ไอบีเอ็มเปิดโผ 'ข้อมูลรั่ว' ยุคโควิด เสียหายหนัก 'ทุบสถิติ'
ไอบีเอ็ม ซีเคียวริตี้ ประกาศผลศึกษาทั่วโลก พบเหตุข้อมูลรั่วไหลก่อให้เกิดมูลค่าความเสียหายแก่องค์กรธุรกิจที่ถูกสำรวจเฉลี่ยสูงกว่า 139 ล้านบาทต่อครั้ง นับว่าสูงที่สุดในรอบ 17 ปีนับแต่เริ่มทำการสำรวจ
ข้อมูลรับรองตัวตนบุคคลรั่วไหล
รายงานยังชี้ว่า 82% ของกลุ่มบุคคลที่สำรวจยอมรับว่าใช้พาสเวิร์ดเดิมซ้ำในหลายแอคเคาท์ ซึ่งไม่เพียงแต่เป็นต้นเหตุและผลลัพธ์หลักของเหตุข้อมูลรั่ว แต่ยังเพิ่มความเสี่ยงให้กับธุรกิจต่างๆ ด้วย
ข้อมูลส่วนบุคคลรั่วไหล เกือบครึ่ง (44%) ของเหตุข้อมูลรั่วที่วิเคราะห์ เป็นต้นเหตุที่ทำให้ข้อมูลลูกค้าหลุดออกไป ไม่ว่าจะเป็นชื่อ อีเมล พาสเวิร์ด หรือแม้แต่ข้อมูลด้านสุขภาพ เหล่านี้เป็นชุดข้อมูลที่พบว่ามีการรั่วไหลมากที่สุด
ข้อมูลส่วนบุคคลของลูกค้าสร้างมูลค่าความเสียหายสูงสุด การสูญเสียข้อมูลส่วนบุคคลของลูกค้า มีมูลค่าความเสียหายสูงกว่าข้อมูลประเภทอื่นๆ (ราว 6,000 บาทต่อรายการ เทียบกับค่าเฉลี่ย 5,300 บาทของข้อมูลประเภทอื่น)
วิธีการโจมตีที่พบมากที่สุด การเจาะระบบด้วยข้อมูลรับรองตัวตนของบุคคลที่รั่ว คือวิธีการเริ่มต้นโจมตีที่อาชญากรใช้มากที่สุด นับเป็น 20% ของเหตุข้อมูลรั่วไหลที่ศึกษา
“Zero Trust”เสี่ยงสูญเสียน้อยกว่า
แม้การปรับเปลี่ยนระบบไอทีช่วงแพร่ระบาดจะนำสู่มูลค่าความเสียหายจากเหตุข้อมูลรั่วที่เพิ่มขึ้น แต่องค์กรที่ระบุว่าไม่ได้ดำเนินโครงการดิจิทัลทรานส์ฟอร์เมชั่น คือ กลุ่มที่เผชิญกับมูลค่าความเสียหายจากเหตุข้อมูลรั่วสูงกว่า โดยสูงกว่าองค์กรอื่นประมาณ 24.6 ล้านบาทต่อเคส (16.6%)
องค์กรที่ระบุว่าใช้แนวทางซิเคียวริตี้แบบ Zero Trust มีความพร้อมรับมือเหตุข้อมูลรั่วไหลได้ดีกว่า โดย Zero Trust เป็นแนวทางบนพื้นฐานของสมมติฐานที่ว่า ทั้งข้อมูลระบุตัวตนของผู้ใช้และตัวเน็ตเวิร์คเองอาจถูกเจาะแล้ว ดังนั้นจึงใช้เอไอและอนาไลติกส์เข้ามาทำหน้าที่รับรองการเชื่อมต่อระหว่างผู้ใช้ ข้อมูล และทรัพยากรต่างๆ แทน องค์กรที่ใช้กลยุทธ์ Zero Trust มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วเฉลี่ย 108 ล้านบาทต่อเคส ซึ่งต่ำกว่าองค์กรที่ไม่ได้ใช้แนวทางดังกล่าวราว 58 ล้านบาท
การลงทุนพัฒนาทีมและแผนตอบสนองต่อเหตุโจมตียังเป็นหนึ่งในแนวทางที่ช่วยลดมูลค่าความเสียหายจากเหตุข้อมูลรั่ว โดยองค์กรที่มีทีมรับมือเหตุโจมตีและมีการทดสอบแผนการรับมือ มีมูลค่าความเสียหายจากเหตุข้อมูลรั่วเฉลี่ย 106 ล้านบาท ขณะที่องค์กรที่ไม่มีทั้งทีมงานและแผนรับมือ ต้องสูญเสียค่าใช้จ่ายจากเหตุข้อมูลรั่วเฉลี่ย 187 ล้านบาท (ต่างกัน 54.9%)
เป็นที่น่าสังเกตุว่า ครั้งนี้ เหตุข้อมูลรั่วไหลในอุตสาหกรรมเฮลธ์แคร์มีมูลค่าความเสียหายสูงสุด (ราว 303 ล้านบาทต่อเคส) ตามด้วยอุตสาหกรรมการเงิน (188 ล้านบาท) และเภสัชกรรม (165 ล้านบาท) โดยแม้กลุ่มอุตสาหกรรมค้าปลีก สื่อ บริการ และภาครัฐ จะมีมูลค่าความเสียหายต่ำกว่า แต่ถือว่ามีมูลค่าความเสียหายเพิ่มขึ้นเมื่อเทียบกับปีก่อนหน้า