยคุกคามที่องค์กรต้องเผชิญ เช่นเดียวกับกฎหมายการปกป้องข้อมูลที่มีผลบังคับใช้ไม่เหมือนกันในแต่ละประเทศ บางประเทศอย่างเยอรมนี ออสเตรเลีย อังกฤษและสหรัฐอเมริกา มีกฎหมายคุ้มครองผู้บริโภคและข้อกำหนดที่ควบคุมข้อมูลส่วนบุคคลและความปลอดภัยด้านไอทีอย่างเข้มงวด อย่างไรก็ตามในสหรัฐอเมริกาและเยอรมนียังคงมีมูลค่าความเสียหายจากการโจรกรรมข้อมูลที่สูงอยู่ (มูลค่าความเสียหายเฉลี่ยต่อข้อมูลอยู่ที่ 188 ดอลลาร์และ 199 ดอลลาร์ตามลำดับ) โดยทั้ง 2 ประเทศถือเป็นประเทศที่มีมูลค่าความเสียหายโดยรวมสูงสุดอีกด้วย (สหรัฐอเมริกา เสียหาย 5.4 ล้านดอลลาร์ และ เยอรมนี เสียหาย 4.8 ล้านดอลลาร์)
- ความผิดพลาดจากบุคลากรและระบบเป็นปัจจัยสำคัญที่ก่อให้เกิดปัญหาข้อมูลรั่วไหล ทั้งความผิดพลาดจากการกระทำของมนุษย์และความผิดพลาดจากระบบมีมากถึง 64 เปอร์เซ็นต์ของปัญหาข้อมูลรั่วไหลทั้งหมดในการวิจัยนี้ ในขณะที่งานวิจัยก่อนหน้านี้แสดงให้เห็นว่า 62 เปอร์เซ็นต์ของพนักงานคิดว่าการนำข้อมูลองค์กรออกสู่ภายในองค์กรเป็นเรื่องที่ยอมรับได้ โดยส่วนใหญ่ไม่เคยลบข้อมูลเหล่านั้น จนกลายเป็นช่องโหว่อันส่งผลให้ข้อมูลรั่วไหล ซึ่งข้อมูลนี้แสดงให้เห็นว่าบุคลากรภายในกลายเป็นตัวแปรสำคัญอันก่อให้เกิดการรั่วไหลของข้อมูล และความเสียหายต่างๆ เกิดขึ้นกับองค์กรได้อย่างไร บริษัทในบราซิลเป็นกลุ่มที่ได้รับความเสียหายจากความผิดพลาดของมนุษย์มากที่สุด ส่วนบริษัทในอินเดียจะได้รับความเสียหายจากข้อมูลรั่วไหลเพราะระบบหรือกระบวนการทางธุรกิจล้มเหลวมากที่สุด โดยความผิดพลาดของระบบ หมายรวมถึง แอพพลิเคชันทำงานผิดพลาด การได้ข้อมูลโดยไม่ตั้งใจ กระบวนการรับส่งข้อมูลผิดพลาด หรือการตรวจสอบอนุญาตให้เข้าถึงข้อมูลผิดพลาด (การเข้าถึงโดยมิชอบ) การกู้ข้อมูลผิดพลาดและอื่นๆ อีกมากมาย
- การโจมตีที่ประสงค์ร้ายและอาชญากรรม เป็นภัยคุกคามที่ส่งผลเสียหายมากและเกิดขึ้นกับทุกแห่ง ผลรวมค่าความเสียหายแสดงให้เห็นว่า การโจรกรรมและการโจมตีที่ประสงค์ร้ายนี้มีมากถึง 37 เปอร์เซ็นต์ของการรั่วไหลของข้อมูลทั้งหมด และเป็นภัยคุกคามที่มีความเสียหายสูงใน 9 ประเทศ โดยในสหรัฐอเมริกาและเยอรมนี มีบริษัทที่ประสบความเสียหายจากการโจมตีที่ประสงค์ร้ายและการโจมตีแบบอาชญากรรมนี้สูงถึง 277 ดอลลาร์และ 214 ดอลลาร์ต่อหนึ่งรายการข้อมูล ตามลำดับ โดยบริษัทในเยอรมนีมีแนวโน้มมากที่สุดที่จะเผชิญหน้ากับปัญหานี้ต่อไป ตามด้วยออสเตรเลียและญี่ปุ่น
- ตัวแปรบางอย่างขององค์กรมีส่วนช่วยลดความเสียหายได้ บริษัทในสหรัฐอเมริกาและอังกฤษ ถือเป็นกลุ่มบริษัทที่สามารถลดมูลค่าความเสียหายลงได้มากที่สุด ด้วยการวางระบบรักษาความปลอดภัยที่เข้มงวด และการโต้ตอบต่อปัญหาที่รวดเร็วชัดเจน รวมถึงการมี CISO เป็นผู้บริหารด้วย ทั้งในสหรัฐอเมริกาและฝรั่งเศส สามารถลดมูลค่าความเสียหายลงได้ด้วยการจ้างที่ปรึกษาด้านการแก้ไขปัญหาการรั่วไหลของข้อมูลโดยเฉพาะ
ไซแมนเทค มีข้อแนะนำให้ปฏิบัติตามดังนี้ เพื่อป้องกันปัญหาข้อมูลรั่วไหลและลดความเสียหายหากเกิดขึ้นจริง:
1. ให้ความรู้กับพนักงานและตระหนักถึงการจัดการข้อมูลที่มีความเสี่ยงสูง
2. ใช้เทคโนโลยีปกป้องข้อมูล ค้นหาข้อมูลสำคัญและปกป้องข้อมูลเหล่านี้ให้ปลอดภัยก่อนคุณออกนอกองค์กร
3. เข้ารหัสข้อมูลและเลือกใช้โซลูชันการตรวจสอบสิทธิ์ที่เข้มงวด
4. เตรียมแผนรับมือกับภัยคุกคาม และต้องรวมถึงขั้นตอนการแจ้งให้ลูกค้าทราบด้วย