ในปัจจุบัน องค์กรต้องพึ่งพาเทคโนโลยีสารสนเทศและข้อมูลดิจิทัลอย่างมากในการดำเนินธุรกิจ เช่น ระบบปฏิบัติการ ฐานข้อมูล แอปพลิเคชันต่างๆ หรือแม้แต่ซอฟต์แวร์บริหารจัดการข้อมูลส่วนบุคคลของลูกค้า เนื่องจากภัยคุกคามในโลกไซเบอร์มีการพัฒนาอย่างต่อเนื่องและสามารถสร้างความเสียหายร้ายแรง องค์กรจึงต้องมีการบริหารจัดการความเสี่ยงไซเบอร์โดยเป็นกระบวนการที่ช่วยให้องค์กรสามารถระบุ ประเมิน วิเคราะห์ และจัดการความเสี่ยงต่างๆ ที่เกี่ยวข้องกับภัยคุกคามไซเบอร์ได้อย่างมีประสิทธิภาพ ซึ่งจะช่วยให้องค์กรสามารถจัดการกับภัยคุกคามที่มีแนวโน้มส่งผลกระทบรุนแรงต่อองค์กรเป็นอันดับแรก สามารถบริหารจัดการทรัพยากรได้อย่างเหมาะสม ลดค่าใช้จ่าย พร้อมทั้งเพิ่มระดับความปลอดภัยให้กับองค์กรได้
จากผลสำรวจ “Global Cyber Risk and Insurance Survey 2024” (1) ของ Munich Re ความเห็นของผู้บริหารตลาดประกันภัยไซเบอร์ เกี่ยวกับเหตุการณ์ภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในปี 2024 พบว่า 87% ของบริษัททั่วโลกยังไม่พร้อมรับมือกับภัยคุกคามทางไซเบอร์ อีกทั้งแนวโน้มที่องค์กรต้องเผชิญกับมูลค่าความเสียหายทางด้านไซเบอร์นั้น เพิ่มสูงขึ้นอย่างต่อเนื่อง ยกตัวอย่างเช่น
(1) https://www.munichre.com/en/insights/cyber/global-cyber-risk-and-insurance-survey.html
- การโจมตีด้วย Ransomware ที่มีความสามารถมากขึ้นและใช้เวลาน้อยลงในการโจมตีเนื่องจากความก้าวหน้าของเทคโนโลยีปัญญาประดิษฐ์ (AI) จากผลสำรวจพบว่ามีการเรียกค่าไถ่ด้วยสกุลเงินดิจิทัลเพิ่มขึ้นจาก 567 ล้านดอลลาร์ในปี 2022 สูงขึ้นเป็น 1.1 พันล้านดอลลาร์ในปี 2023
- การปลอมแปลงอีเมลธุรกิจ (Business Email Compromise – BEC) ในระหว่างปี 2021 – 2023 มีมูลค่าความเสียหายถึง 3 พันล้านดอลลาร์และมีผู้ได้รับผลกระทบ 22,000 ราย ซึ่งจำนวนเหตุการณ์การปลอมแปลงอีเมลธุรกิจที่เกิดขึ้นในปี 2023 เพิ่มขึ้นเป็น 2 เท่า
- การโจมตีผู้ให้บริการภายนอก (Supply Chain Attack) ผลสำรวจของ Juniper Research 2023 (2) พบว่า การโจมตีที่เกิดขึ้นภายในปี 2023 เพียงปีเดียวนั้นเพิ่มขึ้นเป็น 2 เท่าเมื่อเทียบกับช่วง 3 ปีที่ผ่านมารวมกัน ทำให้องค์กรต้องสูญเสียค่าใช้จ่ายโดยเฉลี่ย 45.8 พันล้านดอลลาร์เพื่อรับมือกับภัยคุกคามที่เกิดขึ้นมากถึง 245,000 ครั้ง เช่น เหตุการณ์การโจมตีของ MOVEit ที่ใช้ช่องโหว่ Zero-Day เพื่อโจมตีซอฟต์แวร์การถ่ายโอนข้อมูล
- เหตุการณ์การรั่วไหลข้อมูล (Data Breaches) ผลสำรวจจาก IBM Report 2023 (3) พบว่า ความเสียหายของการรั่วไหลข้อมูลที่เกิดขึ้นในแต่ละครั้ง เพิ่มสูงสุดเป็นประวัติการณ์ 4.45 ล้านดอลลาร์ เป็นผลมาจากปริมาณข้อมูลที่เพิ่มขึ้นตามความก้าวหน้าของเทคโนโลยี โดยเฉพาะเทคโนโลยี 5G และในปัจจุบันกฎระเบียบของการคุ้มครองข้อมูลนั้นเข้มงวดมากขึ้น จึงต้องมีการสร้างนโยบายควบคุมการเข้าถึงข้อมูลและกำหนดมาตรการป้องกันอย่างเหมาะสม
- คาดการณ์ว่ามนุษย์เป็นสาเหตุใหญ่ในการรั่วไหลของข้อมูล (Human Factor) ในปี 2024 มนุษย์เป็นสาเหตุของการรั่วไหลของข้อมูลมากถึง 90%
- การขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ (Shortage of Talent) ในปี 2023 ขาดแคลนผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ประมาณ 4 ล้านคน รวมไปถึงประสบปัญหาการรวบรวมข้อมูลสถิติของการโจมตีทางไซเบอร์ เนื่องจากบางเหตุการณ์อาจยังไม่ได้ถูกรายงานหรือหลักฐานสูญหายไป จึงทำให้ข้อมูลที่มีอยู่นั้นเป็นเพียงส่วนน้อยของการโจมตีทางไซเบอร์ทั้งหมด
(2) juniperresearch.com/press/study-reveals-staggering-cost-of-software-supply/
ภัยคุกคามไซเบอร์มีการเปลี่ยนแปลงอย่างรวดเร็ว องค์กรจึงไม่สามารถป้องกันได้ทั้งหมด ข้อมูลจาก Statista 2023 (4) คาดการณ์ว่ามูลค่าความเสียหายที่เกิดจากโจมตีทางไซเบอร์จะเพิ่มขึ้นจาก 8.15 ล้านล้านดอลลาร์สหรัฐในปี 2023 เป็น 13.8 ล้านล้านดอลลาร์สหรัฐในปี 2028 จากสถิติเหล่านี้ได้แสดงให้เห็นว่ากระบวนการบริหารจัดการความเสี่ยงทางไซเบอร์เป็นส่วนสำคัญในกลยุทธ์การบริหารความเสี่ยงโดยรวมขององค์กร การถูกโจมตีทางไซเบอร์นั้นทำให้องค์กรต้องเผชิญกับความสูญเสียหลายประการ เช่น ค่าใช้จ่ายและการหยุดชะงักของธุรกิจ ค่าใช้จ่ายในการตอบสนองเหตุการณ์และกู้คืนข้อมูล รวมไปถึงความเสียหายต่อชื่อเสียงภาพลักษณ์ขององค์กร ดังนั้นองค์กรต้องให้ความสำคัญกับการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ โดยที่องค์กรสามารถจัดลำดับความสำคัญของช่องโหว่ที่สำคัญได้ และสามารถใช้ทรัพยากรอย่างมีประสิทธิภาพ พร้อมทั้งเพิ่มความปลอดภัยให้กับองค์กรได้อย่างยั่งยืน
(4) https://www.statista.com/forecasts/1280009/cost-cybercrime-worldwide
ในบทความหน้าเราจะมาเล่าถึง ประโยชน์และแนวทางสำหรับองค์กรในการบริหารความเสี่ยงไซเบอร์ โดยมีกรอบการทำงานของ NIST’s Cybersecurity Framework (CSF) เวอร์ชั่น 2.0 ที่ครอบคลุมตั้งแต่การระบุภัยคุกคาม ประเมินความเสี่ยง การป้องกัน การตรวจจับ การตอบสนอง และการฟื้นฟูระบบหลังจากถูกโจมตีทางไซเบอร์ รวมถึงสามารถนำ Risk Management Framework (RMF) และ ISO 31000 มาประยุกต์ใช้ในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ได้ เพื่อให้สอดคล้องกับมาตรฐานสากล ช่วยลดความเสี่ยง และเพิ่มประสิทธิภาพการบริหารจัดการ
Source: https://www.munichre.com/en/insights/cyber/cyber-insurance-risks-and-trends-2024.html
สนใจรับบริการด้าน Cybersecurity ติดต่อ CYBER ELITE ได้ทุกช่องทาง
- Email: [email protected]
- Tel: 094-480-4838
- LINE Official: https://line.me/R/ti/p/@cyberelite
- Website: https://www.cyberelite.co
- LinkedIn: https://bit.ly/36M3T7J
- Youtube: https://bit.ly/3sCqOen
