‘บลูบิค’ คาดข้อมูลรั่วไหลทั่วโลกปี 2023 จ่อทำแนวโน้มสูงสุดในประวัติศาสตร์ เผยอุตสาหกรรมเสี่ยงพร้อมแนวทางป้องกันที่ควรรู้
Posted: Sat Apr 29, 2023 9:41 pm
จากเหตุการณ์ที่แฮกเกอร์นามแฝง 9 Near อ้างว่าตนสามารถแฮ็กและครอบครองข้อมูลส่วนตัวต่างๆ ของคนไทยได้กว่า 55 ล้านราย สร้างความไม่สบายใจให้กับประชาชนที่เริ่มห่วง ‘ความเป็นส่วนตัวและความปลอดภัย’ ของข้อมูลตัวเอง ปัจจุบันข้อมูลของเรากระจายอยู่ในหลายที่จำนวนมาก ไม่ว่าจะกับหน่วยงานรัฐ บริษัทที่เราทำงาน หรือเว็บไซต์ช้อปปิ้งออนไลน์ เป็นต้น ในโลกที่ทุกอย่างเริ่มเคลื่อนไปสู่แพลตฟอร์มดิจิทัลมากขึ้น เราและองค์กรต่างๆ จึงจำเป็นที่จะต้องระมัดระวังและตระหนักถึงความเสี่ยงที่อาจทำให้เกิดข้อมูลรั่วไหลให้มากขึ้นเพื่อปกป้องความปลอดภัยและลดความเสียหายที่สามารถเกิดขึ้นจากการถูกแฮ็กให้อยู่ในระดับน้อยที่สุด ปัญหาข้อมูลรั่วไหลเพิ่มสูงขึ้นทั่วโลก พลสุธี ธเนศนิรัตศัย ผู้อำนวยการบริษัท บลูบิค ไททันส์ (Bluebik Titans) จำกัด ผู้นำด้านที่ปรึกษาและ Digital Transformation ทางธุรกิจ ซึ่งเป็นบริษัทลูกของ บมจ.บลูบิค กรุ๊ป หรือ BBIK ได้เปิดเผยถึงตัวเลขแบบรายปีของจำนวนเหตุการณ์ที่มีการพบช่องโหว่ทางความปลอดภัยในระบบสารสนเทศ (Security Bugs) ซึ่งสามารถให้การเข้าถึงข้อมูลกับบุคคลที่ไม่ควรจะมีสิทธิ์และอาจนำไปสู่การรั่วไหลของข้อมูลได้ จากตัวเลขสถิติเราจะสามารถเห็นได้ว่าตั้งแต่ปี 2017 จำนวนช่องโหว่ของระบบซอฟต์แวร์ทั่วโลกมีจำนวนที่เพิ่มขึ้นมากอย่างน่าตกใจและเพิ่มขึ้นเรื่อยๆ ในปีถัดๆ มาโดยมีอัตราเพิ่มขึ้นประมาณ 12-15% จากจำนวนของปีที่ก่อนหน้า 
พลสุธี ธเนศนิรัตศัย ผู้อำนวยการบริษัท บลูบิค ไททันส์ (Bluebik Titans) จำกัด ตัวเลขสูงสุดต่อปี ณ ตอนนี้อยู่ที่ 25,101 รายการ ในปี 2022 ที่เพิ่งผ่านมา บลูบิคคาดว่าสำหรับปี 2023 ตัวเลขมีแนวโน้มที่จะพุ่งสูงขึ้นไปอยู่ที่ประมาณ 27,000 รายการในสิ้นปี หากคาดการณ์จากเทรนด์ปัจจุบันที่มีจำนวนเกือบ 9,000 รายการแล้ว ตามข้อมูล ณ วันที่ 23 เมษายน 2566 
ข้อมูลสถิติรายปีของจำนวนรายการ Security Bugs ที่เกิดขึ้นตั้งแต่ปี 1999 จนถึงปัจจุบัน นอกจากความไม่ปลอดภัยของเจ้าของข้อมูล ผลกระทบที่ตามมาเมื่อองค์กรหรือธุรกิจพบว่าข้อมูลมีการรั่วไหลออกไปคือความเสียหายไม่ว่าจะเป็นด้านการทำงานที่ถูกรบกวน, ความเชื่อมั่นจากคู่ค้า, หรือความเสียหายทางการเงิน รายงานพบว่า 58% ขององค์กรที่ถูกแฮ็กข้อมูลไปยอมจ่ายเงินค่าไถ่โดยหวังจะได้ข้อมูลคืนจากแฮกเกอร์ โดยในไตรมาสที่ 3 ปี 2022 ค่าเฉลี่ยของจำนวนเงินที่ผู้เสียหายต่อรายยอมจ่ายมีมูลค่าที่ 250,000 ดอลลาร์สหรัฐ (8.5 ล้านบาท) อย่างไรก็ตาม พลสุธีมองว่าค่าเฉลี่ยนี้มีแนวโน้มต่ำลงในอนาคต ที่ไม่ใช่เพราะจากการลดลงของเหยื่อหรือผู้เสียหาย แต่มาจากเหตุผลที่บริษัทใหญ่ๆ เริ่มจริงจังกับการป้องกันปัญหานี้มากขึ้นด้วยความสามารถทางทุนทรัพย์ที่มีมากกว่าธุรกิจขนาดเล็กถึงกลาง ทำให้แฮกเกอร์น่าจะเปลี่ยนความสนใจไปที่กลุ่มนั้นจากระบบการป้องกันที่อาจยังไม่ทันสมัยหรือแข็งแรงเท่ากับของบริษัทใหญ่ๆ ซึ่งตัวเลขค่าไถ่ 250,000 ดอลลาร์สหรัฐ ที่มีแนวโน้มลดลงมาจากการคำนวณค่าไถ่ โดยแฮกเกอร์ที่จะเรียกเก็บตามผลประกอบการของบริษัทผู้เสียหายนั้นๆ เพราะหากเรียกสูงเกินไปผู้เสียหายก็จะไม่มีกำลังจ่าย ทำให้แฮกเกอร์อาจจะไม่ได้เงิน ฉะนั้นมูลค่าต้องอยู่ในจำนวนที่เหมาะสม เป็นการเพิ่มโอกาสที่จะได้เงินค่าไถ่นั้นมากขึ้น หลังจากความเสียหายจากการสูญเสียข้อมูล รายงานพบว่ามีสัดส่วนขององค์กรถึง 69% ที่ใช้เวลานานกว่า 1 เดือนในการพยายามจัดการปัญหาต่างๆ ให้ธุรกิจสามารถกลับมาอยู่ในสภาวะปกติได้ก่อนมีการถูกแฮ็กข้อมูล องค์กรไทยยังมีความเสี่ยงในการตกเป็นเหยื่อ ในส่วนของไทยมีบริษัทในประเทศกว่า 48 รายที่ตกเป็นเหยื่อของการถูกแฮ็กข้อมูลในปี 2022 จากหลากหลายอุตสาหกรรมตามรายงานข้อมูลของบลูบิค โดยมาจากกลุ่มธุรกิจค้าปลีก (อาหารและเครื่องดื่ม, ธุรกิจสินค้าเสริมความงาม, ศูนย์จำหน่ายอุปกรณ์เครื่องใช้ในบ้าน เป็นต้น) ที่มีสัดส่วนค่อนข้างสูง ส่วนที่เหลือมาจากการบิน, อสังหาริมทรัพย์, หน่วยงานรัฐ และอื่นๆ อีกหลายอุตสาหกรรมคละกันไป 5 เช็กลิสต์สำหรับแนวทางป้องเบื้องต้น จากสถิติที่คาดการณ์แนวโน้มที่เพิ่มขึ้นทางการโจรกรรมข้อมูลและความเสียหายที่อาจเกิดขึ้นจากเหตุการณ์ดังกล่าว องค์กรและธุรกิจจึงจำเป็นที่จะต้องทำการชั่งน้ำหนักความสำคัญในการประเมินระหว่างค่าใช้จ่ายในการลงทุนเพื่อป้องกันการรั่วไหลของข้อมูลกับความเสียหายที่อาจเกิดขึ้นจากการรั่วไหลดังกล่าว หรือ ‘กันไว้ดีกว่าแก้’ ทางบลูบิคให้เช็กลิสต์มาหลักๆ 5 ข้อในการตรวจเช็กสุขภาพความปลอดภัยของฐานข้อมูลดังนี้
Source: https://thestandard.co/data-leaks-aroun ... orld-2023/
พลสุธี ธเนศนิรัตศัย ผู้อำนวยการบริษัท บลูบิค ไททันส์ (Bluebik Titans) จำกัด ตัวเลขสูงสุดต่อปี ณ ตอนนี้อยู่ที่ 25,101 รายการ ในปี 2022 ที่เพิ่งผ่านมา บลูบิคคาดว่าสำหรับปี 2023 ตัวเลขมีแนวโน้มที่จะพุ่งสูงขึ้นไปอยู่ที่ประมาณ 27,000 รายการในสิ้นปี หากคาดการณ์จากเทรนด์ปัจจุบันที่มีจำนวนเกือบ 9,000 รายการแล้ว ตามข้อมูล ณ วันที่ 23 เมษายน 2566 ข้อมูลสถิติรายปีของจำนวนรายการ Security Bugs ที่เกิดขึ้นตั้งแต่ปี 1999 จนถึงปัจจุบัน นอกจากความไม่ปลอดภัยของเจ้าของข้อมูล ผลกระทบที่ตามมาเมื่อองค์กรหรือธุรกิจพบว่าข้อมูลมีการรั่วไหลออกไปคือความเสียหายไม่ว่าจะเป็นด้านการทำงานที่ถูกรบกวน, ความเชื่อมั่นจากคู่ค้า, หรือความเสียหายทางการเงิน รายงานพบว่า 58% ขององค์กรที่ถูกแฮ็กข้อมูลไปยอมจ่ายเงินค่าไถ่โดยหวังจะได้ข้อมูลคืนจากแฮกเกอร์ โดยในไตรมาสที่ 3 ปี 2022 ค่าเฉลี่ยของจำนวนเงินที่ผู้เสียหายต่อรายยอมจ่ายมีมูลค่าที่ 250,000 ดอลลาร์สหรัฐ (8.5 ล้านบาท) อย่างไรก็ตาม พลสุธีมองว่าค่าเฉลี่ยนี้มีแนวโน้มต่ำลงในอนาคต ที่ไม่ใช่เพราะจากการลดลงของเหยื่อหรือผู้เสียหาย แต่มาจากเหตุผลที่บริษัทใหญ่ๆ เริ่มจริงจังกับการป้องกันปัญหานี้มากขึ้นด้วยความสามารถทางทุนทรัพย์ที่มีมากกว่าธุรกิจขนาดเล็กถึงกลาง ทำให้แฮกเกอร์น่าจะเปลี่ยนความสนใจไปที่กลุ่มนั้นจากระบบการป้องกันที่อาจยังไม่ทันสมัยหรือแข็งแรงเท่ากับของบริษัทใหญ่ๆ ซึ่งตัวเลขค่าไถ่ 250,000 ดอลลาร์สหรัฐ ที่มีแนวโน้มลดลงมาจากการคำนวณค่าไถ่ โดยแฮกเกอร์ที่จะเรียกเก็บตามผลประกอบการของบริษัทผู้เสียหายนั้นๆ เพราะหากเรียกสูงเกินไปผู้เสียหายก็จะไม่มีกำลังจ่าย ทำให้แฮกเกอร์อาจจะไม่ได้เงิน ฉะนั้นมูลค่าต้องอยู่ในจำนวนที่เหมาะสม เป็นการเพิ่มโอกาสที่จะได้เงินค่าไถ่นั้นมากขึ้น หลังจากความเสียหายจากการสูญเสียข้อมูล รายงานพบว่ามีสัดส่วนขององค์กรถึง 69% ที่ใช้เวลานานกว่า 1 เดือนในการพยายามจัดการปัญหาต่างๆ ให้ธุรกิจสามารถกลับมาอยู่ในสภาวะปกติได้ก่อนมีการถูกแฮ็กข้อมูล องค์กรไทยยังมีความเสี่ยงในการตกเป็นเหยื่อ ในส่วนของไทยมีบริษัทในประเทศกว่า 48 รายที่ตกเป็นเหยื่อของการถูกแฮ็กข้อมูลในปี 2022 จากหลากหลายอุตสาหกรรมตามรายงานข้อมูลของบลูบิค โดยมาจากกลุ่มธุรกิจค้าปลีก (อาหารและเครื่องดื่ม, ธุรกิจสินค้าเสริมความงาม, ศูนย์จำหน่ายอุปกรณ์เครื่องใช้ในบ้าน เป็นต้น) ที่มีสัดส่วนค่อนข้างสูง ส่วนที่เหลือมาจากการบิน, อสังหาริมทรัพย์, หน่วยงานรัฐ และอื่นๆ อีกหลายอุตสาหกรรมคละกันไป 5 เช็กลิสต์สำหรับแนวทางป้องเบื้องต้น จากสถิติที่คาดการณ์แนวโน้มที่เพิ่มขึ้นทางการโจรกรรมข้อมูลและความเสียหายที่อาจเกิดขึ้นจากเหตุการณ์ดังกล่าว องค์กรและธุรกิจจึงจำเป็นที่จะต้องทำการชั่งน้ำหนักความสำคัญในการประเมินระหว่างค่าใช้จ่ายในการลงทุนเพื่อป้องกันการรั่วไหลของข้อมูลกับความเสียหายที่อาจเกิดขึ้นจากการรั่วไหลดังกล่าว หรือ ‘กันไว้ดีกว่าแก้’ ทางบลูบิคให้เช็กลิสต์มาหลักๆ 5 ข้อในการตรวจเช็กสุขภาพความปลอดภัยของฐานข้อมูลดังนี้ - Secure Authentication + MFA: การยืนยันตัวตนการเข้าถึงข้อมูลที่ปลอดภัย เช่น การเปลี่ยนพาสเวิร์ดเมื่อเวลาผ่านไป หรือการยืนยันตัวตนเพิ่มด้วยรหัสผ่านอีกชั้นทาง SMS หรืออีเมล
- Vulnerability and patch management: การจัดการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอเมื่อมีการแจ้งเตือนเพื่อป้องกัน Security Bugs
- Endpoint Security: ความปลอดภัยของฮาร์ดแวร์และซอฟต์แวร์โดยรวม เช่น การมีซอฟต์แวร์ตรวจจับไวรัสไว้กับคอมพิวเตอร์ หรือการแจ้งเตือนความผิดปกติในระบบ
- Email Security: การใช้ 2FA เพื่อเข้าถึงอีเมลหรือเครื่องมือการป้องกันการโดนฟิชชิง (วิธีที่ผู้ประสงค์ร้ายหลอกล่อให้เหยื่อเปิดเผยข้อมูลความลับทั้งของบริษัทและส่วนตัว)
- User Awareness: ความรู้ความเข้าใจของพนักงานเอง ผ่านการให้ความรู้ในการสร้างรหัสผ่านที่แข็งแกร่ง การจัดเก็บข้อมูลให้ปลอดภัย และความเข้าใจลักษณะของรูปแบบการหลอกลวง เป็นต้น
- ควรมี 3 ชุดข้อมูลที่เก็บสำรองไว้
- ควรมี 2 สื่อที่เก็บบันทึกข้อมูล เช่น ฮาร์ดดิสก์ที่เอาไว้ทำงานและตัวสำรอง
- ควรมี 1 ชุดข้อมูลที่ไม่ได้ต่อออนไลน์ตลอดเวลา หรือเก็บรักษาไว้ในรูปแบบออฟไลน์
Source: https://thestandard.co/data-leaks-aroun ... orld-2023/